Einführung ins Datenschutzrecht Organisatorisches I: Material ...

Einführung ins 

Datenschutzrecht 

Henry Krasemann 

CAU-Vorlesung 

17.04.2013 

(Folien teilweise von Harald Zwingelberg) 

Organisatorisches II 

• Prüfungsleistung: Klausur über alle Bestandteile der 

Veranstaltung 

• Anteil Datenschutzrecht an der Gesamtleistung: 2/3 

• Üblicher Aufbau im Datenschutzrecht: Freitext- 

Fragen, Multiple Choice, evtl. ein kleiner Fall 

• Es wird voraussichtlich eine Übungsklausur im 

Rahmen der Übungen gestellt und besprochen. 

www.datenschutzzentrum.de 

Kurzvorstellung: Was macht das ULD? 

Prüfung Beratung Schulung 

inkl. 

DATEN- 

SCHUTZ- 

AKADEMIE 

Primäre 

Adressaten: 

Öffentl. Verwaltungen 

Unternehmen 

Bürger, Kunden, Patienten 

IT-Labor Modellprojekte 

Wirtschaft, 

Wissenschaft, 

Verwaltung 

Gütesiegel Audit 

3 

5 

Organisatorisches I: Material 

• Die Folien der Veranstaltungen werden auf der Seite 

https://www.datenschutzzentrum.de/vorlesungen/ 

zur Verfügung gestellt 

• Ausgeteilte Gesetzestexte: Dürfen auch für die 

Klausur verwendet werden. Unterstreichungen und 

Hervorhebungen sind erlaubt. Ebenso 

Paragraphenverweise in der Form „=> § 3 VIII“ 

nicht aber Anmerkungen mit Wörtern oder Text. 

Literatur 

• Literaturhinweise zur Vertiefung (Kauf für 

Vorlesung oder Klausur nicht erforderlich): 

Hoeren-Skript: www.unimuenster.de/Jura.itm/hoeren/materialien/Skript 

/Skript_Internetrecht_April_2013.pdf 

Lehrbuch zum Datenschutzrecht von 

Kühling/Seidel/Sivridis, 2011 

Kommentar zum BDSG Gola und Schomerus 

Referenzwerk: Siomitis Kommentar zum BDSG 


• Identitätsmanagement – PrimeLife, PRIME und FIDIS 

• Europäisches Datenschutz-Gütesiegl - EuroPriSe 

• Anonymität im Internet - AN.ON 

• Datenschutz in Online-Spielen – DOS 

• Audit für Biobanken – bdc-Audit 

• Datenschutz in Bürgerportalen 

• Europäische Melderegisterauskunft - RISER 

• Verbraucherdatenschutz und Datenschutzrecht im Scoring 

• Datenschutzanforderungen für die Forschung – PRISE 

• Virtuelles Datenschutzbüro – www.datenschutz.de 

Projekte 

2 

4

Warum gibt es Datenschutzrecht? 

Entwicklung des Datenschutzes I 

• Anfang der 70er Jahre: Computer in Verwaltung und 

Wirtschaft 

• 1970: erstes Datenschutzgesetz in Hessen als erstes 

allgemeines Datenschutzgesetz der Welt 

• 1977: Bundesdatenschutzgesetz 

– Einführung von Datenschutzbeauftragten 

– Automatisierte Datenverarbeitung 

– Schutz personenbezogener Daten 

• 1978: Landesdatenschutzgesetz Schleswig-Holstein 

• 1981: alle Bundesländer haben ein LDSG 

• 1983: Volkszählungsurteil 

Informationelle Selbstbestimmung 

Herleitung des Grundrechts 

• Art. 1, Abs. 1 GG: 

Die Würde des Menschen ist 

unantastbar. Sie zu achten 

und zu schützen ist 

Verpflichtung aller 

staatlichen Gewalt.„ 

• Art. 2, Abs. 1 GG: 

"Jeder hat das Recht auf die 

freie Entfaltung seiner 

Persönlichkeit, soweit er 

nicht die Rechte anderer 

verletzt und nicht gegen die 

verfassungsmäßige Ordnung 

oder das Sittengesetz 

verstößt." 

