VORLESUNG DATENSCHUTZRECHT

Transkript

1 VORLESUNG DATENSCHUTZRECHT Fakultät Informatik Juristische Fakultät TU Dresden Sommersemester 2015 RA Dr. Ralph Wagner

2 Organisatorisches - Kontakt - Termine: , , , , , Ziele, Gliederung, Klausur - Literatur, Zeitschriften,

3 Gängige Literatur (Auswahl) Kommentare - Gola/Schomerus: 12. Auflage 2015, 677 Seiten, EUR 65,00 - Simitis: 8. Auflage 2014, 2072 Seiten EUR 198,00 - Taeger: (einschließlich TKG/TMG Datenschutz) 2. Auflage 2013, 1688 Seiten, EUR 238,00 - Bergmann: Loseblatt-Sammlung (Kommentierung BDSG und Landesdatenschutzgesetze), Stand Januar 2014, 3540 Seiten, 3 Ordner, EUR 84,00 - Giesen: Kommentar zum Sächsischen Datenschutzgesetz, 2011, 456 Seiten, EUR

4 Geschichte des Datenschutzes Zeitalter vor der EDV - uralte Datenschutz-Bereiche: Priester, Ärzte, Anwälte - Unverletzlichkeit der Wohnung (Schutz der Privatsphäre) - Post- und Briefgeheimnis

5 Zäsur: EDV-Zeitalter Landesdatenschutzgesetz Hessen ( weltweit erstes Datenschutzgesetz?) Bundesdatenschutzgesetz - Volkszählungsurteil des Bundesverfassungsgerichtes vom (gegen Statistikgesetz zur Volkszählung) zum Grundrecht auf informationelle Selbstbestimmung - BDSG Novellen 1991, 2001, 2006 und Allgemeine EG-Datenschutzrichtlinie vom Urteil des Bundesverfassungsgericht vom zum Bundestrojaner (Onlinedurchsuchung) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (im Verfahren: Gutachten Prof. Dr. Andreas Pfitzmann, Fakultät Informatik der TU Dresden) - Entwurf einer allgemeinen EU-Datenschutzverordnung (Stand

6 I. Rechtlicher Regelungsrahmen EU-Recht Datenschutzrichtlinie 95/46/EG vom E-Commerce-RL 2000/31/EG vom EG-Verordnung 45/2001 zum Datenschutz durch EG-Institutionen vom E-Kommunikations-DS-RL 2002/58/EG Vorratsdatenspeicherungsrichtlinie 2006/24/EG Cookie-Richtlinie 2009/136/EG Entwürfe vom für DS-Grund-VO und DS-RL- Strafverfolgung, KOM (2012) 11 und

7 I. Rechtlicher Regelungsrahmen Artikel 8 Grundrechts-Charta der EU Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle

8 I. Rechtlicher Regelungsrahmen Bundesrecht BDSG TKG/TMG SGB, StPO, Landesrecht Autonomes Recht (z.b. Kirchen,

9 I. Rechtlicher Regelungsrahmen Einschränkung nach 1 Abs. 3 Satz 1 BDSG und 2 Abs. 4 SächsDSG: Vorrang datenschutzbezogener Spezialregelungen in sonstigen Gesetzen (im materiellen Sinn, also auch: Satzung, Verordnung nicht: Tarifvertrag, Betriebsvereinbarung). Extreme Zersplitterung -> unvollständige Auflistung der Spezialregelungen z.b. für Bundesrecht bei Bergmann/Möhrle/Herb: Systematik Ziffer 4.2.2, Seiten 4 89 (!) von A wie 13, 19 Abfall- und Reststoffüberwachungs-Verordnung bis Z wie 2a

10 Sachlicher Anwendungsbereich des Datenschutzrechtes Gemeinsamer Grundsatz: Datenschutzrecht befasst sich mit personenbezogenen Daten Definition: 3 Abs

11 Grundlagen Personenbezogene Datensind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Beispiele: Namen, Adressen, Gehalts-/Bankdaten, Kreditkartennummer Bestimmt ist eine Person, wenn sich ihre Identität direkt aus dem Datum selbst ergibt. Bestimmbar wird eine Person, wenn ihre Identität durch die Kombination des Datums mit einer anderen Information feststellbar wird. besondere Arten personenbezogener Daten ( 3 Abs

12 Datenschutzrecht deckt sich nicht mit Geheimnisschutz/Informationsschutz. Der Regelungsbereich des geltenden Datenschutzrechtes ist enger und

13 weitere Unterschiede bereichsbezogen: A. Öffentliche Stellen des Bundes (Definition: 2 Abs. 1 und Abs. 3 BDSG): 1 Abs. 2 Satz 1 BDSG: keine weitere Einschränkung B. Öffentliche Stellen der Länder: 1 Abs. 2 Nr. 2 BDSG ohne Anwendungsbereich (da in sämtlichen Bundesländern mittlerweile Landesdatenschutzgesetze erlassen) für Sachsen: 2 Abs. 1 SächsDSG: keine weitere Einschränkung C. Nicht-öffentliche Stellen 1 Abs. 2 Nr. 3 BDSG: Datenschutzrecht nur anwendbar, soweit a) nicht ausschließlich persönliche/familiäre Tätigkeiten und b) automatisierte DV oder Verwendung von Daten in/aus nichtautomatisierten Dateien (= z.b. Karteien, sortierte Papierakten) Wichtigste Rückausnahme zu b): 32 Abs. 2 BDSG Beschäftigtendaten umfassend (auch außerhalb automatisierter Verarbeitung)

