Einführung / Grundlagen II

Datenschutzrecht 

FH Kiel, Master Studiengang 

Allgemeine Grundlagen des Datenschutzrechts 

(Goldene Regeln II) 

09. Oktober 2013 

Harald Zwingelberg 

www.datenschutzzentrum.de 

• Was sind personenbezogene Daten? 

siehe § 3 Abs. I BDSG 

Aufwärmfragen II 

• Warum unterscheidet das Datenschutzrecht 

zunächst nicht zwischen „harmlosen“ und 

„sensiblen“ personenbezogenen Daten? 

Lösung: siehe Volkszählungsurteil. Es gibt keine 

unwichtigen Daten (Verkettung möglich, 

Kontextverlust der Daten: Adresse in guter 

Wohngegend oder JVA?) 

H. Zwingelberg: Datenschutzrecht I 2 

1


E-Mail-Newsletter 

Fall: Newsletter 

a) Der Anbieter eines Email-Newsletters fordert von den Abonnenten 

Angaben zu 

- Name 

- Adresse 

- Email-Adresse 

- Geschlecht 

- Alter 

Welche dieser Angaben sind zur Durchführung des Dienstes 

erforderlich? 

b) Wie stellt sich die Situation dar, wenn es nicht um 

das Abonnieren eines Newsletters, sondern um 

den Erwerb einer Ware via Internet geht? 



Übersicht 

• Grundprinzipien des Datenschutzes (7 goldene Regeln) 

1. Rechtmäßigkeit 

2. Einwilligung 

3. Zweckbindung 

4. Erforderlichkeit 

5. Transparenz 

6. Datensicherheit 

7. Kontrolle 

Quelle: Bizer, DuD 2007, 31 => Zur Lektüre empfohlen! 

http://www.johann-bizer.de/dmdocuments/allgemein/Bizer,%207-Goldene%20Regeln%20DuD%202007-05.pdf 


2


Rechtmäßigkeit 

Kern: Datenverarbeitung ist verboten, sofern nicht 

erlaubt in Gesetz oder via Einwilligung 

• § 4 Bundesdatenschutzgesetz 

„(1) Die Erhebung, Verarbeitung und Nutzung 

personenbezogener Daten sind nur zulässig, soweit 

dieses Gesetz oder eine andere Rechtsvorschrift dies 

erlaubt oder anordnet oder der Betroffene eingewilligt 

hat.“ 

• Jede Datenverarbeitung bedarf einer Rechtsgrundlage 

Gesetz § 28 Abs. 1 Satz 1 Nr. 1 

Andere Rechtsvorschrift SGB, TKG, TMG, BerufsO 

Einwilligung 




Rechtfertigung: Einwilligung oder gesetzliche Grundlage 

Umgang mit personenbezogenen Daten 

Erlaubt durch..? 

U 

N 

Z 

Informierte 

Einwilligung 

N 

e 

i 

n 

Spezialgesetz 

Bund 

N 

e 

i 

n 

Spezialgesetz 

Land 

N 

e 

i 

n 

TarifV, 

BetriebsVB, 

Satzung 

N 

e 

i 

n 

BDSG 

N 

e 

i 

n 

U 

L 

Ä 

S 

Ja Ja Ja Ja 

Ja 

S 

I 

ZULÄSSIG 

G 

Quelle: nach Tinnefeld, 2005 


3



Was ist wichtig? 

Jede Datenverarbeitung ist verboten, es sei denn sie 

ist erlaubt durch spezielle Normen, Einwilligung 

oder das BDSG bzw. LDSG, § 4 I BDSG. 

Jedes Stadium der Datenverarbeitung bedarf einer 

Rechtsgrundlage. 



Einwilligung 

§ 4a Bundesdatenschutzgesetz 

Eine Einwilligung ist eine Willensbekundung der/des 

Betroffenen, die freiwillig, für den konkreten Fall und in 

Kenntnis der Sachlage erfolgt und mit der die betroffene 

Person zustimmt, dass die sie betreffenden 

personenbezogenen Daten erhoben, verarbeitet 

oder/und genutzt werden. 


4


• Information 

Welche Daten werden verarbeitet? 

Wer verarbeitet? 

