Logo Brennecke & FASP Group

BDSG - EINFÜHRUNG - TEIL 4-3: Terminologie des BDSG - Erheben, Verarbeiten, Nutzen von Daten


Herausgeber / Autor(-en):
Harald Brennecke
Rechtsanwalt

3. Geschütze Verarbeitungsphasen, § 3 Abs. 3 bis 5 BDSG

Die vom Bundesdatenschutzgesetz erfasste Verarbeitung personenbezogener Daten umfasst drei Kernbereiche:

  • das Erheben von Daten
  • das Verarbeiten von Daten im eigentlichen Sinne
  • das Nutzen von Daten

a. Erheben von Daten, § 3 Abs. 3 BDSG

Das BDSG definiert das Erheben als gezieltes Beschaffen von Daten. Gleichgültig ist, ob die Daten mündlich oder schriftlich beschafft werden, ob der Betroffene befragt wird oder die Daten beibringen soll oder ob Dritte befragt oder Unterlagen von der speichernden Stelle eingesehen werden. Bei zufälligen Beobachtungen gewonnene Daten und Daten, die der speichernden Stelle unaufgefordert zugeleitet werden erfüllen den Tatbestand des Erhebens gem. § 3 III BDSG nicht. Ein Erheben von Daten liegt auch nicht vor, wenn Daten aus bereits vorliegenden Unterlagen zusammengestellt werden.

Vom Vorliegen einer Erhebung ist z.B. auszugehen bei:

  • schriftlicher oder mündlicher Befragungen durch Behörden, Arbeitgeber, Meinungsforschungsinstitute,
  • Befragung Dritter durch Auskunfteien oder Detekteien,
  • Observation des Betroffenen durch Kameras oder Abhöranlagen und
  • Blutentnahme, Fingerabdrücken und DNA-Analysen.

Für die Zulässigkeit des Erhebens von Daten enthält das Bundesdatenschutzgesetz für den öffentlichen Bereich in § 13 BDSG und für den nicht-öffentlichen (privaten) Bereich in den §§ 28 bis 30 besondere Bestimmungen.

b. Verarbeiten von Daten, § 3 Abs. 4 BDSG

Verarbeiten wird in § 3 IV des Bundesdatenschutzgesetzes als Sammelbegriff für die fünf einzelnen Phasen definiert, ungeachtet ob dabei automatisierte, manuelle oder sonstige Verfahren angewandt werden. Die fünf Phasen sind in einzelnen:

  • das Speichern (Nr. 1)

  • das Verändern (Nr. 2)

  • das Übermitteln (Nr. 3)

  • das Sperren (Nr. 4) und

  • das Löschen (Nr. 5)

aa. Speichern, § 3 IV Nr. 1 BDSG

Nach der Definition des BDSG ist
  • Speichern,
  • Erfassen,
  • Aufnehmen oder
  • Aufbewahren von Daten
auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung.
Datenträger ist jedes Medium, das zum Aufnehmen personenbezogener Daten geeignet ist, damit sind auch unformatierte Medien wie z.B. Notizzettel Datenträger im vorliegenden Sinne.
Erfassen meint das schriftliche fixieren von Daten. Das Aufnehmen kennzeichnet primär das Fixieren von Daten mit Aufnahmetechniken, z.B. mit Tonband, Film oder Video. Das
Aufbewahren meint das Sammeln von Daten, um sie später zu archivieren oder weiterzuverarbeiten
Dieses Vorrätighalten muss zum Zweck des weiteren Verarbeitens oder Nutzens geschehen. Folglich ist der Tatbestand der Speicherung dann nicht erfüllt, wenn keine Verwendungsabsicht besteht. Das ist zum Beispiel der Fall, wenn Daten lediglich kurzfristig eingegeben werden und sofort wieder gelöscht werden, etwa bei Gelegenheitskunden, bei den keine Stammdatei angelegt wird.