Inhalt der Informationellen 

Selbstbestimmung 

1. Recht der 

Selbstbestimmung über die 

Preisgabe und Verwendung 

eigener Daten zu 

bestimmen 

2. Schutz der Privatsphäre 

3. Freie Entfaltung der 

Persönlichkeit 

4. Aufrechterhaltung fairer 

Kommunikationsverhältnisse 

9 

11 

Volkszählungsurteil 

• BVerfGE 65, 1: Anlass Verfassungsbeschwerde 

gegen Volkszählungsgesetz 

• Melderegisterabgleich, Vermischung administrativer 

und statistischer Funktionen 

• Wesentliche Inhalte: 

– Die automatisierte Datenverarbeitung birgt die Möglichkeit der Auswertung 

und Verknüpfung von Datenbeständen, die an verschiedenen Orten vorhanden 

sind: keine belanglosen Informationen 

– Möglich wird damit eine vollständige Offenlegung der Privatsphäre der Bürger 

(Stichwort: „gläserner Bürger“) 

– [Es] wird der Schutz des Einzelnen gegen unbegrenzte Erhebung […] seiner 

persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 

GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet 

insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe 

und Verwendung seiner persönlichen Daten zu bestimmen: 

=> Recht auf informationelle Selbstbestimmung 

BVerfG Online-Durchsuchung 

Schutz infomationstechn. Systeme 

• Bundesverfassungsgericht 27. Feb. 2008 

• Sachverhalt: 

Verfassungsschutzgesetz NRW sah Möglichkeit der Online-Durchsuchung vor. 

• Urteil: Gesetz ist verfassungswidrig weil unverhältnismäßig, Schwere des 

Eingriffs muss besonders schwerwiegende Gefahr gegenüberstehen 

• Eingriffsvoraussetzungen: 

Tatsächliche Anhaltspunkte für… 

konkrete Gefahr für ein… 

überragend wichtiges Rechtsgut (Leib, Leben, Freiheit der Person, Bestand 

des Rechtsstaates) 

• Ein Ermächtigungsgesetz muss vorsehen: 

richterliche Anordnung 

Vorkehrungen für Schutz des Kernbereichs privater Lebensführung 

• Erhebung aus laufendem Telekommunikationsvorgang unterfällt Art. 10 GG 

⇒ Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität 

informationstechnischer Systeme 

8 

10 

12

Personenbezogene Daten 

Was Bedeutet der Begriff Datenschutz? 

Schutz von Daten? 

⇒ Schutz der Person, deren Daten verarbeitet werden! 

u.a. 

Persönliche oder familiäre Tätigkeiten 

• Ausnahme vom Anwendungsbereich des BDSG 

• Persönliche oder familiäre Tätigkeiten, § 1 II Nr. 3 BDSG 

Abgrenzung des Bereichs persönlicher Lebensführung von 

beruflicher und geschäftlicher Sphäre. 

Äußerer Rahmen, organisatorische Anlage und inhaltliche 

Konzeption müssen persönliche/familiäre Zwecksetzung erkennen 

lassen. 

Beispiel: Nutzung einer Adressdatei auf PC von Familie und 

Freunden, private Fotosammlung, Urlaubsbilder. 

Nicht aber: Mitgliederliste eines Vereins, private Homepage, Social 

networks 1 . 

Bei intensiven Rechtseingriffen: Abwehransprüche aus BGB möglich 

1 zu social networks siehe: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf 

Personenbezogenes Datum? § 3 I BDSG 

• Einzelangaben über 

Persönliche und sachliche Verhältnisse 

Einer bestimmten oder bestimmbaren natürlichen Person 

• Pseudonymisierung? 

