Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Zu § 5b Mobile Datenverarbeitungsmedien<br />
In Anlehnung an § 3 Abs. 10 B<strong>und</strong>esdatenschutzgesetz sind Datenträger<br />
dann mobile Datenverarbeitungsmedien, wenn die ausgebende oder eine<br />
andere Stelle auf diesen Datenträgern Daten über die Speicherung hinaus<br />
automatisiert verarbeiten kann. Die Verarbeitung kann dabei durch den Betroffenen<br />
nicht wie etwa bei einem tragbaren Computer gesteuert werden.<br />
Zu mobilen Datenverarbeitungsmedien zählen u.a. Prozessor-Chipkarten,<br />
wie z.B. die elektronische Ges<strong>und</strong>heitskarte, Geldkarten, SIM-Karten <strong>für</strong><br />
Mobiltelefone oder auch RFID (Radio Frequency Identification)-Tags<br />
(Transponder) in Kombination mit Prozessor-Chip in RFID-Systemen.<br />
§ 5b „regelt Pflichten, die die ausgebenden Stellen im Zusammenhang mit<br />
der Herausgabe von Chipkarten <strong>und</strong> vergleichbaren mobilen Datenverarbeitungsmedien<br />
treffen. Die Datenverarbeitungsvorgänge, die mit Hilfe solcher<br />
Datenverarbeitungsmedien ablaufen, lassen sich zwar mit den geltenden<br />
Vorschriften über die Zulässigkeit der Verarbeitung personenbezogener<br />
Daten <strong>und</strong> die Modalitäten der zulässigen Datenverarbeitung bewältigen.<br />
Die Herausgabe mobiler Datenverarbeitungsmedien ist aber mit dem besonderen<br />
Risiko verb<strong>und</strong>en, dass sie einerseits, insbesondere auch im Falle<br />
kontaktloser Chipkarten, <strong>für</strong> die Betroffenen nicht ohne weiteres erkennbare<br />
Datenverarbeitungsvorgänge ermöglichen <strong>und</strong> den Betroffenen andererseits<br />
oftmals nicht deutlich ist, wo <strong>und</strong> in welcher Weise sie die ihnen auch in<br />
Bezug auf die Datenverarbeitungsmedien zustehenden datenschutzrechtlichen<br />
Rechte geltend machen können. Die Vorschrift beugt diesen Gefahren<br />
vor, indem sie die ausgebende Stelle verpflichtet sicherzustellen, dass die<br />
Betroffenen Datenverarbeitungsvorgänge erkennen <strong>und</strong> ihre datenschutzrechtlichen<br />
Rechte geltend machen können. Für die Erkennbarkeit des Datenaustauschs<br />
genügt es, wenn jeweils erkannt werden kann, dass überhaupt<br />
ein Datenaustausch stattfindet. Die Sicherstellungspflicht überlässt<br />
es der ausgebenden Stelle, inwieweit sie selbst <strong>für</strong> die Verwirklichung der<br />
Betroffenenrechte sorgt oder sicherstellt, dass andere Stellen dies übernehmen.<br />
Die Betroffenen sind bei der Ausgabe der Datenverarbeitungsmedien<br />
entsprechend aufzuklären“ (Bü-Drs. 16/3995 zu § 5b).<br />
Weiterführende Hinweise vermittelt zum einen die Orientierungshilfe „<strong>Datenschutz</strong>gerechter<br />
Einsatz von RFID“ (http://www.datenschutz-hamburg.de/uploads/media/Orientierungshilfe_Einsatz_RFID.pdf).<br />
Zum anderen<br />
liefern der Rahmen <strong>für</strong> die <strong>Datenschutz</strong>folgeabschätzung (Privacy<br />
Impact Assessment (PIA) Framework) sowie die Technische Richtlinie<br />
BSI TR-03126 wichtige Hinweise, die berücksichtigt werden sollten<br />
(https://www.bsi.b<strong>und</strong>.de/DE/Themen/ElektronischeAusweise/RadioFrequencyIdentification/PIA/pia_node.html).<br />
76