SEMINAR: DAS NEUE BUNDESDATENSCHUTZGESETZ MELDE- UND INFORMATIONSPFLICHTEN, BEAUFTRAGTE FÜR DEN DATENSCHUTZ VON WOLF RICHTER

Transkript

1 SEMINAR: DAS NEUE BUNDESDATENSCHUTZGESETZ MELDE- UND INFORMATIONSPFLICHTEN, BEAUFTRAGTE FÜR DEN DATENSCHUTZ VON WOLF RICHTER Im Rahmen dieser Ausarbeitung werden die Regelungen der 4d, 4e, 4f, 4g, 19a der neuen Fassung des BDSG vom und die korrespondierenden Artikel des Abschnitt IX der Richtlinie des europäischen Parlamentes behandelt. GRUNDLEGENDE MELDEPFLICHT 1. MELDEPFLICHT ( 4D) Nach Absatz 1 sind Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme von nicht öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz nach Maßgabe von 4e zu melden. Zweck der Meldung ist es, Transparenz in die Verarbeitung zu bringen und die Kontrolle der Zulässigkeit der Verarbeitung durch die Kontrollbehörden zu ermöglichen. BEGRIFFSKLÄRUNG Zum Verständnis der Norm ist es notwendig, sich einige Grundbegriffe ins Gedächtnis zu rufen: Automatisierte Verarbeitung ( 3 Absatz 2 BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.(...) Erheben ( 3 Absatz 3) ist das Beschaffen von Daten über den Betroffenen. Verarbeiten ( 3 Absatz 4) ist das Speichern, verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. (...) Die Neuregelung erfolgt nach Maßgabe des Artikel 18 der Richtlinie Diese sieht in Art. 18 (5) die Möglichkeit vor, auch Verfahren nicht-automatisierter Verarbeitung generell oder in Einzelfällen der Meldepflicht zu unterwerfen. Von dieser fakultativen Möglichkeit macht die deutsche Fassung des BDSG keinen Gebrauch. Grundsätzlich ist das Anwenden von Verfahren automatisierter Verarbeitung also meldepflichtig Zeitpunkt der Meldepflicht ist der Zeitpunkt vor der Inbetriebnahme Vergleich mit der alten Regelung Nach der alten Regelung in 32 Abs. 1 BDSG a.f. waren die Aufnahme und Beendigung einer Tätigkeit im Bereich der geschäftsmäßigen o Speicherung zum Zwecke der Übermittlung (auch anonymisiert) o Verarbeitung oder Nutzung im Auftrag als Dienstleistungsunternehmen meldepflichtig. Unterschied: Nicht das Verfahren sondern die Tätigkeit war meldepflichtig. Ausweitung der Meldepflichten vom betrieblichen auf den behördlichen Bereich. AUSNAHMEN VON DER MELDEPFLICHT ( 4 ABSÄTZE 2 BIS 4) Neben der grundsätzlichen Meldepflicht treten eine Reihe von Ausnahmen, die ein Entfallen der Meldepflicht zur Folge haben. Diese werden in den folgenden Absätzen 2 bis 4 beschrieben:

2 Beauftragte für den Datenschutz 4d Absatz 2 bestimmt, daß die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz hat. Artikel 18 Absatz 2, zweiter Spiegelstrich der EU Richtlinie sieht diese Möglichkeit der Befreiung von der Meldepflicht durch die Bestellung eines Datenschutzbeauftragten explizit vor. Allerdings ist die Berufung von Datenschutzbeauftragten lediglich im deutschen Datenschutzgesetz vorgesehen und knüpft an die deutsche Tradition der betrieblichen Datenschutzbeauftragten nach 36 BDSG a.f. an. Risikoarme Verarbeitung Der Absatz 3 bestimmt eine weitere Ausnahme von der Meldepflicht: die sogenannte risikoarme Verarbeitung. Demnach entfällt die Meldepflicht ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisse oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Die Qualifikationsmerkmale für eine Befreiung nach Absatz 3 sind also: o Für eigene Zwecke o Höchstens vier Arbeitnehmer o Einwilligung des Betroffenen oder