Projekt Technik GmbH Projekt Technik GmbH
Das Bundesdatenschutzgesetz (BDSG) wurde 1990 erlassen. Die letzte Änderung erfolgte 2006. Es soll dem Schutz des Persönlichkeitsrechtes beim Umgang mit personenbezogenen Daten dienen. Geregelt werden die Erhebung, Verarbeitung, Weitergabe und sonstige Nutzung personenbezogener Daten für öffentliche Stellen (Behörden usw.) und nichtöffentliche Stellen (z.B. Firmen) sowie die Notwendigkeit der Einsetzung eines Datenschutzbeauftragten. Das Gesetz betrifft sowohl inländische als auch ausländische Datenerhebungen. Bei Nichtbeachtung drohen Bußgelder bis 250.000 Euro.
Im Sinne des BDSG bedeutet anonymisieren eine Veränderung der personenbezogenen Daten, so daß Einzelangaben nicht mehr oder nur mit unverhältnismäßig hohem Aufwand an Kosten, Arbeitskraft und Zeit der entsprechenden Person zugeordnet werden können.
Jede Form der (Daten-)Verarbeitung mit Hilfe von Computern gilt als automatisierte Verarbeitung. Im Gegensatz zur automatisierten Verarbeitung steht die nicht automatisierte Verarbeitung beispielsweise über Karteikarten mit Querverweisen.
Sind diese Karten hingegen so gestaltet, daß sie durch eine Maschine sortiert werden können, dann liegt bereits wieder eine automatische Verarbeitung vor. Entscheidend ist also nicht der Einsatz eines Computers, sondern das maschinelle Verarbeiten.
Die Verarbeitung beginnt bereits mit dem Erfassen oder Aufbewahren der Daten.
Nach dem BDSG fallen Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben in die Kategorie besondere Arten personenbezogener Daten.
Empfänger im Sinne des BDSG ist jede Person oder Stelle, die Daten erhält.
Das BDSG gilt nicht für Stellen, die im EG-Ausland liegen und dort Daten aus dem Inland (d.h. Daten aus der BRD) erheben. Das Gesetz kommt jedoch zur Anwendung, wenn die Daten von einer Niederlassung in Deutschland für die ausländische Stelle erhoben werden. Dahinter steckt die Idee, daß innerhalb der EG die nationalen Staaten vergleichbare Regelungen treffen und daher immer die Regelung vom Sitz des „Datensammlers" gelten. Daraus ergibt sich dann auch, daß falls die Datensammlung von einer ausländischen Niederlassung in Deutschland betrieben wird, doch wieder das deutsche BDSG gilt.
Für ausländische Stellen, die nicht im EG-Ausland beheimatet sind und für die keine separaten zwischenstaatlichen Abkommen existieren, gilt das BDSG immer. Einerseits stellt sich hier die Frage, wie denn der deutsche Staat beispielsweise eine ausländische Firma – noch viel mehr eine ausländische Behörde – dem deutschen Recht praktisch unterwerfen will. Die Vorstellung, ein deutscher Richter erließe ein Ordnungsgeld gegen beispielsweise einen ausländischen Nachrichtendienst, entbehrt nicht einer gewissen Komik.
Fazit:
Das BDSG oder vergleichbare Vorschriften gelten auch für ausländische Stellen. Eine Firma, deren Repräsentant in Deutschland Daten sammelt, kann sich nicht auf den Auslandsstatus berufen.
Die Formulierung Nichtöffentliche Stelle faßt natürliche Personen, juristische Personen, Gesellschaften und Vereinigungen des privaten Rechtes zusammen.
Fazit:
Damit fällt eine private Sammlung persönlicher Daten ggf. ebenso wie die Kundendatei eines Gewerbetreibenden unter das Gesetz.
Löschen im Sinne des BDSG bedeutet das Unkenntlichmachen gespeicherter personenbezogener Daten.
Nutzen im Sinne des BDSG ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
Unter Öffentlicher Stelle werden alle Formen staatlicher Institutionen und Behörden verstanden, inklusive öffentlich rechtliche Institutionen sowie privatrechtliche Organisationen mit mehrheitlicher Staatsbeteiligung. Selbst privatrechtliche Organisationen ohne Staatsbeteiligung können als öffentliche Stelle gelten, wenn sie im Auftrage hoheitliche Aufgaben wahrnehmen.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (BDSG §3). Diese natürliche Person wird im BDSG als Betroffener bezeichnet.
Unter Pseudonymisieren versteht das BDSG eine Ersetzung des Namens oder anderer Identifikationsmerkmale durch eine Kennung, um die Identifikation des Betroffenen auszuschließen oder wesentlich zu erschweren.
Speichern im Sinne des BDSG ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke der weiteren Verarbeitung oder Nutzung.
Unter Sperren versteht das BDSG eine Kennzeichnung personenbezogener Daten, die ihre weitere Verarbeitung oder Nutzung ausschließt.
Übermitteln im Sinne des BDSG bedeutet, das Bekanntgeben gespeicherter personenbezogener Daten an Dritte. Mit eingeschlossen ist dabei die Weitergabe von personenbezogene Daten, die selbst gar nicht gespeichert wurden, sondern durch Verarbeitung aus gespeicherten Daten gewonnen wurden.
Unter Bekanntgeben wird dabei sowohl die direkte Weitergabe oder auch nur das Bereithalten zur Einsichtnahme oder zum Abruf verstanden.
Verändern im Sinne des BDSG bedeutet das inhaltliche Umgestalten gespeicherter personenbezogener Daten.
Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen läßt.
Fazit:
Die Verantwortung für die Datenerhebung kann nicht auf Subunternehmer oder Rechenzentren abgewälzt werden.
Nach dem BDSG gilt als Verarbeiten von personenbezogenen Daten das Speichern, Verändern, Übermitteln, Sperren und Löschen dieser Daten ohne Rücksicht auf die dabei angewendeten Verfahren.