Ersetzen des Namens und anderer Identifikationsmerkmale durch ein 

Kennzeichen 

Bestimmbarkeit über Zuordnungsregel noch gegeben, damit liegt weiterhin 

Personenbezug vor. (juristisch umstritten: z.B. dynamische IP-Adressen) 

• Anonymisierung? 

Verändern von personenbezogenen Daten derart, dass Einzelangaben über 

persönliche oder sachliche Verhältnisse nicht oder nur unter 

unverhältnismäßig großem Aufwand an Zeit, Kosten, Arbeitskraft einer 

bestimmten oder bestimmbaren Person zugeordnet werden können 

Kein Personenbezug mehr! 

• Rechtsfolge: 

Anonyme Daten / pseudonyme Daten zu denen der verarbeitenden Stelle 

die Zuordnungsregel unbekannt ist (umstritten), sind keinen 

personenbezogenen Daten mehr: Erleichterung der Datenverarbeitung! 

13 

15 

17 

Personenbezogene Daten 

Personenbezogene Daten, § 3 I BDSG 

Natürliche Person 

• Kein Schutz für juristischer Personen mangels 

Menschenwürde. Aber: Schutz der natürlichen Person 

hinter der juristischen Person (Unternehmer) 

• Ggf. postmortales Persönlichkeitsrecht? 

Einzelangaben über persönliche oder sachliche Verhältnisse 

• Es gibt kein belangloses Datum unter den Bedingungen der 

automatischen Datenverarbeitung (Volkszählungsurteil). 

• Alle Informationen, die über die Bezugsperson etwas 

aussagen. 

Bestimmte oder bestimmbare Person (Betroffener), § 3 I BDSG 

• Aus den Angaben muss sich ergeben, dass sie sich auf 

Person beziehen. 

Anonymisierung, Pseudonymisierung 

Rechtsfolgen 

• BDSG / LDSG nicht 

anwendbar für anonyme 

Daten 

• BDSG anwendbar aber 

erweiterte 

Verarbeitungsbefugnisse 

bei pseudonymen Daten 

Stadien der Datenverarbeitung 

Erheben => Verarbeiten => Nutzen 

• Beschaffen von Daten über Betroffenen 

Es ist eine gezieltes Beschaffen erforderlich. Daher kein Erheben, 

wenn ein Informant einer Behörde unaufgefordert etwas mitteilt, 

Stichwort: aufgedrängte Information. (Dann aber meist „Nutzen“) 

Grundsatz der Direkterhebung: Daten sind bei dem Betroffenen 

selbst zu erheben, § 4 II 1 BDSG. 

Ohne Kenntnis des Betroffenen dürfen Daten nur im engen Rahmen 

gesetzlicher Vorschriften erhoben werden, 

soweit dies zwingend erforderlich ist für den Zweck und 

Direkterhebung nur mit unverhältnismäßigem Aufwand möglich 

Informations- und Unterrichtungspflichten sind vor der Erhebung zu 

beachten. 

14 

16 

18



• Speichern: jedes Fixieren von Daten (aufschreiben, speichern auf el. 

Datenträger, Entgegennehmen eines beschriebenen Datenträgers). 

Kein Speichern bei kurzzeitigem Zwischenspeichern 

• Verändern: Das personenbezogene Datum erhält einen neuen 

Informations- und Aussagegehalt 

• Übermitteln: Bekanntgabe an einen Dritten 

• Sperren: Kennzeichnen von Daten, um weitere Verarbeitung 

einzuschränken. Z.B. nach Widerruf, während Aufbewahrungsfristen 

• Löschen: Handlung, die dazu führt, dass Daten unkenntlich werden 

(Schreddern, Überschreiben) 

=>Anders als in der EU-DSRL im BDSG keine einheitliche Verwendung 

eines umfassenden Verarbeitungsbegriffs 

Wie funktioniert das 

Datenschutzrecht? 