Erfüllung eines Vertrags(ähnlichen)verhältnisses Dieses Entfallen der Meldepflicht basiert auf Art. 18 (2) erster Spiegelstrich, der solche Ausnahmen für Verfahren der Datenverarbeitung vorsieht, durch die eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist. Einschränkung der Befreiungsmöglichkeiten Eine Einschränkung der Befreiung von der Meldepflicht findet sich im Absatz 4. Dort wird bestimmt, daß die Ausnahmen der Absätze 2 und 3 nicht gelten, wenn es sich um eine automatisierte Verarbeitung handelt, in der geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung oder 2. zum Zweck der anonymisierten Übermittlung gespeichert werden. Um was für Geschäfte handelt es sich hier? In 29 werden exemplarisch genannt: die Werbung, Auskunfteien, Adreßhändler und Markt- und Meinungsforschungsinstitute. Durch diese Einschränkung ist die Reichweite der Meldepflicht, wie sie von der neuen Fassung der BDSG normiert wird, geringer als die der alten Regelung. Stellen, die Daten im Auftrag als Dienstleistungsunternehmen verarbeiten (entsprechend...der alten Regelung), haben nunmehr die Möglichkeit, sich von der Meldepflicht befreien zu lassen. Dadurch werden gerade die großen Datendienstleister mit ihren enormen Rechenzentren von der Kontrolle durch die Meldepflicht befreit. VORABKONTROLLE (ABSATZ 5) Für besondere Daten bestimmt das Gesetz eine über die Meldepflicht hinausgehende Vorabkontrolle durch den Beauftragten für den Datenschutz Absatz 5 bestimmt, daß soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, diese der Prüfung vor Beginn der Verarbeitung unterliegen. Diese Prüfung vor Beginn wird Vorabkontrolle genannt. Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, daß eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die

3 Erhebung, Verarbeitung oder Nutzung des Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Die Vorabkontrolle wird in Artikel 20 der Richtlinie geregelt, eine vergleichbare Regelung hat im alten BDSG nicht existiert. Was sind besondere Risiken? Glaubt man dem Erwägungsgrund 53 aus der Richtlinie, können Risiken sowohl durch die Art der betroffenen Daten (im BDSG: besondere Arten nach 3(9)), als auch durch die besondere Tragweite bzw. Zweckbestimmung der Verfahren gegeben sein. (im BDSG: Bewertung der Persönlichkeit, seiner Leistung oder Verhaltens). Im Wortlaut der Erwägungsgrundes 53: Bestimmte Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen - oder aufgrund der besonderen Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen. Es obliegt den Mitgliedstaaten, derartige Risiken in ihren Rechtsvorschriften aufzuführen, wenn sie dies wünschen. Besondere Arten personenbezogener Daten Die besonderen Arten personenbezogener Daten werden im BDSG in 3 Absatz 9 definiert. Demnach sind dies Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Als Beispiel für Verfahren, die eine besondere Tragweite bzw. Zweckbestimmung aufweisen werden Verfahren genannt, die einen Betroffenen von der Inanspruchnahme einer Leistung oder eines Vertrages ausschließen sollen, also das sogenannte Kreditscoring oder die Warndateien der Versicherungsbranche. Eine Verarbeitung solcher Daten ohne Vorabkontrolle ist nicht in allen Fällen unzulässig. Wie in den meisten anderen Regelungen des BDSG gilt nämlich auch hier, daß eine Einwilligung des Betroffenen oder das Bestehen eines Vertrags(ähnlichen)verhältnisses die