Datenschutz in Stichworten

Dieser Bereich ist dynamisch und wird in unregelmäßigen Abständen erweitert und aktualisiert.

Datenschutz ist ein weitläufiges Themengebiet. Daher zu Beginn ein kleiner Streifzug durch wichtige Begriffe rund um Datenschutz, Privatsphähre und Informationsfreiheit.

Auftragsdatenverarbeitung
Übernimmt ein außenstehender Dienstleister die Verarbeitung personenbezogener Daten, bezeichnet man dies als Auftragsdatenverarbeitung. Für Personendaten, die im Rahmen einer solchen Geschäftsbeziehung weitergegeben werden, bleibt der Auftraggeber voll verantwortlich. Er hat sicherzustellen, dass die Daten geschützt, nur für den schriftlich vereinbarten Zweck genutzt und nicht anderweitig verwendbar sind.

BDSG
Das Bundesdatenschutzgesetz (BDSG) ist zuständig für den automatisierten Umgang mit personenbezogenen Daten außerhalb der rein privaten Nutzung. Neben Rechten und Pflichten sind dort auch die Aufsichtszuständigkeiten, Strafen bei Missachtung der Vorschriften sowie die Unterschiede für den Öffentlichen Dienst und privatwirtschaftliche Einrichtungen und Unternehmen. Europaweit gilt die Richtlinie 95/46/EG, die das Datenschutzrecht in der EU vereinheitlicht.

Besondere Arten personenbezogener Daten
In 3 Absatz 9 sind neben den "normalen" persönlichen Daten zusätzlich Informationen besonderer Art definiert, denen ein ausserordentliches Schutzbedürfnis zugeschrieben wird. Hierzu zählen besonders sensible Daten zu einer Person, wie etwa Rasse und ethnische Herkunft, politische, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeiten, Gesundheitsdaten und Sexualleben.

Datenschutz
Zum Datenschutz nach dem Bundesdatenschutzgesetz (BDSG) ist jedes Unternehmen, jede Behörde, jede Institution, jeder Verein und jegliche andere Stelle, bei der mit Personendaten gearbeitet wird, gesetzlich verpflichtet. Datenschutz meint dabei sowohl den Schutz der persönlichen Privatsphäre und Selbstentfaltung jedes Menschen, als auch den technischen und organisatorischen Schutz digitaler oder karteiähnlich verfügbarer Informationen über natürliche Personen.

Datenschutzbeauftragter (DSB)
Im nichtöffentlichen Bereich ist ein Datenschutzbeauftragter zu bestellen, sobald mehr als 4 Personen mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben. Bedenkt man, dass ein solcher Umgang bereits eine gemeinsame Adressdatei auf dem Computer sein kann, kann man sich lebhaft vorstellen, dass sehr, sehr viele kleinere Betriebe, Vereine und weitere Institutionen längst einen DSB haben müssten. Der rein private Umgang mit solchen Daten, also etwa das persönliche Adressbüchlein, in das niemand geschäftlich hineinsehen kann, fällt nicht unter das BDSG.
Doch mit der Bestellung, also der schriftlichen Beauftragung, eines DSB ist es längst nicht mehr getan: Er muss darüber Fachkunde und Zuverlässigkeit besitzen, um die Qualität seiner Arbeit sicherstellen zu können. Sollten Sie also einen DSB benötigen, lassen Sie ihn seine Fachkunde und Zuverlässigkeit nachweisen.

Datensicherheit - "Schutz der Daten"
Duale Sicherheit: Schutz der Daten vor und im automatisierten System (z.B. ein Computer). Daher gibt es viele unterschiedliche Definitionsansätze zu diesem Begriff. International spricht man von "privacy management". Für den Menschen im Alltag geht es bei Datenschutz mehr um den Schutz seiner personenbezogenen Daten und um die Achtung seiner Privatsphäre.