19 

Rechtmäßigkeit 

Kern: Datenverarbeitung ist verboten, sofern nicht 

erlaubt in Gesetz oder via Einwilligung 

• § 4 Bundesdatenschutzgesetz 

„(1) Die Erhebung, Verarbeitung und Nutzung 

personenbezogener Daten sind nur zulässig, soweit 

dieses Gesetz oder eine andere Rechtsvorschrift dies 

erlaubt oder anordnet oder der Betroffene eingewilligt 

hat.“ 

• Jede Datenverarbeitung bedarf einer Rechtsgrundlage 

Gesetz § 28 Abs. 1 Satz 1 Nr. 1 

Andere Rechtsvorschrift SGB, TKG, TMG, BerufsO 

Einwilligung 

23 



• Jede Verwendung personenbezogener Daten, die keine 

Verarbeitung ist. 

• Auffangtatbestand für nicht aufgezählte Vorgänge z.B. 

Weitergabe an empfangende Stelle, die nicht Dritte 

sondern nur Empfänger ist. 

Kein Nutzen ist Verwendung von Daten, die sich nicht 

auf den Personenbezug erstreckt (Statistik) 

Duplizieren, Kopieren, Auszüge anfertigen 

Weitergabe an Auftragsdatenverarbeiter (kein Dritter) 


Sieben Goldene Regeln des Datenschutzes 

• Rechtmäßigkeit 

Gesetz, Einwilligung, Vertrag, Dienst- oder Betriebsvereinbarung 

• Einwilligung 

Informiert und freiwillig 

• Zweckbindung 

Verwendung nur für Erhebungszweck 

• Erforderlichkeit und Datensparsamkeit 

Verarbeitung nur soweit für Erhebungszweck erforderlich 

• Transparenz und Betroffenenrechte 

Unterrichtung über Verwendung, Auskunfts-/Berichtigungs-/Löschrechte 

• Datensicherheit 

Technische und organisatorische Maßnahmen 

• Kontrolle 

Interner / externer Datenschutzbeauftragter; Audit 

Was ist wichtig? 


Rechtmäßigkeit 

Jede Datenverarbeitung ist verboten, es sei denn sie 

ist erlaubt durch spezielle Normen, Einwilligung 

oder das BDSG bzw. LDSG, § 4 I BDSG. 

Jedes Stadium der Datenverarbeitung bedarf einer 

Rechtsgrundlage. 

20 

22 

24


§ 4a Bundesdatenschutzgesetz 

Einwilligung 

Eine Einwilligung ist eine Willensbekundung der/des 

Betroffenen, die freiwillig, für den konkreten Fall und in 

Kenntnis der Sachlage erfolgt und mit der die betroffene 

Person zustimmt, dass die sie betreffenden 

personenbezogenen Daten erhoben, verarbeitet 

oder/und genutzt werden. 


Zweckbindung 

Personenbezogene Daten dürfen nur zu dem Zweck 

verarbeitet und genutzt werden, zu dem sie erhoben 

worden sind. 

§ 28 Abs. 1 Satz 2 Bundesdatenschutzgesetz 

„Bei der Erhebung personenbezogener Daten sind die 

Zwecke, für die die Daten verarbeitet oder genutzt 

werden sollen, konkret festzulegen.“ 


Die Datenverarbeitung ist auf 

den für Ihren Erhebungszweck 

notwendigen Umfang zu 

begrenzen. 

Art 

Umfang 

Dauer der 

Datenverarbeitung 

Erforderlichkeit 

25 

27 

29 


• Die Einwilligung muss 

informiert und freiwillig 

erfolgen. 

• Die Einwilligung ist 

grundsätzlich schriftlich zu 

erteilen oder schriftlich zu 

bestätigen. 

• Die Einwilligung ist mit 

Wirkung für die Zukunft 

widerruflich. 