Pflicht zur Vorabkontrolle erlöschen läßt. Der Inhalt der Vorabkontrolle ist die Überprüfung der Übereinstimmung der Verarbeitung mit den materiellen Bestimmungen des Datenschutzrechts. ZUSTÄNDIGKEIT FÜR DIE MELDEPFLICHT ( 4D ABSATZ 6) Zuständig für die Vorabkontrolle ist nach Absatz 6 der Beauftragte für den Datenschutz. Grundlage für die Vorabkontrolle ist die Übersicht über die in der Stelle zum Einsatz kommenden meldepflichtigen Verfahren, die ihm nach 4g (2) S.1 vorgelegt werden muß. In Zweifelsfällen hat er sich an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz zu wenden. 2. INHALT DER MELDEPFLICHT ( 4E) 4e regelt den Inhalt der Meldung an die zuständige Stelle. Neben den Daten der verarbeitenden Stelle sind o Art und Umfang der verarbeiteten Daten, o Zweck, o Empfänger, o Fristen für die Löschung und o geplante Übermittlungen in die Meldung aufzunehmen.. Ebenso sind Hinweise auf die Datensicherheitsvorkehrungen im Sinne von 9 zu geben. Bei den Maßnahmen nach 9 handelt es sich um technische und organisatorische Maßnahmen, die dazu dienen, die Vorschriften des BDSG umzusetzen, sofern der Aufwand in einem angemessenem Verhältnis steht. Beispiele dafür sind die Vergabe von Paßwörter und Zugangsprivilegien, das Wegschließen von Datenträgern, das nächtliche Abschließen der Räume. Vermutlich nicht dem Verhältnis angemessen, wenngleich aber aus sicherheitstechnischer Sicht wünschenswert wäre der Umstieg von Windows auf ein sicheres Betriebssystem.

4 Im Vergleich zu der alten Regelung des 32 Absatz 2 BDSG a.f.: ist der Umfang im großen und ganzen gleich geblieben. Nur gab es in der alten Fassung noch keine Fristen für die Löschung der Daten, keine Beschreibung der betroffenen Personengruppe und keine Maßnahmen nach BEAUFTRAGTER FÜR DEN DATENSCHUTZ ( 4F) Bisher waren die betrieblichen oder internen Danteschutzbeauftragten in 36ff geregelt. Die Bestimmungen finden nach der Neuregelung in 4f. Materiell ist das Amt des Datenschutzbeauftragten durch die Neuregelung unangetastet geblieben. PFLICHT ZUR BESTELLUNG Im Absatz 1 ist eine allgemeine Pflicht zur Bestellung eines Datenschutzbeauftragten geregelt. Demnach haben sowohl öffentliche als auch nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, einen Beauftragten für den Datenschutz zu benennen. Die Bestellung muß schriftlich erfolgen. Nicht öffentliche Stellen haben nach Aufnahme ihrer Tätigkeit einen Monat Zeit, um einen solchen Beauftragten zu benennen. Auch Stellen, die Daten nicht automatisiert sondern auf andere Weise erheben, verarbeiten oder nutzen, haben einen Datenschutzbeauftragten zu bestellen, sofern mehr als zwanzig Mitarbeiter mit der Aufgabe beschäftigt sind. Die Notwendigkeit für die Bestellung eines Datenschutzbeauftragten entfällt für Unternehmen (nicht öffentliche Stellen), die weniger als vier Mitarbeiter in der Datenverarbeitung beschäftigen. Von dieses Ausnahme gilt wiederum eine Ausnahme für den Fall, daß die automatisierte Verarbeitung einer Vorkontrolle (geregelt in 4d (5)) unterliegt oder geschäftsmäßig für die Übermittlung (auch anonymisiert) bestimmt sind. Alle Unternehmen, die solche Verfahren verwenden, müssen einen Beauftragten für den Datenschutz benennen. Die Pflicht zur Bestellung eines Beauftragten entsteht bei der speichernden Stelle. Für jede Stelle ist ein eigener Datenschutzbeauftragter zu bestellen. Eine Stelle ist eine rechtlich