Ein starkes Team…
…wenn’s drauf ankommt.

Wichtige datenschutzrechtliche Begriffe

1. Arbeitnehmerdatenschutz

Der sog. Arbeitnehmerdatenschutz (auch Beschäftigtendatenschutz genannt) schützt speziell das Recht der Arbeitnehmer auf informationelle Selbstbestimmung.

Relevant sind in diesem Bereich z.B. folgende Problemkreise:

• Umgang mit Personal-/Sozialdaten

• Zulässigkeit von Überwachungs- und Kontrollsystemen (z.B. Überwachung der Internet-/E-Mail-Nutzung durch Arbeitnehmer)

• u.v.m.

Ein gesondertes Arbeitnehmerdatenschutzgesetz existiert bis dato nicht. Ein aus dem Jahr 2010 stammender "Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes", der die §§ 32 ff. BDSG modifizieren sollte, wurde bislang nicht umgesetzt. Es ist deshalb in diesem Bereich auch weiterhin auf das BDSG, das seit 2009 in § 32 BDSG zumindest eine allgemeine arbeitnehmerdatenschutzrechtliche Rahmenregelung enthält, ferner auf Spezialgesetze wie z.B. das TMG oder BetrVG sowie die einschlägige Rechtsprechung zurückzugreifen. Die weitere Entwicklung in diesem Bereich bleibt abzuwarten.

2. Aufsichtsbehörden

Die Aufgaben und Befugnisse der im Datenschutzrecht vorgesehenen Aufsichtsbehörden sind insbesondere in §§ 38 f. BDSG geregelt.

a) Aufgaben

Die Aufsichtsbehörden im Bereich des Datenschutzes haben danach insbesondere folgende Aufgaben:

• Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen durch die Normadressaten

• Beratung und Unterstützung der Normadressaten (z.B. der Datenschutzbeauftragten) bei der Anwendung/Umsetzung der datenschutzrechtlichen Bestimmungen

• Amtshilfe für Aufsichtsbehörden anderer Mitgliedsstaaten der Europäischen Union

• Erstellung von Tätigkeitsberichten

• Führen eines Registers der nach § 4d BDSG meldepflichtigen automatisierten Verfahren mit den Angaben nach § 4 e S. 1 BDSG

• Prüfung der von Berufsverbänden im Entwurf vorgelegten Verhaltensregeln im Bereich Datenschutz auf Vereinbarkeit mit dem geltenden Datenschutzrecht

b) Befugnisse

Zu den Befugnissen der Aufsichtsbehörden zählen insbesondere:

• Recht auf Auskunft bei den der Kontrolle unterliegenden Normadressaten

• Recht auf Betretung von Grundstücken und Geschäftsräumen/Vornahme von Prüfungen und Besichtigungen

• Recht auf Einsicht in geschäftliche Unterlagen

• Recht auf Anordnung von Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten

• Recht auf Anordnung von technischen oder organisatorischen Maßnahmen Maßnahmen (siehe Punkt 8 „Technische und organisatorische Maßnahmen“)

• Unter bestimmten Voraussetzungen: Recht auf Untersagung einzelner Verfahren

• Abberufung eines bestellten Datenschutzbeauftragten (siehe Punkt 5 „Datenschutzbeauftragter“), wenn diesem die gem. § 4f II S. 1 BDSG erforderliche Fachkunde und/oder Zuverlässigkeit fehlt

• Verhängung von Bußgeldern (siehe „Verhängung eines Bußgeldes, § 43 BDSG“).

3. Auftragsdatenverarbeitung („Outsourcing“)

Auftragsdatenverarbeitung liegt vor, wenn Dritte – im Interesse eines vereinfachten Datenflusses - den Auftrag erhalten, personenbezogene Daten nach Weisungen des Auftraggebers zu erheben, zu verarbeiten oder zu nutzen, vgl. § 11 BDSG. Nach dieser Norm bleibt der Auftraggeber für den Datenumgang des Dritten vollumfänglich verantwortlich.

Da der Gesetzgeber den ungehinderten Datenfluss zwischen Auftraggeber und Auftragnehmer als besonders gefährlich ansieht, ist eine Auftragsdatenverarbeitung nur unter den in § 11 BDSG genannten strengen Voraussetzungen zulässig. Auftragnehmer können z.B. Unternehmen sein, die EDV-Fernwartungen durchführen, ferner Callcenter, Schreibbüros, ö.ä.