Zweckänderung 

• Änderung des Verwendungszwecks 

nur zulässig mit Legitimation (Gesetz, Einwilligung) 

§ 28 Abs. II, III BDSG 

Übermittlung/Nutzung zu anderen Zweck: 

Wahrung berechtigter Interessen eines Dritten 

Öffentliche Sicherheit 

Werbung, Markt- und Meinungsforschung 

„Listenprivileg“, § 28 III S. 2 BDSG 

Forschung 


komplett neu 2009: 

§ 28 II, III 

Erforderlichkeit 

• Der Grundsatz der Erforderlichkeit knüpft an den jeweils 

verfolgten Zweck an: 

Für die Erreichung des festgelegten Zwecks müssen die 

persönlichen Daten geeignet und erforderlich sein. 

Verwaltung: nur diejenigen Daten, die für die Erfüllung der 

Aufgaben erforderlich sind 

Wirtschaft: grundsätzlich nur diejenigen Daten, die für Abwicklung 

des Vertrages erforderlich sind 

• (Negativ-)Beispiele: 

Angabe von Telefonnummer, Geburtsdatum bei einem Kauf 

Verlangen nach polizeilichen Führungszeugnis bei der Bewerbung 

Antworten auf Gesundheitsfragen bei der Wohnungssuche 

Zur Ermittlung der Alterstruktur im Unternehmen genügt Statistik 

der Personalabteilung – keine Liste aller Geburtsdaten! 

26 

28 

30



Personenbezogene Daten dürfen nach Art, Umfang und 

Dauer nur soweit erhoben, verarbeitet und genutzt werden, 

wie dies zur Erfüllung des jeweiligen Zwecks im Einzelfall 

für die datenverarbeitende Stelle unverzichtbar ist. 

Personenbezogene Daten, die nicht mehr erforderlich sind, 

müssen gelöscht oder bei bestehenden Speicherpflichten 

aus anderen Gründen gesperrt werden. 



Personenbezogene Daten sind bei den Betroffenen zu 

erheben. Dabei sind sie über die Identität der 

verantwortlichen Stelle, die Art der Daten, den Zweck der 

Verarbeitung sowie die Kategorien der Empfänger zu 

unterrichten. 

Ist die Erhebung nicht direkt bei den Betroffenen erfolgt, 

sind diese nachträglich davon zu unterrichten. 

Betroffene haben einen Auskunftsanspruch gegenüber der 

verantwortlichen Stelle. 



Die Erhebung, 

Verarbeitung und Nutzung 

personenbezogener Daten 

ist durch technische und 

organisatorische 

Maßnahmen zu schützen 

Bei Datenverlust sind die 

Betroffenen zu unterrichten 

31 

33 

35 


Transparenz 

Die/der Betroffene muss in der Lage sein zu erfahren, wer 

welche Art von Daten in welchem Umfang und zu welchem 

Zweck erhebt, verarbeitet oder nutzt. 

Allgemeine und besondere Informations- und 

Benachrichtigungspflichten der verantwortlichen Stelle 

Organisatorische Transparenzverpflichtungen 

Auskunftsansprüche der Betroffenen 


Datensicherheit 

Datenschutz ist nur gewährleistet, wenn die personenbezogenen 

Daten auch technisch und organisatorisch sicher verarbeitet 

werden. 

§ 9 Bundesdatenschutzgesetz und 

Anlage zum Bundesdatenschutzgesetz 

Technische Maßnahmen 

Organisatorische Maßnahmen (innerbetriebliche Organisation) 

• Schutzziele 

Vertraulichkeit 

Integrität 

Verfügbarkeit 


Die Datenverarbeitung unterliegt einer internen und 

externen Kontrolle. 

• Externe Kontrolle 

Aufsichtsbehörden 

§ 38 BDSG 

• Interne Kontrolle 

Betrieblicher Datenschutzbeauftragter 

§ 4g BDSG 

32 

34 

Kontrolle 

36

Welche Normen sind anwendbar? 