selbständige Einheit, also zum Beispiel jedes Tochterunternehmen eines Konzerns, nicht aber jede einzelne Abteilung. Umgekehrt darf ein Datenschutzbeauftragter für mehrere Stellen als Datenschutzbeauftragter tätig werden, wenn er es denn leisten kann. WER DARF DATENSCHUTZBEAUFTRAGTER WERDEN? Kriterien für die Eignung als Datenschutzbeauftragter sind Fachkundigkeit und Zuverlässigkeit. Der Beauftragte muß nicht Mitarbeiter in der betroffenen Stelle sein, sondern kann auch von außen kommen, z.b. bei öffentlichen Stellen auch aus einer anderen öffentlich Stelle. Für die Fachkundigkeit reicht die Kenntnis der Regelungen des Datenschutzes, insbesondere des BDSG, der Beschaffenheit der Datenverarbeitungsanlagen und des Organisation der Stelle aus. Für die Zuverlässigkeit können keine festen Kriterien angegeben werden. Problematisch könnten Interessenkonflikte werden, wie sie zum Beispiel durch die gleichzeitige Tätigkeit als Leiter der Datenschutzeinrichtung und als Datenschutzbeauftragter entstehen können. STELLUNG DES DATENSCHUTZBEAUFTRAGTEN Nach Absatz 3 ist der Datenschutzbeauftragte dem Leiter der entsprechenden Stelle unmittelbar zu unterstellen und genießt gewisse Freiheiten: Er ist in der Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes an keine Weisungen gebunden. Er darf wegen der Ausübung seiner Tätigkeit nicht benachteiligt werden Seine Ernennung zum Beauftragten kann in Anwendung des 626 BGB widerrufen werden 626 BGB behandelt die außerordentliche Kündigung. Eine außerordentliche Kündigung kann aus wichtigem Grunde erfolgen, wenn die ordentliche Beendigung des Dienstverhältnisses einem der beiden Teile nicht zumutbar ist. Ein wichtiger Grund kann sein: Arbeitsverweigerung, wilder Streik, andauerndes Krankfeiern, schwerwiegende Trunkenheit am Arbeitsplatz, Antreten eines nicht genehmigten Urlaubes, Verletzung der Treuepflicht, Begehen strafbarer Handlungen

5 Auch wenn ein wichtiger Grund gegeben ist, muß für das Wirksamwerden der außerordentlichen Kündigung noch die Unzumutbarkeit der Weiterbeschäftigung nachgewiesen werden. Problematisch bei der Regelung des 4f Absatz 3 ist das Nichtentstehen von Nachteilen, ein frommer Wunsch, der im Zweifelsfall wohl nur wenig Aussage erhält. SCHWEIGEPFLICHT Nach Absatz 4 ist der Beauftragte (eigentlich selbstverständlich) zur Verschwiegenheit verpflichtet. Er kann davon nur durch den Betroffenen befreit werden. UNTERSTÜTZUNG Der Datenschutzbeauftragte ist nicht nur weisungsfrei und nicht benachteiligt, vielmehr ist die Stelle, zu deren Datenschutzbeauftragten er ernannt worden ist, nach Absatz 5 dazu verpflichtet, ihn in der Ausübung seiner Tätigkeit zu unterstützen. Insbesondere umfaßt das eine ordentliche Ausstattung, die zur Erfüllung seiner Aufgabe notwendig ist, also Räume, Einrichtungen, Geräte und Mittel sowie Hilfspersonal. Das ist ein wichtiger Punkt, da ein Datenschutzbeauftragter ohne Telefon, Kopierer oder ein Büro für seine Aufgabe nur schlecht gerüstet ist und so von unwilligen Auftraggebern leicht ausgehungert werden kann. Auch ist in einem größeren Unternehmen das Amt des Datenschutzbeauftragten von nur einer Person schwerlich qualifiziert wahrzunehmen. Allerdings dürfte die Erforderlichkeit einer bestimmten Ausstattung in Streitfällen nicht leicht zu bestimmen sein. 4. AUFGABEN DES BEAUFTRAGTEN FÜR DEN DATENSCHUTZ ( 4G) Was macht ein Datenschutzbeauftragter