bb. Verändern, § 3 IV Nr. 2 BDSG

Als Verändern definiert das BDSG jedes inhaltliche Umgestalten gespeicherter Daten. Inhaltliches Umgestalten meint jede Maßnahme (in Sprache, Ton und Bild), durch die der Informationsgehalt einer Nachricht geändert wird, so dass ein neuer Aussagewert entsteht. Bloßes Ändern der äußeren Form (z.B. Chiffrieren, Änderung einzelner Feldbezeichnungen) fällt nicht unter das Verändern im Sinne des BDSG.
Insbesondere werden Daten verändert durch:
  • Berichtigung oder Verfälschung von Daten,
  • Hinzufügen von Daten,
  • Herausnehmen von Daten aus dem Zusammenhang,
  • Einfügen von Daten in andere Zusammenhänge oder
  • Verknüpfen von Daten aus verschiedenen Dateien.

cc. Übermitteln, § 3 IV Nr. 3 BDSG

Das Übermitteln wird im BDSG definiert als Bekanntgabe von Daten durch die verant­wortliche Stelle an Dritte durch Weitergabe, Einsichtnahme oder Abruf.
Die Weitergabe von Daten an Dritte umfasst jegliche Art der Auskunftserteilung, etwa in schriftlicher, mündlicher, fernmündlicher Form oder per Telefax. Ebenfalls erfasst ist die Datenweitergabe z.B. durch Übergabe oder Zusendung einer Diskette o.ä..
Unter den Begriff des Übermittelns fällt auch die Einsichtnahme oder der Abruf bereitgehaltener Informationen durch Dritte, was auch Online erfolgen kann.
Die Definition der für das Verarbeiten der personenbezogenen Daten verantwortlichen Stelle findet sich in § 3 Abs. 7 BDSG. Verantwortliche Stelle in diesem Sinne ist jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel des Verarbeitens von personen­be­zogenen Daten entscheidet.
§ 3 Abs. 7:
Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Der Begriff des „Dritten“ wird in § 3 Abs. 8 Satz 2 BDSG definiert. Danach sind Dritte alle außerhalb der verantwortlichen Stelle (Satz 2), außer der Betroffene selbst oder diejenigen Personen oder Stellen, die innerhalb der EU/EWR im Auftrag der speichernden Stelle Daten erheben, verarbeiten oder nutzen (Satz 3). Dritte sind insbesondere:
  • alle Behörden, Stellen und Personen außerhalb der jeweiligen Behörde oder des einzelnen Unternehmens
  • alle organisatorischen Teile innerhalb einer Behörde oder eines Unternehmens, deren Funktion in keinem direkten Zusammenhang mit der konkreten Datenverarbeitung steht
§ 3 Abs. 8:
Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschafts­raum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
Eine Datenübermittlung i.S.d. § 3 IV Nr. 3 BDSG liegt mangels Bekanntgabe an Dritte nicht vor bei:
  • einem Datentransfer innerhalb der speichernden Stellen,
  • einer Mitteilung von Daten an den Betroffenen,
  • einem Datentransfer zwischen einem Auftraggeber und einem Auftragnehmer, sofern der Auftragnehmer seinen Sitz in der EU/EWG hat.
Demgegenüber ist aber von einer Datenübermittlung i.S.d. § 3 IV Nr. 3 BDSG auszugehen bei:
  • einem Datenaustausch zwischen zwei verschieden Stellen,
  • jedem Datentransfer in Staaten außerhalb von EU/EWG.

dd. Sperren, § 3 IV Nr. 4 BDSG

Das Sperren von Daten wird in § 3 IV Nr. 4 BDSG definiert als das Kennzeichnen diese Daten zu dem Zweck ihres weiteren Verarbeitens oder Nutzens einzuschränken. Diese Kennzeichnung muss bewirken, dass diese Daten nur noch eingeschränkt bzw. für gesetzlich bestimmte Ausnahmefälle verwendet werden könne. Sie kann bei automatisierter Daten­verarbeitung durch Kennzeichnung des Datenfeldes oder durch eine Codierung erfolgen, bei nicht automatisiertem Verarbeiten, etwa bei Akten, empfiehlt sich eine räumliche Auslagerung (z.B. in einem gesonderten Schrank für gesperrte Datenträger), da hier ein Sperrvermerk auf Karteikarten oder Akten dem Zweck des BDSG nicht genügt.