14 II. Grundlagen Verbot mit Erlaubnisvorbehalt 4 BDSG Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt

15 II. Grundlagen 4a BDSG Einwilligung (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders

16 II. Grundlagen Erlaubnisnormen außerhalb BDSG 31 AO Mitteilung von Besteuerungsgrundlagen (1) Die Finanzbehörden sind verpflichtet, Besteuerungsgrundlagen, Steuermessbeträge und Steuerbeträge an Körperschaften des öffentlichen Rechts einschließlich der Religionsgemeinschaften, die Körperschaften des öffentlichen Rechts sind, zur Festsetzung von solchen Abgaben mitzuteilen, die an diese Besteuerungsgrundlagen, Steuermessbeträge oder Steuerbeträge anknüpfen. Die Mitteilungspflicht besteht nicht, soweit deren Erfüllung mit einem unverhältnismäßigen Aufwand verbunden wäre. Die Finanzbehörden dürfen Körperschaften des öffentlichen Rechts auf Ersuchen Namen und Anschriften ihrer Mitglieder, die dem Grunde nach zur Entrichtung von Abgaben im Sinne des Satzes 1 verpflichtet sind, sowie die von der Finanzbehörde für die Körperschaft festgesetzten Abgaben übermitteln, soweit die Kenntnis dieser Daten zur Erfüllung von in der Zuständigkeit der Körperschaft liegenden öffentlichen Aufgaben erforderlich ist und überwiegende schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (2) Die Finanzbehörden sind verpflichtet, die nach 30 geschützten Verhältnisse des Betroffenen den Trägern der gesetzlichen Sozialversicherung, der Bundesagentur für Arbeit und der Künstlersozialkasse mitzuteilen, soweit die Kenntnis dieser Verhältnisse für die Feststellung der Versicherungspflicht oder die Festsetzung von Beiträgen einschließlich der Künstlersozialabgabe erforderlich ist oder der Betroffene einen Antrag auf Mitteilung stellt. Die Mitteilungspflicht besteht nicht, soweit deren Erfüllung mit einem unverhältnismäßigen Aufwand verbunden wäre. (3) Die für die Verwaltung der Grundsteuer zuständigen Behörden sind berechtigt, die nach 30 geschützten Namen und Anschriften von Grundstückseigentümern, die bei der Verwaltung der Grundsteuer bekannt geworden sind, zur Verwaltung anderer Abgaben sowie zur Erfüllung sonstiger öffentlicher Aufgaben zu verwenden oder den hierfür zuständigen Gerichten, Behörden oder juristischen Personen des öffentlichen Rechts auf Ersuchen mitzuteilen, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen

17 II. Grundlagen Erlaubnisnormen BDSG 28 Abs. 1 BDSG - Datenerhebung und -speicherung für eigene Geschäftszwecke (1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret

18 Es ist nicht Aufgabe des Datenschutzrechts und der Datenschutz-Kontrollinstanzen, die Menschen von autonomen Entscheidungen über ihre Daten abzuhalten. Hans-Peter Bull Neue Juristische Wochenschrift Heft 23/2006 vom 06. Juni

19 Unterscheidung öffentliche und nicht-öffentliche Stellen, Wettbewerbsunternehmen BDSG 1. Abschnitt allgemeine und gemeinsame Bestimmungen 2. Abschnitt Datenverarbeitung der öffentlichen Stellen 3. Abschnitt Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen Sächsisches Datenschutzgesetz - 2 Abs

20 2 BDSG Öffentliche und nicht-öffentliche Stellen (1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlichrechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlichrechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. (3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. Andernfalls gelten sie als öffentliche Stellen der Länder. (4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses

21 12 BDSG Anwendungsbereich (1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich- rechtliche Unternehmen am Wettbewerb teilnehmen. (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie 1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder 2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. (3) Für Landesbeauftragte für den Datenschutz gilt 23 Abs. 4 entsprechend. (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten 28 Absatz 2 Nummer 2 und die 32 bis 35 anstelle der 13 bis 16 und 19 bis BDSG Anwendungsbereich (1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nicht-öffentliche Stellen, 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. In den Fällen der Nummer 2 Buchstabe a gelten anstelle des 38 die 18, 21 und 24 bis 26. (2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden

22 Beispiele: DB Netz AG XY Hoch- und Tiefbau GmbH Staatliche Kunstsammlungen Dresden Bundesverteidigungsministerium BW Fuhrpark Service

23 III. technischer und organisatorischer Datenschutz Das

24 III. technischer und organisatorischer Datenschutz Datenvermeidung / Datensparsamkeit 3 a BDSG angemessener technischer und organisatorischer Datenschutz 9 BDSG mit

25 III. technischer und organisatorischer Datenschutz 3 a BDSG Datenvermeidung und Datensparsamkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand

26 III. technischer und organisatorischer Datenschutz 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck

27 III. technischer und organisatorischer Datenschutz Anlage (zu 9 Satz 1) (Fundstelle des Originaltextes: BGBl. I 2003, 88; bzgl. der einzelnen Änderungen vgl. Fußnote) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden

28 III. technischer und organisatorischer Datenschutz 9 SächsDSG Maßnahmen zur Gewährleistung des Datenschutzes (1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben alle angemessenen personellen, technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Datenverarbeitung zu gewährleisten. Die Grundsätze der Datenvermeidung und Datensparsamkeit sind zu beachten. (2) Werden personenbezogene Daten verarbeitet, sind nach dem jeweiligen Stand der Technik Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität), 3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität), 5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit), 6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz). (3) Die Staatsregierung wird ermächtigt, durch Rechtsverordnung die in den Absätzen 1 und 2 genannten Anforderungen und Maßnahmen nach dem jeweiligen Stand der Technik näher zu bestimmen und fortzuschreiben. (4) Werden personenbezogene Daten in Akten verarbeitet, sind besondere Maßnahmen zu treffen, um zu verhindern, dass Unbefugte bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung auf die Daten zugreifen

29 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse unabhängige Kontrollstellen staatliche Aufsichtsbehörden Betriebliche / behördliche Beauftragte Selbstkontrolle der verantwortlichen

30 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse behördlicher Datenschutzbeauftragter bei öffentlichen Stellen des Bundes 4 f Abs. 1 Satz 1 und Abs. 2 Satz 4 BDSG behördlicher Datenschutzbeauftragter bei öffentlichen Stellen des Landes 11 SächsDSG betrieblicher Datenschutzbeauftragter bei nichtöffentliche Stellen (und Wettbewerbsunternehmen der Länder) 4 f