Datensparsamkeit
Zum Schutz personenbezogener Daten gehört nach dem BDSG ( 3a) auch das Prinzip der "Datensparsamkeit". Dies bedeutet, dass Informationen zu einer konkreten, natürlichen Person nur in dem Umfang erhoben (beschafft) werden dürfen, die für den Zweck, warum überhaupt Daten erhoben werden, dienen. Daten, die nicht unmittelbar erforderlich sind, dürfen gar nicht erst beschafft werden. Diese generelle Vermeidung von Daten sollte allerdings von der betroffenen Person selbst ebenfalls praktiziert werden: Wo Personendaten erst gar nicht herausgegeben werden, können sie später nicht auf Irrwegen missbraucht werden.

Flugdatenübermittlung
USA-Reisende haben die Ehre, seit einigen Monaten mehr persönliche Daten von sich preisgeben zu müssen, als auch nur ansatzweise erforderlich wären. Diese Daten werden von den Fluggesellschaften in aller Welt (bis auf wenige Ausnahmen) bei den Flugpassagieren erhoben und müssen an US-Behörden weitergeleitet werden, noch bevor der gebuchte Flug gestartet ist.

"Herr der Daten"
Als "Herr der Daten" gilt die Stelle, die personenbezogene Daten erhoben hat. Sie ist verantwortlich für angemessenen Schutz und die ordnungsgemäße zweckgebundene Nutzung dieser Daten. Der "Herr der Daten" trägt diese volle Verantwortung auch, wenn er die Personendaten zur eigenen weiteren geschäftsmäßigen Verarbeitung an einen externen Dienstleister weitergibt. Dies bezeichnet man als "Auftragsdatenverarbeitung".

Informationelle Selbstbestimmung
Verankert im Grundgesetz der Bundesrepublik Deutschland, ist es eines der wichtigsten und grundsätzlichsten Rechte, die der Einzelne haben kann. Das Recht auf Information - also die Selbstbestimmung, welche Informationen man haben und nutzen möchte - gehört hier genauso dazu wie das Recht am eigenen Bild oder das Recht, wer wann was mit den personenbezogenen Daten tun darf. Inbegriffen ist ein jederzeitiges Widerspruchsrecht hierfür.

Kontrollorgane
Was viele nicht wissen: Das BDSG und damit der Datenschutz werden zunehmend kontrolliert. In Deutschland gilt das Prinzip der Selbstverwaltung, welches jedoch durch Aufsichtsbehörden unterstützt wird. Im Bereich Datenschutz und Datensicherheit sind für die Einhaltung der gesetzlichen Vorgaben die Datenschutzbeauftragten im Öffentlichen Dienst bzw. die betrieblichen Datenschutzbeauftragten zuständig. Dazu kommen die Landesbeauftragten (LfDs) und der Bundesbeauftragte für den Datenschutz (BfD). Der BfD ist erreichbar unter www.datenschutz-berlin.de. Dort finden sich auch sehr viele weitere nützliche Links rund ums Thema, u.a. auch eine Liste der LfDs.

Outsourcing
Anfallende Aufgaben werden an einen externen Anbieter abgegeben ("Auslagerung"), häufig handelt es sich dabei um Personalverwaltung oder Buchhaltungsaufgaben. Das Datenschutzgesetz unterscheidet hierbei zwei Fälle: Bei der "Auftragsdatenverarbeitung" gilt der externe Dienstleister als "verlängerter Arm" des Auftraggebers, die Verantwortung für den Datenschutz bleibt beim Auftraggeber. Eine Funktionsübertragung findet dann statt, wenn eine Aufgabe komplett und mit allen Verantwortlichkeiten an eine dritte Stelle abgeben wird. In diesem Fall geht auch die Verantwortung für den Schutz der personenbezogenen Daten auf den Auftragnehmer über.

Personenbezogene Daten
Personenbezogene Daten sind nach dem BDSG Informationen über eine natürliche Person, die zum einen den Menschen als solchen betreffen, zum anderen seine Lebensumstände. Diese Daten werden durch das BDSG geschützt.

Privatsphäre
"Ich habe nichts zu verbergen.", ist ein viel strapazierter Satz, fragt man jemanden. Doch damit irrt man sich: Der Gesetzgeber selbst hat sogar entschieden, dass jeder Mensch Geheimnisse haben sollte und diese darüber hinaus unter gesetzlichen Schutz gestellt. Beispiel? Aber gerne doch: Arztgeheimnis, Postgeheimnis, Beichtgeheimnis, Bankgeheimnis (wurde gerade eben erst wieder gekippt) und viele weitere...