• Art. 8 EU-Grundrechtecharta 

Grundrecht auf Datenschutz 

• EG-Datenschutzrichtlinie 95/46/EG 

Allgemeiner Rahmen 

Wird gerade überarbeitet 

• Richtlinie 2002/58/EG (überarbeitete Fassung von 2009) 

Telekommunikation / Internetdienste 

• Richtlinie 2006/24/EG 

Vorratsdatenspeicherung 


• Grundgesetz: Allg. Pers.R 

• Recht auf informationelle Selbstbestimmung 

• Recht auf Vertraulichkeit und Integrität 

informationstechnischer Systeme 

• BDSG 

• SGB 

• TKG, TMG 

• LDSG 

• LVwG (=„PolizeiG“) 

EU 

Datenschutz im Rechtssystem 

Normenhierarchie 

39 

41 


Weltweit 

• OECD 1980: „Leitlinien für den Schutz des 

Persönlichkeitsbereichs und den grenzüberschreitenden 

Verkehr personenbezogener Daten“ 

Kein Völkerrecht, sondern nur Empfehlungen 

• „Richtlinien zur Verarbeitung personenbezogener Daten in 

automatisierten Dateien“ der Generalversammlung der 

Vereinten Nationen (UN) vom Dezember 1990 

• „Safe Harbor-Abkommen“ USA – EU 


• Bundesdatenschutzgesetz (BDSG) 

Allgemeine Datenschutzregelungen 

Für Bundesbehörden und Privatwirtschaft 

• Landesdatenschutzgesetze 

Für Landesbehörden 

• Telekommunikationsgesetz (TKG) 

Telekommunikationsdienste 

• Telemediengesetz (TMG) 

Telemediendienste (u. a. Webseiten) 

• Sozialgesetzbücher, Strafgesetzbuch … 


Deutschland 


Grundrechte: 

– Binden unmittelbar den Staat (Art. 1 Abs. 3 GG) 

– Sind individuelle Abwehrrechte gegen den Staat 

– Bedeuten Schutzpflicht für den Staat 

– Träger: natürliche Personen, (juristische Personen: Art. 19 III GG) 

– Ausstrahlungswirkung ins Privatrecht: Grundrechte wirken als 

„objektive Wertordnung“ mittelbar auf Rechtsbeziehungen des 

Privatrechts; Generalklauseln sind verfassungskonform auszulegen 

– Grundrechte sind nicht schrankenlos gewährleistet; Beschränkung 

nur innerhalb festgelegter Grenzen zulässig 

38 

40 

42



Grundrechte mit Datenschutzrelevanz 

• Artikel 1 und Artikel 2: Verankerung, allgPersR 

• Artikel 3 GG – Allgemeine Gleichbehandlung 

• Artikel 4 GG – Glaubens- und Gewissensfreiheit 

• Artikel 5 GG – Meinungsfreiheit 

• Artikel 8 – Versammlungsfreiheit 

• Artikel 9 – Vereinigungsfreiheit 

• Artikel 10 – Brief-, Post- und Fernmeldegeheimnis 

• Artikel 13 – Unverletzlichkeit der Wohnung 


BDSG: Regelungen für die Wirtschaft 

Abschnitte des BDSG: 

Erster Abschnitt BDSG (Allgemeiner Teil: § 1 bis § 11 

BDSG) 

Zweiter Abschnitt BDSG (Bundesverwaltung) 

Dritter Abschnitt BDSG (Wirtschaft: §§ 27 ff. BDSG) 

Fünfter Abschnitt BDSG (Bußgeld und Strafvorschriften: 

§§ 43 f BDSG) 

Abschnitte des LDSG: 