Zu welchem Zweck? 

• Freiwilligkeit 

Kopplungsverbot Lockvogelangebote 

Wirtschaftliche Abhängigkeit Arbeitsverhältnis 

Einsichtsfähigkeit entscheidet nicht Geschäftsfähigkeit 

• Formalien 

Hervorhebung der Einwilligungserklärung 

Schriftlichkeit 

Regelfall Schriftform 

Einwilligung 

seit 2009: § 28 IIIb 

+ eindeutige Regelung 

Vertragsabschluss nicht 

abhängig von Einwilligung 

seit 2009: § 28 IIIa 

+ oder schriftl. Bestätigung 

+ oder Protokollierung 

Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking,… 



Einwilligung 

neu 2009: § 28 IV 

+ Klarstellung: Pflicht zur Unterrichtung 

+ Keine strengere Form für Widerruf als 

für den Vertragsschluss 

• Widerruflichkeit der Einwilligung 

Ab jetzt und für die Zukunft (ex nunc) (+) 

Für die Vergangenheit (ex tunc) (-) 


5


Einwilligung 

Problemfall: Zu weit gefasste Einwilligung 

• Soweit gesetzliche Rechtsgrundlage vorliegt, ist auf diese 

zurückzugreifen. 

• Im privaten Bereich: gesetzlicher Tatbestand ist zu 

benennen. Andernfalls wird der Betroffene über die 

Reichweite der Einwilligung und Widerruf getäuscht. Der 

Rückgriff auf den gesetzlichen TB ist dann nach Treu und 

Glauben ausgeschlossen. 

• Im öffentlichen Bereich: Soweit Einwilligung eingeholt wird, 

muss eine Verweigerung auch rechtlich und tatsächlich 

akzeptiert werden können. 



• Die Einwilligung muss 

informiert und freiwillig 

erfolgen. 


• Die Einwilligung ist 

grundsätzlich schriftlich zu 

erteilen oder schriftlich zu 

bestätigen. 

• Die Einwilligung ist mit 

Wirkung für die Zukunft 

widerruflich. 


6


Zweckbindung 

Personenbezogene Daten dürfen nur zu dem Zweck 

verarbeitet und genutzt werden, zu dem sie erhoben 

worden sind. 

§ 28 Abs. 1 Satz 2 Bundesdatenschutzgesetz 

„Bei der Erhebung personenbezogener Daten sind die 

Zwecke, für die die Daten verarbeitet oder genutzt 

werden sollen, konkret festzulegen.“ 



Zweckbindung 

• Festlegung des Verwendungszwecks vor Erhebung der 

Daten 

Erhebung, § 28 Abs. 1 S. 2 BDSG 

Als Empfänger, § 28 Abs. 5 BDSG 

Eigene Geschäftszwecke, § 28 BDSG 

Fremde Geschäftszwecke, § 29 BDSG 

• Vertragszweck 

Hauptfall der Datenverarbeitung ist die Vertragserfüllung 

Zweckbindung des § 28 Abs. 1 Nr. 1 Bundesdatenschutzgesetz: 

Begründung, Durchführung oder Beendigung eines 

Schuldverhältnisses (Vertrag) 

Besondere Zweckbindung Datenschutzkontrolle, § 31 BDSG 

Logfiles, Zugriffsprotokolle, Backupmedien 


7


Zweckänderung 

• Änderung des Verwendungszwecks 

nur zulässig mit Legitimation (Gesetz, Einwilligung) 

§ 28 Abs. II, III BDSG 

Übermittlung/Nutzung zu anderen Zweck: 

Wahrung berechtigter Interessen eines Dritten 

Öffentliche Sicherheit 

Werbung, Markt- und Meinungsforschung 

„Listenprivileg“, § 28 III S. 2 BDSG 

Forschung 

komplett neu 2009: 

§ 28 II, III 




Gesetzliche Grundlagen bei eigenen (Geschäfts-) Zwecken 

• Verwendung zu Werbezwecken 

Listenprivileg: § 28 Abs. 2 S. 2 BDSG 2009 

Listenmäßig zusammengefasste Daten 

Für eigene Angebote, an Gewerbe, für Spenden 

Kein Widerspruch und Widerspruchsbelehrung 

„opt-out“ (§ 28 Abs. 4 BDSG) 