4. Datengeheimnis

Das sog. Datengeheimnis besagt, dass es Personen, die mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, untersagt ist, unbefugt Daten zu erheben, zu verarbeiten oder zu nutzen, § 5 S. 1 BDSG.

Verboten wäre es nach dieser Vorschrift z.B. wenn ein Mitarbeiter der Personalabteilung Beschäftigtendaten an Versicherungsunternehmen verkauft.
Nach § 5 S. 2 BDSG sind solche Personen deshalb bei Tätigkeitsaufnahme zwingend auf das Datengeheimnis zu verpflichten. Aus Beweisgründen sollte die Verpflichtung schriftlich niedergelegt werden.

5. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist eine dem Leiter einer öffentlichen (Behörde o.ä.) oder nicht-öffentlichen Stelle (Privatwirtschaft) unmittelbar unterstellte Person, die von Gesetzes wegen auf die Einhaltung der Datenvorschriften hinwirkt, § 4 III S. 1 i.V.m. § 4g I S. 1 BDSG. Die konkrete Umsetzung bleibt dem Leiter der verantwortlichen Stelle vorbehalten.

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt, vgl. § 4f II S. 1 BDSG. Andernfalls ist die Bestellung unwirksam. In diesem Fall droht ein Bußgeld, vgl.  „Verhängung eines Bußgeldes", § 43 BDSG.

6. Formen des Umgangs mit personenbezogenen Daten

Folgende Formen des Umgangs mit personenbezogenen Daten kommen in Betracht:
• Erhebung, § 3 III BDSG

• Verarbeitung, § 3 IV BDSG (erfasst ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten)

• Nutzung, § 3 V BDSG

Sämtliche Datenumgangsformen bedürfen der gesetzlichen Rechtfertigung (siehe "Zulässigkeit der Datenverarbeitung")

7. Personenbezogene Daten

Der Begriff der personenbezogenen Daten ist der wichtigste und am häufigsten verwendete Begriff im BDSG.

Personenbezogene Daten sind nach der gesetzlichen Definition Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), vgl. § 3 Nr. 1 BDSG.

Bsp.:

• Name, Titel, Geburtsdatum, Anschrift

• Berufsbezeichnung

• Körperliche Merkmale wie z.B. Größe und Gewicht

• Politische Meinungen oder religiöse Überzeugungen

• u.v.m.

Für die sog. besonderen Arten personenbezogener Daten (besonders sensible Daten wie z.B. politische Meinungen oder religiöse Überzeugungen, vgl. § 3 IX BDSG), gelten im BDSG z.T. spezielle Voraussetzungen.

8. Technische und organisatorische Maßnahmen

Die in § 9 BDSG normierten sog. technischen und organisatorischen Maßnahmen (kurz: TOMs) verpflichten öffentliche (z.B. Kommune) oder nicht-öffentliche Stellen (z.B. privatwirtschaftliche Unternehmen), die personenbezogene Daten selbst oder im Auftrag erheben, verarbeiten oder nutzen, die zum Schutz dieser Daten erforderlichen Maßnahmen zu treffen. Maßnahmen sind jedoch nur dann zu treffen, wenn und soweit sie verhältnismäßig sind, vgl. § 9 S. 2 BDSG.

Welche Maßnahmen bei der automatisierten Verarbeitung personenbezogener (=EDV-gestütze Verarbeitung) Daten eingehalten werden müssen, ist in der Anlage zu § 9 S. 1 BDSG näher beschrieben. Danach sollen TOMs insbesondere in folgenden Bereichen verwirklicht werden:

• Zutrittskontrolle:

Erfasst Maßnahmen, die den körperlichen Zutritt zu Datenverarbeitungsanlagen betreffen (z.B. Schlüsselausgabe nur an befugtes Personal)

• Zugangskontrolle

Erfasst Maßnahmen, die den unkörperlichen Zugang in Datenverarbeitungssysteme betreffen (z.B. Passwortvergabe nur an befugtes Personal)

• Zugriffskontrolle

Erfasst Maßnahmen, die sicherstellen, dass Berechtigte nur im Umfang Ihrer Zugriffsberechtigung auf personenbezogene Daten zugreifen können (z.B. Vergabe differenzierter Berechtigungen)