den ganzen Tag? Zunächst wirkt er auf die Einhaltung der Bestimmungen dieses Gesetzes und anderer Vorschriften, die den Datenschutz betreffen, hin. Hinwirken im Sinne dieses Gesetzes ist mehr als nur darauf aufzupassen, daß sich auch alle an die Regeln halten. Er überwacht die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden. Damit er das machen kann, muß er von Vorhaben der automatisierten Verarbeitung in Kenntnis gesetzt werden. Darüber hinaus führt er Schulungen durch, in denen die mit der Datenverarbeitung beschäftigten Personen mit den Vorschriften des Datenschutzes und den jeweiligen besonderen Erfordernissen (wie die auch immer aussehen mögen) vertraut gemacht werden. Nach Absatz 2 nimmt er die nach 4e Satz 1 meldepflichtigen Angaben in Empfang und macht sie (mit Ausnahme der Beschreibung der Sicherheitsmaßnahmen nach 9) in geeigneter Weise für jeden verfügbar. Der Absatz 3 regelt eine Reihe von Ausnahmen von der Veröffentlichung der Informationen durch den Datenschutzbeauftragten. Die Liste der Ausnahmen ist gut versteckt durch Verweis auf 6 (2) 4, der wiederum auf 19 (3) verweist. Zur Klarheit hier die volle Liste: Nicht veröffentlichen müssen die Datenschutzbeauftragten von: Verfassungsschutz, BND, MAD, sicherheitssrelevanten Anteilungen des Bundesministerium der Verteidigung, der Staatsanwaltschaft, der Polizei und der öffentlichen Stellen der Finanzverwaltung. In den genannten Institutionen darf sich der Datenschutzbeauftragte auch nur dann an die für den Datenschutz zuständige Behörde wenden, wenn er sich vorher mit seinem Behördenleiter ins Benehmen gesetzt hat. Bei Unstimmigkeit entscheidet die oberste Bundesbehörde, (also der Bundesdatenschutzbeauftragte.) Wer sind die jeweils zuständigen Behörden? Regelung in 4d(1): die zuständigen Aufsichtbehörden für den nicht-öffentlichen Bereich, für öffentliche Stellen des Bundes sowie Post- und Telekommunikationsunternehmen der Bundesbeauftragte für den Datenschutz

6 ÖFFENTLICHE STELLEN 5. BENACHRICHTIGUNG ( 19A, 33 BDSG, ARTIKEL 11 RICHTLINIE) Über die in 19 festgelegten Auskunftsrechte, die ein Betroffener gegen eine datenerhebende öffentliche Stelle besitzt, hinaus schreibt 19a eine Unterrichtungspflicht der erhebenden Stelle fest, wenn die Daten ohne Kenntnis des Betroffenen erhoben werden. Mitzuteilen sind: Die Tatsache der Speicherung, die Identität der verantwortlichen Stelle, sowie die Zweckbestimmung. Weiterhin sind die Empfänger bzw. Kategorien von Empfängern mitzuteilen. Ausnahmen werden im Absatz 2 bestimmt: Die Unterrichtung ist nicht notwendig, wenn 1. der Betroffene in anderer Weise davon Kenntnis erlangt hat, 2. der Aufwand der Unterrichtung unverhältnismäßig groß ist, 3. die Speicherung oder Übermittlung der Daten durch Gesetz vorgesehen ist. Weitere Ausnahmen ergeben sich aus der analogen Anwendung des 19 Abs. 2-4, in denen die Auskunftspflicht eingeschränkt wird, wenn gesetzliche oder höhere Gründe die Auskunft verhindern (also das Militär, die Polizei oder ein Gesetz betroffen sind) Ebenso ist Gefährdung der Aufgabe einer Stelle, die Gefährdung der öffentlichen Sicherheit, des Wohles des Bundes oder eines Landes Grund die Auskunftserteilung zu unterbinden, genauso wie die Daten, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden müssen. Der Fall der Datenerhebung ohne Wissen des Betroffenen gehört zu den sensibelsten Fällen