ee. Löschen, § 3 IV Nr. 5 BDSG

„Löschen“ personenbezogener Daten bezeichnet das Unkenntlichmachen dieser Daten. Der Tatbestand der Löschung ist allerdings erst dann erfüllt, wenn die Daten vollständig unkenntlich gemach sind, d.h. diese Daten dürfen nicht mehr rekonstruierbar sein, müssen irreversibel zerstört werden.
Als Löschung personenbezogener Daten kommt in Betracht:
  • jegliche physikalische Vernichtung des Datenträgers (z.B. durch verbrennen oder mittels Reißwolf oder Schredder),
  • Überschrieben, Ausradieren oder Schwärzen von Aktenblättern, Karteikarten, Formularen usw.,
  • Zerkratzen der Magnetfelder von Ton- und Videobändern
  • Einsatz von Löschungsprogrammen bei der automatisierten Verarbeitung, wobei die Löschung auch physikalisch und nicht lediglich logisch vollzogen werden muss.
Einer Löschung i.S.d. § 3 Abs. VI Nr. 5 BDSG genügt nicht der bloße Vermerk „gelöscht„ oder das bloße Auslagern der Daten. Ferner genügt der grundbuchrechtliche Löschungsbegriff
nicht dem Tatbestand des Abs. 4 Nr. 5, da hier der Text unverändert erhalten bleibt und ledig­lich durch rotes Unterstreichen zum Ausdruck gebracht wird, dass er nicht mehr gelten soll.

c. Nutzen von Daten, § 3 Abs. 5 BDSG

Auch die Phase des Nutzens von personenbezogenen Daten zählt zu der vom Bundesdaten­schutzgesetz geschützten Datenverarbeitung. In § 3 Abs. 5 BDSG wird das Nutzen als jede Verwendung personenbezogenen Daten, soweit es sich nicht um Verarbeitung im eigentlichen Sinne handelt, definiert. Damit kommt dieser Phase eine Art Auffangfunktion zu.

 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie Datenschutzrecht Einführung


Herausgeber / Autor(-en):
Harald Brennecke
Rechtsanwalt
Kontakt: brennecke@brennecke-rechtsanwaelte.de
Stand: Juli 2001


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Herausgeber / Autor(-en):

Harald Brennecke, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Portrait Harald-Brennecke

Rechtsanwalt Harald Brennecke ist im Datenschutzstrafrecht als Strafverteidiger tätig.

Rechtsanwalt Brennecke hat zum Datenschutzrecht veröffentlicht:

  • „17 UWG – Betriebsgeheimnisse und Verrat durch (ehemalige) Mitarbeiter“, 2015, Verlag Mittelstand und Recht, ISBN 978-3-939384-38-0
  • "Einführung in das Datenschutzrecht", Kapitel im E-Business Handbuch für Entscheider, 2. Aufl., ISBN 3.540-43263-9, 2002, Springer-Verlag

Folgende Veröffentlichung von Rechtsanwalt Brennecke ist in Vorbereitung:

  • Einführung in das Datenschutzstrafrecht

Rechtsanwalt Brennecke war an der IHK Karlsruhe als Dozent für Datenschutzrecht tätig. Er ist Dozent für Datenschutzrecht an der DMA Deutsche Mittelstandsakademie.

Er bietet Schulungen, Vorträge und Seminare zu den Themen:

  • Schutz von Kundenadressen und Geschäftsgeheimnissen – 17 UWG in Theorie und Praxis
  • Datenschutzstrafrecht
  • Datenschutz in Franchisesystemen – Die unterschätzte Gefahr für Franchisesysteme

Kontaktieren Sie Rechtsanwalt Harald Brennecke unter:
Mail: brennecke@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28

 

Normen: § 3 BDSG

Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosIT-RechtIT-SecurityDatenschutzrechtBundesdatenschutzgesetz