Keine interne Aufteilung sondern Orientierung am 

zeitlichen Ablauf der Datenverarbeitung + 

Sonderregelungen 

Verantwortlichkeiten / 

Auftragsdatenverarbeitung 

43 

45 


Aufsichtsstellen in Deutschland 

• Bundesbeauftragte für den Datenschutz und die 

Informationsfreiheit 

Bundesbehörden 

Sonderzuweisungen: Telekommunikations- 

Unternehmen, Postwesen 

• Landesbeauftragte für Datenschutz 

Landesbehörden 

Privatwirtschaft mit Sitz im jeweiligen Bundesland 


besondere Arten personenbezogener Daten 

Besondere Arten personenbezogener Daten, § 3 Abs. 9 

Rassische und ethnische Herkunft 

Politische Meinung 

Religiöse oder philosophische Überzeugung 

Gewerkschaftszugehörigkeit 

Gesundheit 

Sexualleben 

• Besondere Anforderungen 

Ausdrückliche Einwilligung nach § 4a Abs. 3 BDSG 

Besondere gesetzliche Anforderungen § 28 Abs. 6ff. BDSG 


Verantwortlichkeit 

• Verantwortlich 

Wer personenbezogene Daten für sich selbst 

erhebt, verarbeitet oder nutzt 

Wer andere im Wege der Auftragsdatenverarbeitung 

für sich tätig werden lässt 

• Auftragsdatenverarbeitung 

Datenverarbeitung nach Weisung des Auftraggebers 

„Verlängerter Arm“ des Auftraggebers 

Beispiel: DV im Rechenzentrum 

Gegenteil: Übermittlung an einen Dritten / Funktionsübertragung 

44 

46 

48


§ 11 BDSG 

Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm 

getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der 

Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 

1. der Gegenstand und die Dauer des Auftrags 

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder 

Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 

4. die Berichtigung, Löschung und Sperrung von Daten, 

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm 

vorzunehmenden Kontrollen, 

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und 

Mitwirkungspflichten des Auftragnehmers, 

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen 

gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag 

getroffenen Festlegungen, 

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem 

Auftragnehmer vorbehält, 

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer 

gespeicherter Daten nach Beendigung des Auftrags. 


49 

§ 203 StGB 

• Keine Auftragsdatenverarbeitung möglich, wenn Verletzung 

von Privatgeheimnissen 

• Gilt für Geheimnisträger wie: Anwälte, Ärzte, Psychologen, 

Eheberater, Beratungsstellen, Versicherungen, 

Steuerberater 

• Problembereiche: Aktenvernichtung, EDV-Wartung etc. 


Grundlagen 

• Personenbezogene Daten sind Einzelangaben über 

persönliche oder sachliche Verhältnisse einer bestimmten 

oder bestimmbaren Person (Betroffener): 

§ 3 Abs. 1 BDSG 

• Verantwortliche Stelle ist jede Person oder Stelle, die 

personenbezogene Daten für sich selbst erhebt, verarbeitet 

oder nutzt oder dies durch andere im Auftrag vornehmen 

lässt: § 3 Abs. 7 BDSG 

• Die Erhebung, Verarbeitung und Nutzung 

personenbezogener Daten sind nur zulässig, soweit dieses 

Gesetz oder andere Rechtsvorschrift dies erlaubt oder 

anordnet oder der Betroffene eingewilligt hat: 

§ 4 Abs. 1 BDSG 

51 

53 


§ 11 BDSG 

• Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und 

sodann regelmäßig von der Einhaltung der beim Auftragnehmer 

getroffenen technischen und organisatorischen Maßnahmen zu 

überzeugen. Das Ergebnis ist zu dokumentieren. 

• Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des 

Auftraggebers erheben, verarbeiten oder nutzen. 

• Gilt entsprechend, wenn die Prüfung oder Wartung automatisierter 

Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen 

im Auftrag vorgenommen wird und dabei ein Zugriff auf 

personenbezogene Daten nicht ausgeschlossen werden kann. 