• Weitergabekontrolle

Erfasst Maßnahmen, die bei der Weitergabe personenbezogener Daten ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von personenbezogenen Daten verhindern, ferner Maßnahmen, die eine Überprüfung und Feststellung ermöglichen, an welchen Empfänger Daten übermittelt wurden (z.B. Datenverschlüsselungsmaßnahmen)

• Eingabekontrolle

Erfasst Maßnahmen, die sicherstellen, dass auch nachträglich überprüft werden kann, ob und von wem personenbezogene Daten verarbeitet wurden (z.B. Protokollierung)

• Auftragskontrolle

Erfasst Maßnahmen, die bei einer Datenverarbeitung im Auftrag (vgl. „Auftragsdatenverarbeitung“) eine weisungsgemäße Verarbeitung sicherstellen (z.B. stichprobenartige Kontrollen, Vertragsstrafenvereinbarung bei weisungswidrigem Verhalten)

• Verfügbarkeitskontrolle

Erfasst Maßnahmen, die personenbezogene Daten vor zufälliger Zerstörung oder Verlust schützen (z.B. Anfertigung von Sicherungskopien)

• Gebot der Datentrennung

Erfasst Maßnahmen, die eine dem jeweiligen Zweck entsprechende Datenverarbeitung sicherstellen; zu verschiedenen Zwecken erhobene personenbezogene Daten sind getrennt zu verarbeiten (z.B. physikalische Trennung auf verschiedenen Datenträgern)

Die vorstehenden Einzelmaßnahmen werden auch die sog. 8 Gebote der Datensicherheit genannt.

9. Verfahrensverzeichnis

Verfahrensverzeichnisse sind Übersichten, die jedes Unternehmen führen und bereithalten muss, das personenbezogene Daten verarbeitet.

Zu unterscheiden sind das öffentliche Verfahrensverzeichnis, das gem. § 4g II S. 2 BDSG auf Anfrage jedermann zur Verfügung gestellt werden muss und das interne Verfahrensverzeichnis, das gem. § 4g I S. 1 BDSG dem Datenschutzbeauftragten von der verantwortlichen Stelle zur Verfügung gestellt werden muss.

a) Öffentliches Verfahrensverzeichnis

Im öffentlichen Verfahrensverzeichnis sind gem. § 4g II S.2 BDSG die in § 4e S. 1 Nr. 1 bis 8 BDSG abschließend aufgezählten Angaben bereitzuhalten:

• Name oder Firma der verantwortlichen Stelle

• Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen

• Anschrift der verantwortlichen Stelle

• Zweckbestimmungen der Datenerhebung, -verarbeitung oder –nutzung

• eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien

• Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können- Regelfristen für die Löschung der Daten- eine geplante Datenübermittlung in Drittstaaten

Auf derartige „Jedermanns-Anfragen“ sollten Unternehmen vorbereitet sein. Grund: Reagiert ein Unternehmen auf eine solche Anfrage z.B. überhaupt nicht, droht die Verhängung eines Bußgeldes durch die zuständige Aufsichtsbehörde, vgl. § 43 I Nr. 1 BDSG.

b) Internes Verfahrensverzeichnis

Das interne Verfahrensverzeichnis ist dem Datenschutzbeauftragten von der verantwortlichen Stelle zur Verfügung zu stellen und soll diesen bei der Ausübung seiner Tätigkeit unterstützen (Feststellung des status-quo der Verarbeitungsbedingungen, Ermittlung mgl. Handlungsbedarfs). In der Praxis erstellen die Datenschutzbeauftragten die Verzeichnisse häufig selbst. Die Informationen im internen Verfahrensverzeichnis sind vertraulich und können/sollten dementsprechend umfangreicher ausfallen als im öffentlichen Verfahrensverzeichnis (s.o.). Zusätzlich zu den vorstehend bereits genannten Angaben für die Erstellung des öffentlichen Verfahrensverzeichnisses ist in das interne Verfahrensverzeichnis eine allgemeine Beschreibung aufzunehmen, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG (sog. technische und organisatorische Maßnahmen/8 Gebote der Datensicherheit, vgl. Punkt 8. „Technische und organisatorische Maßnahmen“) zur Gewährleistung der Verarbeitungssicherheit angemessen sind, § 4g II S. 1 i.V.m. § 4e S. 1 BDSG.