31 43 Abs. 1 Nr. 2 BDSG Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, IV. Datenschutzbeauftragte, Vorabkontrollen und

32 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Fachkunde

33 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Aufgaben des betrieblichen / behördlichen Datenschutzbeauftragten 4 g Abs. 1 BDSG auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hinzuwirken, insbesondere Prüfung, Aktualisierung und Bereithaltung der Verfahrensübersichten Prüfung und Überwachung der Auftragsdatenverarbeitungen Prüfung und Stellungnahme vor Einführung neuer Verfahren, ggf. Vorabkontrolle Schulung im Allgemeinen und Beantwortung konkreter Fragen vertrauliche Beratung in Datenschutzangelegenheiten laufende Kontrolle aller formellen und materiellen Anforderungen des Datenschutzrechts, z.b. Verpflichtungen gemäß 5 BDSG, Prüfung von Einwilligungserklärungen, Prüfung des technischen / organisatorischen

34 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Haftung des Datenschutzbeauftragten 43, 44 BDSG 823 Abs. 2 i.v.m. 4 Abs. 1, 4 g Abs. 1 BDSG Arbeitsvertrag /

35 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Meldung und Vorabkontrolle von DV-Verfahren DV-Verfahren: nicht einzelne Verarbeitungsvorgänge, sondern Automatisierungen mit dem einheitlichen Zweck der Verarbeitung einer Vielzahl personenbezogener Daten Beispiele: CRM-System, Kameraanlage zur Raumüberwachung, Kennkarten-System zur Arbeitszeiterfassung, Programm zur unternehmensweiten Anwesenheits- und Terminplanung,

36 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Meldepflicht 4 e BDSG, 10 Abs. 3 Sächs

37 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Vorabkontrolle 4 d BDSG Anwendungsbereich / Notwendigkeit Prüfbereiche: Sensibilität der betroffenen Daten? Differenzierungen / Schutzstufen? betroffene Personengruppen? (datenverarbeitende Personen einbeziehen!) Rechtsgrundlage? (Suchen-Finden-Prüfen) technischer / organisatorischer Datenschutz (Mögliches, Nötiges,

38 IV. Datenschutzbeauftragte, Vorabkontrollen und Verfahrensverzeichnisse Öffentliches Verfahrensverzeichnis gem. 4g Abs. 2 Satz 2 BDSG 1. Angaben zur verantwortlichen Stelle ( 4e Satz 1 Nr. 1-3 BDSG) Name oder Firma der verantwortlichen Stelle 2. Geschäftsführung Geschäftsführung Leiter der Datenverarbeitung: 3. Zweckbestimmung der Datenerhebung, -verarbeitung oder nutzung 4. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien (zur Erfüllung der unter 3. genannten Zwecke erforderlich) 5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften externe Stellen zur Erfüllung der unter 3. genannten Zwecke interne Stellen zur Ausführung der jeweiligen Geschäftsprozesse (Personalverwaltung, Buchhaltung, Vertrieb etc.) Auftragsdatenverarbeiter gemäß 11 BDSG 6. Regelfristen für die Löschung der Daten Nach Durchführung des Vertrages, Wegfall des Zweckes oder Ablauf der gesetzlichen Aufbewahrungsfristen. 7. Geplante Datenübermittlung in

39 Wenn alle Menschen wüssten, was die einen über die anderen reden, so gäbe es keine vier Freunde auf Erden. Plutarch, griechischer Philosoph und

40 V. Beschäftigtendatenschutz 32, 12 Abs. 5 BDSG und 37 SächsDSG Art. 82 Entwurf EU-Datenschutz- Grundverordnung 3 Abs. 11 BDSG 32 Abs

41 V. Beschäftigtendatenschutz Zusammenarbeit des Datenschutzbeauftragten mit der Personalvertretung nicht-automatisierte Datenverarbeitung als erweiterter Anwendungsbereich Trennung der Personaldaten von sonstigen Verarbeitungen private Nutzung betrieblicher / behördlicher TK- und EDV- Einrichtung verdeckte Datenerhebung

42 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben

43 32a BDSG (Entwurf) Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses (1) Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer ärztlichen Untersuchung abhängig machen, wenn und soweit die Erfüllung bestimmter gesundheitlicher Voraussetzungen wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung zum Zeitpunkt der Arbeitsaufnahme darstellt. Der Beschäftigte muss in die Untersuchung nach Aufklärung über deren Art und Umfang sowie in die Weitergabe des Untersuchungsergebnisses an den Arbeitgeber eingewilligt haben. Dem Beschäftigten ist das vollständige Untersuchungsergebnis mitzuteilen. Dem Arbeitgeber darf nur mitgeteilt werden, ob der Beschäftigte nach dem Untersuchungsergebnis für die vorgesehenen Tätigkeiten geeignet ist. (2) Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer sonstigen Untersuchung oder Prüfung abhängig machen, wenn die Untersuchung oder Prüfung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer Ausübung erforderlich ist, um festzustellen, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme für die vorgesehenen Tätigkeiten geeignet ist (Eignungstest). Der Beschäftigte muss in den Eignungstest nach Aufklärung über dessen Art und Umfang sowie in die Weitergabe des Ergebnisses des Eignungstests an den Arbeitgeber eingewilligt haben. Der Eignungstest ist nach wissenschaftlich anerkannten Methoden durchzuführen, sofern solche bestehen. Dem Beschäftigten ist das Ergebnis des Eignungstests mitzuteilen. Sind Eignungstests ganz oder teilweise durch Personen durchzuführen, die einer beruflichen Schweigepflicht unterliegen, darf dem Arbeitgeber insoweit nur mitgeteilt werden, ob der Beschäftigte nach dem Ergebnis des Eignungstests für die vorgesehenen Tätigkeiten geeignet

