Archiv für den Monat: Januar 2013

Meldepflicht; wer muss ihr nachkommen? Was muss drinstehen?

Der Gesetzgeber legt in §4d BDSG die Verfahren und Notwendigkeiten zur Meldepflicht fest. Generell gilt (§4d. Abs.1): Alle Verfahren automatisierter Verarbeitung sind vor Inbetriebnahme der zuständigen Aufsichtsbehörde zu melden. Diese Meldung kann entfallen wenn das Unternehmen

  1. einen Datenschutzbeauftragten bestellt hat oder
  2. ausschließlich Datenverarbeitung für eigene Zwecke gemäß §28 BDSG betreibt und hierbei in der Regel höchstens 9 Personen beteiligt sind.

Einen Meldung muss immer erfolgen (auch wenn es einen DSB gibt) wenn geschäftsmäßig personenbezogene Daten für folgende Zwecke gespeichert werden:

  1. zur Übermittlung,
  2. zur anonymisierten Übermittlung oder
  3. zum Zweck der Markt- oder Meinungsforschung

Der Inhalt der Meldepflicht ist in § 4e BDSG geregelt und beinhaltet folgende Punkte:

  1. Name oder Firma der verantwortlichen Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift der verantwortlichen Stelle,
  4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  7. Regelfristen für die Löschung der Daten,
  8. eine geplante Datenübermittlung in Drittstaaten,
  9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Quellen: BDSG, Kommentar Gola/Schomerus, 10 Auflage

Personenbezogene Daten laut BDSG, was sind das?

Das BDSG regelt den Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen beschreiben. Personenbezogene Daten liegen auch bereits vor, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: IP-Adresse, E-Mail Adresse, Telefonnummer oder z.B. Kundennummer)

Pseudonyme Daten, sind Daten bei denen der Name durch einen Decknamen ersetzt wird. Diese fallen in den Geltungsbereich des BDSG, weil es sich dabei um Angaben bestimmbarer Personen handelt.

Dazu im Gegensatz stehen anonyme Daten, bei denen die Person unbestimmbar ist.

Auch nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbH, AG usw.). Einzelne deutsche Gerichte haben jedoch, entgegen dem eindeutigen Wortlaut des Gesetzes die Datenschutzgesetze auch auf juristische Personen angewandt.

Einen besonderen Schutz genießen Daten die gemäß §3 Abs. 9 BDSG besonders geschützt werden. Dies sind die „Besonderen Daten“ (Daten über rassische und ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben). Diese Daten unterliegen nach § 4d Abs. 5 BDSG der Vorabkontrolle.

Verpflichtung der Mitarbeiter auf das BDSG

§5 BDSG untersagt die unerlaubte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Dieses Verbot mit seinen Konsequenzen ist den betroffenen Mitarbeitern vor Aufnahme ihrer Tätigkeit mitzuteilen und sie sind auf die Einhaltung dieser Vorschriften zu verpflichten. Eine Schulung ist an dieser Stelle unabdingbar. Sie kann in schriftlicher und mündlicher Form erfolgen.

Quelle: Gola/Schomerus BDSG, Kommentar 10. Auflage