Bei Weitergabe: Stelle, die Daten erhoben hat muss aus 

Werbung hervorgehen komplett neu 2009: 

§ 28 II, III 

H. Zwingelberg: Datenschutzrecht IÍ 16 

8



Gesetzliche Grundlagen bei eigenen (Geschäfts-) Zwecken 

• Verwendung zu anderen Zwecken 

§ 28 Abs. 2 Bundesdatenschutzgesetz 

Berechtigtes Interesse (§ 28 Abs. 1 Nr. 2) oder 

allgemein zugänglich (§ 28 Abs. 1 Nr. 3) 

Kein Grund zur Annahme schutzwürdiger Interessen 

der Betroffenen (§ 28 Abs. 1 Nr. 2) 

insbesondere kein Widerspruch (§ 28 Abs. 4) 



Zweckbindung 

Zweckbindung bei der Erfüllung fremder (Geschäfts-) Zwecken 

• Übermittlung für Werbung, Markt und Meinungsforschung, 

Adresshandel und Auskunfteien 

neu IV 2010: §§ 28a, 28b 

Beispiele: Auskunfteien (Schufa), Adresshandel (Schober) 

• Übermittlung in anonymisierter Form 

§ 30 BDSG 

Beispiel: Meinungsforschung (Infratest) 


9



• Personenbezogene Daten dürfen nur zu dem Zweck 

verwendet werden, zu dem sie erhoben wurden 

(Zweckbindung). 

Der wichtigste Regelfall der Zweckbindung ist die 

Verwendung für Zwecke der Vertragserfüllung. 

• Die Zweckänderung der Verwendung bedarf einer 

gesonderten Legitimation durch eine Vorschrift des 

Datenschutzrechts oder die Einwilligung der Betroffenen. 

Der wichtigste Regelfall der Zweckänderung ist die 

Verwendung von Kundendaten für Werbezwecke. 



Erforderlichkeit 

Die Datenverarbeitung ist auf 

den für Ihren Erhebungszweck 

notwendigen Umfang zu 

begrenzen. 

Art 

Umfang 

Dauer der 

Datenverarbeitung 


10



• Tatbestandsmerkmal 

z.B. § 28 Abs. 1 Nr. 2 Bundesdatenschutzgesetz 

„erforderlich“ 

Einzelfallbetrachtung: Interessenabwägung 

Datenerhebung muss für Zweckerfüllung unverzichtbar 

sein 

Keine Datenerhebung auf Vorrat 

neu 2009: § 3a 

• Datensparsamkeit + als Zielvorgabe im Gesetz 

§ 3a Bundesdatenschutzgesetz 

Gestaltung von Verarbeitungssystemen 




Löschung / Sperrung, § 35 BDSG 

• Personenbezogene Daten müssen gelöscht werden, wenn 

Speicherung unzulässig [Verknüpfung mit §§4, 4a, 28 ff] 

sensible Daten nach § 3 Abs. 9, deren Richtigkeit nicht bewiesen 

Kenntnis für Zwecke der Speicherung nicht mehr erforderlich (§ 28) 

Prüfung nach 4 Jahren die Erforderlichkeit nicht mehr festgestellt 

werden kann => Prüfpflicht für Auskunfteien, § 35 II Nr. 4 BDSG 

§ 6b: Videoüberwachung 

• Keine Löschung, sondern Sperrung, wenn 

Aufbewahrungsfristen entgegenstehen (z.B. handels- oder 

steuerrechtliche Aufbewahrungsfristen: § 257 Handelsgesetzbuch, 

§_147 Abgabenordnung, § 10 Berufsordnung-Ärzte) 

durch Löschung schutzwürdige Interessen des Betroffenen (!) 

beeinträchtigt würden 

unverhältnismäßig hoher Aufwand für Löschung (eng auszulegen) 


11



• Der Grundsatz der Erforderlichkeit knüpft an den jeweils 

verfolgten Zweck an: 

Für die Erreichung des festgelegten Zwecks müssen die 

persönlichen Daten geeignet und erforderlich sein. 