44 32b BDSG (Entwurf) Datenverarbeitung und -nutzung vor Begründung eines Beschäftigungsverhältnisses (1) Der Arbeitgeber darf Beschäftigtendaten, die er nach den 32 oder 32a erhoben hat, verarbeiten und nutzen, soweit dies erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten festzustellen oder um über die Begründung des Beschäftigungsverhältnisses zu entscheiden. (2) Beschäftigtendaten, die der Arbeitgeber ohne Datenerhebung nach den 32 oder 32a erhalten hat, darf er nur verarbeiten und nutzen, soweit 1. dies erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten festzustellen oder um über die Begründung des Beschäftigungsverhältnisses zu entscheiden, und 2. er diese Daten nach 32 oder 32a hätte erheben dürfen. Satz 1 Nummer 2 gilt nicht, wenn der Beschäftigte die Daten dem Arbeitgeber übermittelt hat, ohne dass der Arbeitgeber hierzu Veranlassung gegeben hat. (3) Steht fest, dass ein Beschäftigungsverhältnis nicht begründet wird, sind die Beschäftigtendaten gemäß 35 Abs. 2 Satz 2 zu löschen, es sei denn, dass der Beschäftigte in die weitere Speicherung eingewilligt

45 32c BDSG (Entwurf) Datenerhebung im Beschäftigungsverhältnis (1) Beschäftigtendaten dürfen vorbehaltlich der 32e bis 32i erhoben werden, wenn dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich ist. Dies ist insbesondere der Fall, soweit die Kenntnis dieser Daten für den Arbeitgeber erforderlich ist, um 1. gesetzliche oder auf Grund eines Gesetzes bestehende Erhebungs-, Melde-, Auskunfts-, Offenlegungsoder Zahlungspflichten zu erfüllen, 2. die gegenüber dem Beschäftigten bestehenden Pflichten zu erfüllen oder 3. die gegenüber dem Beschäftigten bestehenden Rechte des Arbeitgebers einschließlich der Leistungsund Verhaltenskontrolle wahrzunehmen. 32 Abs. 2 Satz 2 und Abs. 6 gilt entsprechend. (2) 32 Abs. 2 und 5 gilt entsprechend für die Feststellung, ob der Beschäftigte fachlich geeignet ist, eine andere oder veränderte Tätigkeit aufzunehmen oder an einen anderen Arbeitsplatz zu wechseln. (3) Der Arbeitgeber darf von einem Beschäftigten die Teilnahme an einer ärztlichen Untersuchung nach Maßgabe des 32a Abs. 1 sowie die Teilnahme an einem Eignungstest nach Maßgabe des 32a Abs. 2 verlangen, soweit dies erforderlich ist, um die Eignung des Beschäftigten zu überprüfen, wenn 1. tatsächliche Anhaltspunkte vorliegen, die Zweifel an der fortdauernden Eignung des Beschäftigten begründen, oder 2. ein Wechsel seiner Tätigkeit oder seines Arbeitsplatzes beabsichtigt ist. (4) Die Datenerhebung ist nur zulässig, soweit Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig

46 32d BDSG (Entwurf) Datenverarbeitung und -nutzung im Beschäftigungsverhältnis (1) Der Arbeitgeber darf Beschäftigtendaten verarbeiten und nutzen, soweit 1. sie nach den 32, 32a oder 32c erhoben worden sind, 2. dies erforderlich ist zur Erfüllung der Zwecke, für die die Daten erhoben worden sind, oder zur Erfüllung anderer Zwecke, für die der Arbeitgeber sie nach den Vorschriften dieses Unterabschnitts hätte erheben dürfen, und 3. dies nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist. (2) Beschäftigtendaten, die der Arbeitgeber ohne Datenerhebung nach den 32, 32a oder 32c erhalten hat, darf er nur verarbeiten und nutzen, soweit 1. dies für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich und nach Art und Ausmaß im Hinblick auf den Zweck verhältnismäßig ist und 2. er sie nach den 32, 32a oder 32c hätte erheben dürfen. (3) Der Arbeitgeber darf zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere zur Aufdeckung von Straftaten nach den 266, 299, 331 bis 334 des Strafgesetzbuchs, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter oder pseudonymisierter Form mit von ihm geführten Dateien durchführen. Ergibt sich ein Verdachtsfall, dürfen die Daten personalisiert werden. Der Arbeitgeber hat die näheren Umstände, die ihn zu einem Abgleich nach Satz 1 veranlassen, zu dokumentieren. Die Beschäftigten sind über Inhalt, Umfang und Zweck des automatisierten Abgleichs zu unterrichten, sobald der Zweck durch die Unterrichtung nicht mehr gefährdet wird. (4) Ein Dritter, an den Beschäftigtendaten übermittelt worden sind, darf diese nur für den Zweck verarbeiten und nutzen, zu dessen Erfüllung sie ihm übermittelt wurden. Der Arbeitgeber hat ihn darauf hinzuweisen. (5) Der Arbeitgeber darf die nach 32 Abs. 1 bis 6 sowie nach den 32a und 32c Abs. 1 bis 3 erhobenen Beschäftigtendaten nicht in einer Weise verarbeiten und nutzen, dass sie durch die automatisierte Zusammenführung einzelner Lebens- und Personaldaten ein Gesamtbild der wesentlichen geistigen und charakterlichen Eigenschaften oder des Gesundheitszustandes des Beschäftigten