überhaupt, da ein Betroffener seine Rechte nur gegen eine Datenerhebung geltend machen kann, wenn er auch von ihr weiß. Zudem ist die Fehleranfälligkeit bei einer Erhebung ohne Wissen des Betroffenen, insbesondere ohne seine Mitwirkung, ungleich größer. Deshalb ist auch das Kriterium der Verhältnismäßigkeit kritisch zu beleuchten und im Zweifelsfalle zu Gunsten des Betroffenen auszulegen, da sein Recht, von einer solchen Erhebung in Kenntnis zu sein, sehr hoch anzusetzen ist. Die Unterrichtungspflicht regelt Artikel 11 der EU Richtlinie. Allerdings ist fraglich, zu welchem Zeitpunkt der Betroffene unterrichtet werden muß. Bei Übermittlung der Daten regelt Absatz 1, daß dies bei der ersten Übermittlung zu geschehen hat. Für die Erhebung, Verarbeitung und Nutzung gibt es keine Regelung im Gesetz. Die EU-Richtlinie sagt aber: In diesen Fällen hat die Mitteilung bei Beginn der Speicherung zu erfolgen. Die frühestmögliche Information über eine Erhebung, Verarbeitung und Nutzung läßt sich also höchstens aus allgemeinen Rechtprinzipien des neuen BDSG ableiten. NICHT-ÖFFENTLICHE STELLEN Die entsprechende Regelung für Privatunternehmen findet sich in 33. Demnach ist ein Betroffener, wenn ein Unternehmen erstmals für eigene Zwecke ohne Kenntnis des Betroffenen Daten über diesen speichert, von der Tatsache der Speicherung, von der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. Für die Übermittlung gilt, daß der Betroffene vor der ersten Übermittlung zu unterrichten ist. Die Kategorien der Empfänger sind dem Betroffenen in beiden Fällen nur mitzuteilen, wenn er nicht mit der Übermittlung an diese rechnen muß. Im Gegensatz zu den wenigen Ausnahmen von der Unterrichtungspflicht in 19a, von denen wir bereits gezeigt haben, daß sie Willkür Tür und Tor öffnen, gibt 33 Absatz 2 eine unüberschaubare Auswahl von Ausnahmen. So besteht eine Pflicht zur Unterrichtung nicht, wenn der Betroffene bereits auf andere Weise Kenntnis erlangt hat (Nr. 1), die Daten aufgrund anderer Vorschriften nicht gelöscht werden dürfen (Nr. 2), die Daten wegen einer Rechtsvorschrift oder wegen eines überwiegenden Interesses eines Dritten geheimgehalten werden müssen (Nr. 3), die Speicherung oder Übermittlung von einem Gesetz vorgesehen ist (Nr. 4), die öffentliche Sicherheit gefährdet ist (Nr. 5), die Daten für eigene Zwecke gespeichert sind und entweder aus allgemein zugänglichen Quellen entnommen wurden oder die Benachrichtigung die

7 Geschäftszwecke so sehr gefährden würde, daß eine Güterabwägung zugunsten der Geschäftszwecke ausfällt. (Nr. 7 a und b), die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind und entweder aus allgemein zugänglichen Quellen entnommen sind oder es sich um in Listen oder anders zusammengefaßte Daten handelt und die Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig hoch ist. (Nr. 8) Immerhin sieht das Gesetz noch vor, daß Unternehmen schriftlich festlegen müssen, unter welchen Voraussetzungen auf eine Benachrichtigung gemäß Nr. 2 bis 7 verzichtet wird. Insgesamt kann festgehalten werden, daß sich in diesem Katalog genügend Freiraum für Kreativität befindet, durch die sich eigentlich jede Verarbeitung personenbezogener Daten durch nicht-öffentliche Stellen vor dem Betroffenen verstecken läßt. Welche Rechte der Betroffene im Falle einer Benachrichtigung im Einzelnen geltend machen kann, wird in einem weiteren Vortrag behandelt.