Verwaltung: nur diejenigen Daten, die für die Erfüllung der 

Aufgaben erforderlich sind 

Wirtschaft: grundsätzlich nur diejenigen Daten, die für Abwicklung 

des Vertrages erforderlich sind 

• (Negativ-)Beispiele: 

Angabe von Telefonnummer, Geburtsdatum bei einem Kauf 

Verlangen nach polizeilichen Führungszeugnis bei der Bewerbung 

Antworten auf Gesundheitsfragen bei der Wohnungssuche 

Zur Ermittlung der Alterstruktur im Unternehmen genügt Statistik 

der Personalabteilung – keine Liste aller Geburtsdaten! 




Personenbezogene Daten dürfen nach Art, Umfang und 

Dauer nur soweit erhoben, verarbeitet und genutzt werden, 

wie dies zur Erfüllung des jeweiligen Zwecks im Einzelfall 

für die datenverarbeitende Stelle unverzichtbar ist. 

Personenbezogene Daten, die nicht mehr erforderlich sind, 

müssen gelöscht oder bei bestehenden Speicherpflichten 

aus anderen Gründen gesperrt werden. 


12


Transparenz 

Die/der Betroffene muss in der Lage sein zu erfahren, wer 

welche Art von Daten in welchem Umfang und zu welchem 

Zweck erhebt, verarbeitet oder nutzt. 

Allgemeine und besondere Informations- und 

Benachrichtigungspflichten der verantwortlichen Stelle 

Organisatorische Transparenzverpflichtungen 

Auskunftsansprüche der Betroffenen 



Transparenz 

Grundsatz der „offenen Erhebung“ und „Direkterhebung“ 

• Unterrichtungspflichten 

§ 4 Abs. 2 Satz 1 Bundesdatenschutzgesetz 

Inhalt § 4 Abs. 3 Bundesdatenschutzgesetz 

Identität der verantwortlichen Stelle 

Zweckbestimmung 

Kategorien von Empfängern 

• Ausnahmen § 4 Abs. 2 Bundesdatenschutzgesetz 

Rechtsvorschrift 

Art der Aufgabe oder Geschäftszweck 

Unverhältnismäßiger Aufwand 

• Benachrichtigung § 33 Bundesdatenschutzgesetz 

Nachträgliche Information bei Speicherung ohne Kenntnis der/des 

Betroffenen 


13


Transparenz 

Auskunftsanspruch, § 34 BDSG !Neuregelung 2010! 

• Inhalt 

Art und Herkunft der gespeicherten personenbezogenen 

Daten 

2009: Speicherpflicht für Herkunft 

Empfänger oder Kategorien von Empfängern 

Zweck der Speicherung 

• Konkretisierung des Auskunftsbegehrens 

Bezeichnung der zu beauskunftenden Daten z.B. mit 

Kundenummer 

Zeitpunkt der Vertragsschlusses 



Auskunftserteilung 

• grundsätzlich schriftlich 

Transparenz 

neu 2010: § 34VI 

-Auf Verlangen 

+Textform 

• kostenlos 

Ausnahme: Nutzung zu 

wirtschaftlichen Zwecken möglich 

z.B. Bonitätsauskunft kann auch bei 

Vermieter vorgelegt werden. 

neu 2010: § 34VIII 

+ 1xjährlich kostenlos 


14


Besondere Informationspflichten 

Transparenz 

• § 6b BDSG: Videoüberwachung öffentlich zugänglicher Räume 

Umstand der Beobachtung und 

verantwortliche Stelle sind erkennbar zu machen 

• § 6c BDSG: Einsatz mobiler Speicher- und Verarbeitungsmedien 

Information durch die ausgebende oder durchführende Stelle über: 

ihre Identität und Anschrift 

Funktionsweise des Mediums 

Art der zu verarbeitenden personenbezogenen Daten 

Möglichkeit wie Rechte nach §§ 34 und 35 auszuüben sind 

Maßnahmen bei Verlust oder Zerstörung des Mediums 

• § 6a II 2 BDSG: automatisierte Einzelfallentscheidung 

Unterrichtung und Gelegenheit zur individuellen Nachprüfung 




Personenbezogene Daten sind bei den Betroffenen zu 

erheben. Dabei sind sie über die Identität der 

verantwortlichen Stelle, die Art der Daten, den Zweck der 

Verarbeitung sowie die Kategorien der Empfänger zu 

unterrichten. 