47 32e BDSG (Entwurf) Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis (1) Der Arbeitgeber darf Beschäftigtendaten nur mit Kenntnis des Beschäftigten erheben. (2) Der Arbeitgeber darf Beschäftigtendaten ohne Kenntnis des Beschäftigten nur erheben, wenn 1. Tatsachen den Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis eine Straftat oder eine andere schwerwiegende Pflichtverletzung begangen hat, die den Arbeitgeber bei einem Arbeitnehmer zu einer Kündigung aus wichtigem Grund berechtigen würde, und 2. die Erhebung erforderlich ist, um die Straftat oder die andere schwerwiegende Pflichtverletzung aufzudecken oder um damit im Zusammenhang stehende weitere Straftaten oder schwerwiegende Pflichtverletzungen des Beschäftigten zu verhindern. (3) Die Erhebung nach Absatz 2 muss nach Art und Ausmaß im Hinblick auf den Anlass verhältnismäßig sein. Sie ist nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise erschwert oder weniger erfolgversprechend wäre. Die Erhebung ist abzubrechen, wenn der Zweck nicht zu erreichen ist; sie ist zu unterbrechen, wenn der Zweck nur vorübergehend nicht zu erreichen ist. Die Dauer ist auf das Unerlässliche zu beschränken. (4) In den Fällen des Absatzes 2 ist die Erhebung von Beschäftigtendaten unzulässig, wenn sie erfolgt mit Hilfe 1. einer planmäßig angelegten Beobachtung, die länger als 24 Stunden ohne Unterbrechung oder an mehr als vier Tagen stattfinden soll, 2. technischer Mittel zum Abhören oder Aufzeichnen des nicht öffentlich gesprochenen Wortes oder 3. sonstiger besonderer technischer Mittel, die für Beobachtungszwecke bestimmt sind. Satz 1 Nr. 3 gilt nicht für den Einsatz von Ferngläsern und

48 (5) Der Arbeitgeber darf die nach Absatz 2 erhobenen Daten nur für die Zwecke, für die sie erhoben wurden, verarbeiten und nutzen. Die den Verdacht begründenden Tatsachen sind vor der Datenerhebung zu dokumentieren. Die näheren Umstände der Datenerhebung nach den Absätzen 2 bis 4 sind unverzüglich nach der Datenerhebung zu dokumentieren. 4d Abs. 5 ist anzuwenden. Der Beschäftigte ist über die Erhebung, Verarbeitung oder Nutzung zu unterrichten, sobald deren Zweck durch die Unterrichtung nicht mehr gefährdet wird. (6) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten einer weiteren Speicherung entgegenstehen. Der Grund der Speicherung der Daten und die Löschung sind zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Die Dokumentation ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt. (7) Daten, die den Kernbereich privater Lebensgestaltung betreffen, darf der Arbeitgeber nicht erheben, verarbeiten oder nutzen. Wurden solche Daten entgegen Satz 1 gespeichert, sind sie unverzüglich zu löschen. Absatz 6 Satz 2 bis 4 ist entsprechend

49 32f BDSG (Entwurf) Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optischelektronischen Einrichtungen (1) Die Beobachtung nicht öffentlich zugänglicher Betriebsgelände, Betriebsgebäude oder Betriebsräume (Betriebsstätten) mit optisch-elektronischen Einrichtungen (Videoüberwachung), die auch zur Erhebung von Beschäftigtendaten geeignet ist, ist nur zulässig 1. zur Zutrittskontrolle, 2. zur Wahrnehmung des Hausrechts, 3. zum Schutz des Eigentums, 4. zur Sicherheit des Beschäftigten, 5. zur Sicherung von Anlagen, 6. zur Abwehr von Gefahren für die Sicherheit des Betriebes, 7. zur Qualitätskontrolle, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich ist und wenn nach Art und Ausmaß der Videoüberwachung keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen am Ausschluss der Datenerhebung überwiegen. Der Arbeitgeber hat den Umstand der Videoüberwachung durch geeignete Maßnahmen erkennbar zu machen. 6 b Abs. 3 und 4 gilt entsprechend. Die Sätze 1 und 2 gelten entsprechend, wenn von einer Einrichtung lediglich der Anschein einer Videoüberwachung ausgeht. (2) Eine Videoüberwachung von Teilen von Betriebsstätten, die überwiegend der privaten Lebensgestaltung des Beschäftigten dienen, ist unzulässig. Dies gilt insbesondere für Sanitär-, Umkleide- und Schlafräume. (3) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Speicherungszwecks nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten einer weiteren Speicherung

50 32g BDSG (Entwurf) Ortungssysteme (1) Der Arbeitgeber darf Beschäftigtendaten durch elektronische Einrichtungen zur Bestimmung eines geografischen Standortes (Ortungssysteme) nur erheben, verarbeiten und nutzen, soweit dies aus betrieblichen Gründen erforderlich ist 1. zur Sicherheit des Beschäftigten oder 2. zur Koordinierung des Einsatzes des Beschäftigten und wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen des Beschäftigten am Ausschluss der Datenerhebung, -verarbeitung oder -nutzung überwiegen. Eine Erhebung nach Satz 1 darf nur während der Arbeitszeit des Beschäftigten erfolgen. Der Arbeitgeber hat den Einsatz des Ortungssystems durch geeignete Maßnahmen für den Beschäftigten erkennbar zu machen und ihn über den Umfang der Aufzeichnungen und deren regelmäßige oder im Einzelfall vorgesehene Auswertung zu informieren. Beschäftigtendaten, die beim Einsatz von Ortungssystemen erhoben werden, dürfen nicht zu anderen Zwecken als nach Satz 1 verarbeitet oder genutzt werden. (2) Der Arbeitgeber darf Ortungssysteme auch zum Schutz beweglicher Sachen ein- setzen. In diesem Fall darf eine Ortung des Beschäftigten nicht erfolgen, solange der Beschäftigte die bewegliche Sache erlaubterweise nutzt oder diese sich erlaubterweise in seiner Obhut befindet. (3) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks der Speicherung nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten einer weiteren Speicherung

51 32h BDSG (Entwurf) Biometrische Verfahren (1) Der Arbeitgeber darf biometrische Merkmale eines Beschäftigten nur erheben, verarbeiten und nutzen, soweit dies aus betrieblichen Gründen zu Autorisierungsund Authentifikationszwecken erforderlich ist und keine schutzwürdigen Interessen des Beschäftigten am Ausschluss der Datenerhebung, -verarbeitung und -nutzung überwiegen. Daten in Form von Lichtbildern eines Beschäftigten darf der Arbeitgeber auch zu anderen Zwecken erheben, verarbeiten und nutzen, soweit der Beschäftigte eingewilligt hat. (2) Biometrische Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen des Beschäftigten einer weiteren Speicherung