Bundesdatenschutzgesetz 


Besondere Regelungen 

§ 4d: Meldepflicht für Verfahren automatisierter Verarbeitung 

• Ausnahme: Datenschutzbeauftragter bestellt 

• Ausnahme: höchstens 9 Personen ständig mit 

Datenverarbeitung betraut 

• Immer Meldepflicht: wenn Datenverarbeitung zum Zweck 

der Übermittlung/anonymisierten Übermittlung oder zu 

Zwecken der Markt- oder Meinungsforschung 

50 

54


§ 4f BDSG: Datenschutzbeauftragter 

Datenschutzbeauftragter 

• Bei automatisierter Verarbeitung personenbezogener Daten 

Wenn mindestens 10 Personen ständig mit 

automatisierter Verarbeitung beschäftigt sind 

• Bei nicht-automatisierter Verarbeitung 

Wenn mindestens 20 Personen damit beschäftigt sind 

• Fachkunde + Zuverlässigkeit + weisungsfrei 

• Aufgaben: Kontrolle, Beratung, Schulung etc. 

§ 6a BDSB 


Automatisierte Einzelentscheidungen 

• Entscheidungen, die rechtliche Folgen nach sich ziehen / 

den Betroffenen erheblich beeinträchtigen, sind unzulässig, 

wenn sie ausschließlich aufgrund automatisierter 

Datenverarbeitung getroffen werden 

• Insbesondere, wenn keine inhaltliche Bewertung und 

darauf gestützte Entscheidung durch eine natürliche Person 

erfolgt 

• Beispiel: Kreditentscheidung 


Generalnormen 

• § 28 Abs. 3b BDSG: Kopplungsverbot 

Die verantwortliche Stelle darf den Abschluss eines 

Vertrags nicht von einer Einwilligung des Betroffenen 

[…] abhängig machen, wenn dem Betroffenen ein 

anderer Zugang zu gleichwertigen vertraglichen 

Leistungen ohne die Einwilligung nicht oder nicht in 

zumutbarer Weise möglich ist. 

Eine unter solchen Umständen erteilte Einwilligung ist 

unwirksam. 

55 

57 

59 


• Auskunft (§§ 19, 34 BDSG) 

• Berichtigung (§§ 20, 35 BDSG) 

• Löschung (§§ 20, 35 BDSG) 

• Sperrung (§§ 20, 35 BDSG) 


Rechte der Betroffenen 

Generalnormen 

• § 28 BDSG: Datenverarbeitung / -speicherung für eigene 

Geschäftszwecke 

Aufgrund eines rechtsgeschäftlichen 

Schuldverhältnisses, zur Wahrung berechtigter 

Interessen oder aus allgemein zugänglicher Quelle 

Beachten: schutzwürdiges Interesse des Betroffenen 


• § 29 BDSG: Datenverarbeitung zum Zweck der 

Übermittlung 

Typisch: Adresshandel / Auskunfteien 

• § 32 BDSG: Datenverarbeitung zum Zweck des 

Beschäftigungsverhältnisses 

Generalnormen 

56 

58 

60


Technische und organisatorische 

Maßnahmen (§ 9 BDSG) 

• Maßnahmen sind zu treffen, die erforderlich sind, um die 

Ausführungen des BDSG zu gewährleisten 

• Angemessenes Verhältnis zwischen Aufwand und 

angestrebtem Schutzzweck zu beachten 

Beachten: Art der zu schützenden personenbezogenen 

Daten / Datenkategorien 

• Anlage zu § 9 Satz 1 BDSG regelt die konkreten 

Maßnahmen 

Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, 

Weitergabekontrolle, Eingabekontrolle, 

Auftragskontrolle, Verfügbarkeitskontrolle, 

Trennungsprinzip (Zwecktrennung) 

61 


Noch Fragen? 

Henry Krasemann 

ULD71@datenschutzzentrum.de 

Tel. 0431-988 1398 


Vielen Dank! 

62

Einführung ins Datenschutzrecht Organisatorisches I: Material ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?