Ist die Erhebung nicht direkt bei den Betroffenen erfolgt, 

sind diese nachträglich davon zu unterrichten. 

Betroffene haben einen Auskunftsanspruch gegenüber der 

verantwortlichen Stelle. 


15


Datensicherheit 

Datenschutz ist nur gewährleistet, wenn die personenbezogenen 

Daten auch technisch und organisatorisch sicher verarbeitet 

werden. 

§ 9 Bundesdatenschutzgesetz und 

Anlage zum Bundesdatenschutzgesetz 

Technische Maßnahmen 

Organisatorische Maßnahmen (innerbetriebliche Organisation) 

• Schutzziele 

Vertraulichkeit 

Integrität 

Verfügbarkeit 



Datensicherheit 

• Maßnahmen 

Anlage zum Bundesdatenschutzgesetz (zu § 9 BDSG) 

Zutrittsschutz 

Zugangsschutz 

Zugriffsschutz 

Schutz bei der Übermittlung 

Protokollierung 

Kontrolle des Auftragsdatenverarbeiters 

Verfügbarkeit der Daten 

Trennungsgebot 


16


Informationspflicht bei Datenverlust 

Neu 2009: § 42a BDSG Informationspflicht 

• Pflicht Betroffenen und die Behörde zu informieren, bei 

unrechtmäßiger Übermittlung von 

besondere Arten personenbezogener Daten 

Daten die Berufsgeheimnis unterliegen (Arzt, RA) […] 

Bank- und Kreditkartendaten 

und 

schwerwiegende Beeinträchtigungen drohen 

• Bußgeldbewährt bis € 300.000 



Ausblick: Schutzziele 

Integrität 

Nichtverkettbarkeit 



Transparenz 

Intervenierbarkeit 

Grafik basiert auf: 

Rost/Pfitzmann, 2009: Schutzziele revisited; in: DuD 2009/06: 353ff. 


17


Ausblick: Schutzziele und goldene Regeln 

• Rechtmäßigkeit 

• Einwilligung 

• Zweckbindung 

• Erforderlichkeit 

k.A. 

Transparenz Intervenierbarkeit 



• Transaprenz 

Transparenz 

Intervenierbarkeit 

• Datensichrheit 


Integrität 


• Kontrolle 

Transparenz 


Integrität 




Die Erhebung, 

Verarbeitung und Nutzung 

personenbezogener Daten 

ist durch technische und 

organisatorische 

Maßnahmen zu schützen 

Bei Datenverlust sind die 

Betroffenen zu unterrichten 


18


Kontrolle 

Die Datenverarbeitung unterliegt einer internen und 

externen Kontrolle. 

• Externe Kontrolle 

Aufsichtsbehörden 

§ 38 BDSG 

• Interne Kontrolle 

Betrieblicher Datenschutzbeauftragter 

§ 4g BDSG 



Externe Kontrolle 

Aufsichtbehörde § 38 Bundesdatenschutzgesetz 

• Befugnisse 

Unterrichtung der Betroffenen (!) 

Anzeige bei Bußgeldbehörden und Staatsanwaltschaft 

Unterrichtung der Gewerbeaufsicht / Kammern 

Veröffentlichung im Tätigkeitsbericht 

Untersagung von Verfahren 

Anordnung technisch und organisatorischer Maßnahmen 

Abberufung des Datenschutzbeauftragten 


19


Externe Kontrolle 

• Pflichten der kontrollierten Stelle § 38 BDSG 

Auskunftspflicht 

Duldung der Betretung 

Duldung von Prüfungen und Besichtigungen 

Einsichtnahme in geschäftliche Unterlagen 

Einsicht in Verfahrensverzeichnis, Daten und Programme 

• Sanktionen 

Ordnungswidrigkeit § 43 BDSG 

Straftat § 44 BDSG 


Vielen Dank für Ihre 

Aufmerksamkeit! 

Kontakt: 

Harald Zwingelberg 

hzwingelberg@datenschutzzentrum.de 


0431/988-1228 

20

Einführung / Grundlagen II

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?