52 32i BDSG (Entwurf) Nutzung von Telekommunikationsdiensten (1) Soweit dem Beschäftigten die Nutzung von Telekommunikationsdiensten ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubt ist, darf der Arbeitgeber bei dieser Nutzung anfallende Daten nur erheben, verarbeiten und nutzen, soweit dies erforderlich ist 1. zur Gewährleistung des ordnungsgemäßen Betriebs von Telekommunikationsnetzen oder Telekommunikationsdiensten, einschließlich der Datensicherheit, 2. zu Abrechnungszwecken oder 3. zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle und soweit keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Beschäftigten an einem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegen. Werden nach Satz 1 Nummer 3 erhobene Daten einem bestimmten Beschäftigten zugeordnet, ist dieser über eine Verarbeitung und Nutzung zu unterrichten, sobald der Zweck der Verarbeitung oder Nutzung durch die Unterrichtung nicht mehr gefährdet wird. (2) Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten Nutzung von Telefondiensten darf der Arbeitgeber nur erheben, verarbeiten und nutzen, soweit dies zur Wahrung seiner berechtigten Interessen erforderlich ist und der Beschäftigte und seine Kommunikationspartner im Einzelfall vorher darüber informiert worden sind und darin eingewilligt haben. Ist die ausschließlich zu beruflichen oder dienstlichen Zwecken erbrachte telefonische Dienstleistung wesentlicher Inhalt der geschuldeten Arbeitsleistung, darf der Arbeitgeber Inhalte dieser Nutzung ohne Kenntnis des Beschäftigten im Einzelfall zu einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle erheben, verarbeiten und nutzen, wenn 1. der Beschäftigte in geeigneter Weise vorab darüber informiert worden ist, dass er in einem eingegrenzten Zeitraum mit einer Kontrolle zu rechnen hat, und 2. die Kommunikationspartner des Beschäftigten über die Möglichkeit der Erhebung, Verarbeitung und Nutzung informiert worden sind und darin eingewilligt haben. Der Arbeitgeber hat den Beschäftigten unverzüglich über die Erhebung, Verarbeitung und Nutzung Inhaltsdaten 2015 nach Satz 2 zu unterrichten. 52

53 (3) Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten Nutzung von anderen als in Absatz 2 genannten Telekommunikationsdiensten darf der Arbeitgeber erheben, verarbeiten und nutzen, soweit dies zu den in Absatz 1 Nummer 1 oder 3 genannten Zwecken erforderlich ist und keine Anhaltspunkte dafür bestehen, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt. Dies gilt auch, soweit es für den ordnungsgemäßen Dienst- oder Geschäftsbetrieb des Arbeitgebers in den Fällen einer Versetzung, Abordnung oder Abwesenheit erforderlich ist. Ohne Kenntnis des Beschäftigten darf eine Erhebung nach Satz 1 in Verbindung mit Absatz 1 Satz 1 Nummer 3 nur nach Maßgabe des 32e Abs. 2 bis 7 erfolgen. (4) Nach Abschluss einer Telekommunikation gelten für die Erhebung, Verarbeitung und Nutzung der Daten und Inhalte die 32c und 32d. Der Arbeitgeber darf private Daten und Inhalte nur erheben, verarbeiten und nutzen, wenn dies zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes unerlässlich ist und er den Beschäftigten hierauf schriftlich hingewiesen

54 32j BDSG (Entwurf) Unterrichtungspflichten Stellt ein Arbeitgeber fest, dass bei ihm gespeicherte Beschäftigtendaten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat er dies unverzüglich den Betroffenen mitzuteilen. Drohen schwerwiegende Beeinträchtigungen der Rechte oder schutzwürdiger Interessen der Beschäftigten, hat der Arbeitgeber auch die zuständige Aufsichtsbehörde unverzüglich zu unterrichten. 42a Satz 3 bis 4 und 6 gilt

55 32k BDSG (Entwurf) Änderungen Der Arbeitgeber hat Dritten, an die er Beschäftigtendaten übermittelt hat, die Änderung, Löschung oder Sperrung dieser Daten unverzüglich mitzuteilen, es sei denn, die Mitteilung ist nicht erforderlich, um schutzwürdige Interessen der Beschäftigten zu

56 32l BDSG (Entwurf) Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, Beschwerderecht, Unabdingbarkeit (1) Die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten durch den Arbeitgeber auf Grund einer Einwilligung des Beschäftigten ist abweichend von 4 Abs. 1 nur zulässig, soweit dies in den Vorschriften dieses Unterabschnitts ausdrücklich vorgesehen ist. (2) Die Vorschriften dieses Unterabschnitts gelten entsprechend für Dritte, die für den Arbeitgeber beim Erheben, Verarbeiten und Nutzen von Beschäftigtendaten tätig werden. (3) Die Rechte der Interessenvertretungen der Beschäftigten bleiben unberührt. (4) Bestehen tatsächliche Anhaltspunkte, die den Verdacht begründen, dass der Arbeitgeber Beschäftigtendaten unbefugt erhebt, verarbeitet oder nutzt, kann sich der Beschäftigte an die für die Datenschutzkontrolle zuständige Behörde wenden, wenn der Arbeitgeber einer darauf gerichteten Beschwerde des Beschäftigten nicht unverzüglich abhilft. (5) Von den Vorschriften dieses Unterabschnitts darf nicht zu Ungunsten der Beschäftigten abgewichen

57 VI. Kundendatenschutz und Werbung bereichsspezifische Regelungen, z.b. Patienten SGB V 284 ff. Anwälte 203 StGB, 43a Abs. 2 BRAO TK- und Telemedien-Kunden 88 ff. TKG, 11 ff

58 VI. Kundendatenschutz und Werbung Werbung ohne Personenbezug kein Datenschutzrechts-Thema (ggf. wettbewerbsrechtliche

59 VI. Kundendatenschutz und Werbung 28 Datenerhebung und -speicherung für eigene Geschäftszwecke (1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. (2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig 1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3, 2. soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten oder b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder 3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden

60 (3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder 3. für Zwecke der Werbung für Spenden, die nach 10b Absatz 1 und 34g des Einkommensteuergesetzes steuerbegünstigt sind. Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermittlung nach Maßgabe des 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind. (3a) Wird die Einwilligung nach 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. (3b) Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist

61 (4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses. (5) Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nichtöffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des 14 Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn darauf hinzuweisen. (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des 4a Abs. 3 eingewilligt hat, wenn 1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder 4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden

62 (7) Das Erheben von besonderen Arten personenbezogener Daten ( 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. (8) Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten ( 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. (9) Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten ( 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des 4a Abs. 3 zulässig. Absatz 2 Nummer 2 Buchstabe b gilt

63 7 UWG Unzumutbare Belästigungen (1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht. (2) Eine unzumutbare Belästigung ist stets anzunehmen 1. bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten, für den Fernabsatz geeigneten Mittels der kommerziellen Kommunikation, durch die ein Verbraucher hartnäckig angesprochen wird, obwohl er dies erkennbar nicht wünscht; 2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung, 3. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, oder 4. bei Werbung mit einer Nachricht, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. (3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn 1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat, 2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, 3. der Kunde der Verwendung nicht widersprochen hat und 4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen

64 Jeder Videobeweis ist ein Beweis dafür, dass Überwachungskameras keine Verbrechen verhindern. Alexander

65 6b BDSG Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu

66 (3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den 19a und 33 zu benachrichtigen. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung

67 Was sind öffentlich zugängliche Räume? Öffentlich zugängliche Räume sind Bereiche, die von einem unbestimmten oder nur nach allgemeinen Merkmalen bestimmten Personenkreis betreten und genutzt werden können und ihrem Zweck nach dazu auch bestimmt sind Eigentumsverhältnisse sind irrelevant ebenso irrelevant ist der Umstand, ob der Ort umschlossen oder überdacht ist oder eine Zugangs- bzw. Nutzungsberechtigung z.b. in Form eines Tickets erworben werden

68 Was sind öffentlich zugängliche Räume? Umfasst die Anwendung von Videoeinsätzen auf Parkplätzen, an Haltestellen und Tankstellen, auf öffentlichen Gehwegen und Straßen, in Parks, Fußgängerzonen, Ladengalerien, Geschäften, Bibliotheken, Bahnhöfen, öffentlichen Verkehrsmitteln, Fußballstadien, Museen, Banken, Spielhallen, auch in gemischt genutzten Wohn- und Geschäftshäusern - begrenzt auf die Öffnungszeiten bzw. Sprechstunden Ebenfalls erfasst sind Eingangsbereiche vor der Haustür, sofern sie sich auf bzw. an einem öffentlich zugänglichen Weg und nicht innerhalb einer abgegrenzten Anlage befinden Keine öffentlich zugänglichen Räume i.s.d. 6b Abs. 1 BDSG sind grundsätzlich Wohnungen, Hausflure, geschlossene Wohnanlagen, Vorgärten, Firmengelände, Büros, Werkhallen, Lager- und Personalräume oder sonstige interne, besonders geschützte, nicht für Publikumsverkehr vorgesehene

69 Was sind optisch-elektronische Einrichtungen? Videokameras/Webcams mit Aufzeichnungsfunktion strittig: Kameras ohne Aufzeichnung? ( verlängertes Auge ) Kamera-Dummy? elektronisch gesteuerte Fotoapparate, Ferngläser,

70 Videoüberwachung im Geltungsbereich BDSG - Formales und Inhaltliches - - Vorabkontrolle ( 4d Abs. 5 BDSG) durch bdsb - Meldepflicht/Verfahrensverzeichnis ( 4d Abs. 1, 4e BDSG) 1. Beobachtung - Beobachtungszweck - Erforderlichkeit - Abwägung - Kennzeichnung - Technische Ausgestaltung: - Blickbereich, Schwenkbarkeit, Zoom, Bild-Erkennung, Audio-Funktion? - Übertragung/Speicherung (Leitung, Funk, Verschlüsselung, Sicherung der

71 Videoüberwachung im Geltungsbereich BDSG - Formales und Inhaltliches - 2. Verarbeitung/Nutzung - z.b. auch Übermittlung an Dritte - grdsl. Zweckbindung ( 6b Abs. 3 Satz 1 BDSG) bei nochmaliger Abwägung - Zweckänderung nur zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten ( 6b Abs. 3 Satz 2 BDSG) 3. Speicherung/Löschung - Löschung unverzüglich bei Zweckerreichung oder

72 entsprechende Regelungen in den Landesdatenschutzgesetzen z.b. 33 des Sächsischen Datenschutzgesetzes (SächsDSG) großteils vergleichbare Regelungen, aber u.a.: - abweichende Löschungsfristen (max. 2 Monate; HB: 24 h!; MV und SchlH: 7 Tage) - verlängertes Auge ausdrücklich erfasst - Archiv-Anbietungspflicht ( 33 Abs. 4 Satz

73 33 SächsDSG (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit dies zur Aufgabenerfüllung, insbesondere zur Gewährleistung der öffentlichen Sicherheit und Ordnung, oder zur Wahrnehmung eines Hausrechts erforderlich ist und schutzwürdige Interessen Betroffener nicht überwiegen. (2) Die Speicherung von nach Absatz 1 erhobenen Daten (Videoaufzeichnung) und deren weitere Verarbeitung ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit sowie zur Verfolgung von Straftaten und Ordnungswidrigkeiten erforderlich ist. (3) Die Tatsache der Videoüberwachung und die verantwortliche Stelle sind, soweit nicht offenkundig, durch geeignete Maßnahmen erkennbar zu machen. (4) Das nach Absatz 1 gewonnene Bildmaterial und daraus gefertigte Unterlagen sind spätestens nach zwei Monaten zu löschen oder zu vernichten, soweit diese nicht zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Geltendmachung von Rechtsansprüchen oder wegen entgegenstehender schutzwürdiger Interessen Betroffener, insbesondere zur Behebung einer bestehenden Beweisnot, erforderlich sind. 20 Abs. 3 bleibt