10. Videoüberwachung

Eine Videoüberwachung mittels optisch-elektronischer Einrichtungen (z.B. mittels klassischer Überwachungskamera, Webcam, videofähigem Handy o.ä.) besitzt dann datenschutzrechtliche Relevanz, wenn damit personenbezogene Daten erfasst werden.

Hinsichtlich der Zulässigkeit derartiger Maßnahmen ist zwischen einer Überwachung im öffentlich zugänglichen und nicht öffentlich zugänglichen Bereich zu unterscheiden.

a) Überwachung im öffentlich zugänglichen Bereich

Öffentlich zugänglich ist ein Bereich dann, wenn die Öffentlichkeit oder nach bestimmten Merkmalen eingegrenzte Teile der Öffentlichkeit Zutritt haben (z.B. öffentlicher Platz, Bereich vor der Theke eines Schnellrestaurants o.ä.).

Die Zulässigkeit einer Videoüberwachung in diesem Bereich richtet sich nach der spezialgesetzlichen Vorschrift des § 6b BDSG.

Danach ist eine Überwachung dann zulässig, soweit sie

• zur Aufgabenerfüllung öffentlicher Stellen (z.B. Eigensicherung von Behörden)

• zur Wahrnehmung des Hausrechts (z.B. Aufdeckung von Ladendiebstählen in Kaufhäusern) oder

• zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke (z.B. Gefahrenabwehr)

und

keine schutzwürdigen Interessen der Überwachten im Einzelfall überwiegen.

Des Weiteren sind in diesem Zusammenhang insbesondere folgende Punkte zu beachten:

Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen (z.B. durch entsprechende Hinweisschilder), vgl. § 6b II BDSG.

Die Verarbeitung und Nutzung der erhobenen Daten (=Aufzeichnung) ist nur dann zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine schutzwürdigen Interessen des Betroffenen überwiegen, vgl. § 6b III BDSG. So würde etwa eine Beweissicherung eine längerfristige Speicherung rechtfertigen als Aufzeichnungen zur Gefahrenabwehr.

Ist der Zweck zu dem die Überwachung erfolgt ist weggefallen, sind die erhobenen Daten unverzüglich zu löschen, § 6b V BDSG.

b) Überwachung im nicht öffentlich zugänglichen Bereich

Im nicht öffentlich zugänglichen Bereich (z.B. Werkshallen, Bereich hinter der Theke eines Schnellrestaurants o.ä.) gelten die allgemeinen datenschutzrechtlichen Bestimmungen, z.B. § 28 BDSG. Danach ist eine Videoüberwachung im nicht-öffentlichen Bereich zulässig, wenn ein berechtigtes Interesse für die Durchführung besteht und überwiegende schutzwürdige Interessen der Überwachten nicht entgegenstehen.

Im Arbeitsverhältnis ist bei einer Videoüberwachung im nicht öffentlich zugänglichen Bereich § 32 BDSG zu beachten. Eine Erhebung und Verarbeitung personenbezogener Daten mittels Videoüberwachung ist hier nur zulässig, wenn sie zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Aufgrund des jedem Beschäftigten zustehenden allgemeinen Persönlichkeitsrechts ist die Rechtfertigungsschwelle in diesem Bereich sehr hoch anzusiedeln. Unter den engen Voraussetzungen des § 32 I S. 2 BDSG kann eine Videoüberwachung eines Beschäftigten etwa dann erfolgen, wenn der konkrete Verdacht einer im Beschäftigungsverhältnis begangenen Straftat vorliegt. Präventive Videoüberwachungen ohne konkreten Grund sind hingegen in der Regel unzulässig.

c) Vorabkontrolle nach § 4 V BDSG

Soweit eine Videoüberwachung im öffentlich oder nicht öffentlich zugänglichen Bereich besondere Risiken für die Rechte und Freiheiten des Überwachten aufweist, ist eine Vorabkontrolle nach § 4 V BDSG durchzuführen. Die Videoüberwachung ist in diesem Fall vorab vom Datenschutzbeauftragten (vgl. § 4 VI BDSG) auf ihre datenschutzrechtliche Rechtmäßigkeit hin zu überprüfen. In den Fällen der Videoüberwachung ist eine Vorabkontrolle z.B. bei Einsatz eines komplexen, vernetzten Überwachungssystems notwendig (vgl. BT-Drs. 14/5793, S. 62).