Rechte des Betroffenen
Der Einzelne hat nach dem BDSG klar definierte Rechte, wenn es um seine persönlichen Daten geht. Nach 19 ist dem Betroffenen auf Antrag Auskunft zu erteilen über alle ihn betreffenden gespeicherten Daten und deren Herkunft, die Empfänger der Daten und der Zweck der Speicherung. Werden Daten ohne Kenntnis des Betroffenen gespeichert, ist er zumindest im Nachhinein darüber zu informieren.
Natürlich sind personenbezogene Daten zu berichtigen, sofern sie nicht zutreffend sind, unberechtigt verwendete Personendaten sind zu löschen - sofern dies technisch nicht zuverlässig möglich sein sollte, zumindest für eine weitere Nutzung zu sperren.
Letztlich hat der Betroffene jederzeit das Recht, der Verwendung seiner persönlichen Daten zu widersprechen - ohne Angabe von Gründen.

Übermittlung personenbezogener Daten
Grundsätzlich geschieht eine Übermittlung von Daten geschieht nach dem BDSG immer dann, wenn eine Stelle personenbezogene Informationen an Dritte weitergibt oder zum Abruf verfügbar macht. Die Form der Weitergabe - also mündlich, schriftlich, per E-Mail, Fax oder Datenträger - spielt hierbei keine Rolle. Auch die Veröffentlichung von Personendaten, zum Beispiel im Internet, Leistungstabellen oder kirchlichen Nachrichten und in Aushängen, gilt als Übermittlung. Keine Datenübermittlung findet statt, wenn die personenbezogenen Daten im Rahmen einer Datenverarbeitung im Auftrag weitergegeben werden ("Auftragsdatenverarbeitung").

Verantwortliche Stelle
Als verantwortliche Stelle bezeichnete man ursprünglich die Stelle, die Daten über eine Person zu eigenen Geschäftszwecken speichert. Sie wird in der Praxis auch als "Herr der Daten" bezeichnet. Allerdings wurde der Begriff mit der Novellierung des BDSG 2001 neu belegt, da auch Normadressaten, die eine Erhebung von Personendaten durchführen, auch schon in die Verantwortung für einen sorgsamen Umgang mit solch sensiblen Daten genommen werden sollen.

Verwendung personenbezogener Daten
Das BDSG unterscheidet einige Formen der Datenverwendung: Erhebung, Verarbeitung, Speicherung, Veränderung, Nutzung und Übermittlung.
Erhebung ist die Beschaffung personenbezogener Daten, diese hat in der Regel beim Betroffenen selbst zu erfolgen. Ist dies nicht möglich, ist er zumindest im Nachhinein zu informieren. Werden personenbezogene Daten von einer nicht-öffentlichen Stelle erhoben, so ist auch diese auf die Freiwilligkeit ihrer Angaben hinzuweisen.
Generell ist jegliche Verwendung nur zur Erfüllung einer konkreten Aufgabe bzw. nur für den Zweck, für den Personendaten erhoben wurden, zulässig. Auch hier muss üblicher Weise der Betroffene zugestimmt haben - mit wenigen Ausnahmen.

Widerspruchsrecht
Der Betroffene kann jederzeit einer einmal gegebenen Einwilligung zur Nutzung seiner personenbezogenen Daten widersprechen, auch wenn die Daten ohne seine Einwilligung verwendet wurden. Ausnahme: Fälle, in denen die Daten aus gesetzlichen Gründen erforderlich sind, wie etwa in Strafverfolgungsangelegenheiten.

Zweckbindung
Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder genutzt, so hat dies ausschließlich auf Grund einer klaren, vorher benannten Verwendung - dem Zweck - zu geschehen. Dieser Zweck muss den betroffenen Personen mitgeteilt werden. Sollen die Personendaten für einen weiteren Zweck genutzt werden, ist eine erneute Einwilligung der betroffenen Personen einzuholen.


Stand: 26.11.2005, Fortsetzung folgt.

 

<< zurück zur Übersicht Datenschutz