74 Beschäftigtendatenschutz 32f im Regierungsentwurf zum Beschäftigtendatenschutz regelt die Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optischelektronischen Einrichtungen danach wäre/ist die Beobachtung nicht öffentlich zugänglicher Betriebsgelände, Betriebsgebäude oder Betriebsräume (Betriebsstätten) mit optisch-elektronischen Einrichtungen, die auch zur Erhebung von Beschäftigtendaten geeignet ist, ist nur zulässig 1. zur Zutrittskontrolle, 2. zur Wahrnehmung des Hausrechts, 3. zum Schutz des Eigentums, 4. zur Sicherheit des Beschäftigten 5. zur Sicherung von Anlagen, 6. zur Abwehr von Gefahren für die Sicherheit des Betriebes [oder] 7. zur

75 Beschäftigtendatenschutz Beobachtung darf nur erfolgen, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich ist und wenn nach Art und Ausmaß der Videoüberwachung keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen am Ausschluss der Datenerhebung überwiegen. unzulässig ist eine Videoüberwachung von Teilen von Betriebsstätten, die überwiegend der privaten Lebensgestaltung des Beschäftigten dienen (insbesondere Sanitär-, Umkleide- und Schlafräume) der Arbeitgeber hat den Umstand der Videoüberwachung durch geeignete Maßnahmen erkennbar machen 6b Absatz 3 und 4 gelten entsprechend, ebenso 4d, 4e,

76 Beschäftigtendatenschutz - Regelungen derzeit nicht Gesetz, Anwendung jedoch geboten (Heranziehung im Rahmen von 28 Abs. 1 Satz 1 Nr. 1 und 2, 32 BDSG) - in jedem Fall: Beteiligungsrechte des Betriebsrats/Personalrats bzw. der Mitarbeitervertretung - vorab - erzwingbar - bei Unterlassung sanktioniert durch arbeitsgerichtliches Beschlussverfahren und

77 EU-Datenschutzrichtlinie Artikel 33 Nr. 2c) des Entwurfs der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) Datenschutz-Folgenabschätzung: Bei Verarbeitungsvorgängen, die konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Die genannten Risiken bestehen insbesondere bei folgenden Verarbeitungsvorgängen:. weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels

78 Vertrauen Sie der Cloud! Anbieterwerbung am Flughafen

79 11 BDSG 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden

80 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf

81 (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden

82 7 SächsDSG Datenverarbeitung im Auftrag, Datenschutz bei Wartungsarbeiten (1) Eine öffentliche Stelle kann, soweit gesetzlich nichts anderes bestimmt ist, einen anderen mit der Verarbeitung personenbezogener Daten beauftragen (Datenverarbeitung im Auftrag). Für die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz ist der Auftraggeber verantwortlich. (2) Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen personellen, technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei Gegenstand und Umfang der Datenverarbeitung, die notwendigen zusätzlichen personellen, technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber ist verpflichtet, sich von der Einhaltung der getroffenen Festlegungen beim Auftragnehmer zu überzeugen. Der Auftraggeber hat dem Auftragnehmer die erforderlichen Weisungen zu erteilen. Die Datenverarbeitung ist nur im Rahmen des Auftrags und der Weisungen zulässig. Ist der Auftragnehmer der Ansicht, dass der Auftrag, eine einzelne Bestimmung des Auftrags oder eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (3) Ist der Auftragnehmer keine öffentliche Stelle im Sinne dieses Gesetzes, hat der Auftraggeber die für den Auftragnehmer zuständige Kontrollbehörde über die Beauftragung zu unterrichten. (4) Die Beauftragung eines Auftragnehmers, der seinen Sitz außerhalb der Europäischen Union hat, ist nur zulässig, wenn eine Übermittlung an ihn nach 17 Abs. 1 zulässig wäre. 17 Abs. 4 gilt entsprechend. (5) Die Absätze 1 bis 4 gelten für Wartungs- und Fernwartungsaufträge sowie ähnliche Maßnahmen (Wartungsarbeiten) entsprechend. 2015

83 Muster Vereinbarung zwischen * und - Auftraggeber - * - Auftragnehmer - zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag nach 11 Bundesdatenschutzgesetz (BDSG). 1 Gegenstand der Vereinbarung Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten im Auftrag des Auftraggebers. Der Auftrag umfasst folgende Arbeiten:

84 2 Rechte und Pflichten des Auftraggebers Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Im Rahmen dieser Zweckbindung ist der Auftraggeber berechtigt, Einzelweisungen zu erteilen. Die Weisungen bedürfen der Schriftform, der elektronischen Form (Verwendung einer qualifiziert elektronischen Signatur) oder einer verschlüsselten Textform (vgl. 126, 126a, 126b BGB). Soweit mit Durchführung derartiger Einzelweisungen zusätzlicher Aufwand verbunden ist, kann der Auftragnehmer entsprechende Kosten erheben. Er kann die Umsetzung der Weisung davon abhängig machen, dass eine Kostenvereinbarung für den Einzelfall vorab geschlossen und / oder der Kostenbedarf vorab beglichen wird. Die Vertragsparteien vereinbaren als Weisungsberechtigte und für die Annahme von Weisungen Berechtigte folgende Ansprechpartner: Weisungsberechtigte Personen des Auftraggebers sind: * Weisungsempfänger beim Auftragnehmer sind: * Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter

85 3 Pflichten des Auftragnehmers Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt, es sei denn, diese sind für die Auftragsbearbeitung unbedingt erforderlich. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen scharf getrennt werden. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Entsprechende Maßnahmen sind vorab zeitlich zwischen den Vertragsparteien abzustimmen. Hinsichtlich der Kosten gilt 2 Abs. 2 Satz 3 und 4 entsprechend. Die Einsichtnahme für den Auftraggeber ist auf solche Personen beschränkt, die ihrerseits gegenüber Dritten schweigeverpflichtet und berechtigt sind, insbesondere die / den Datenschutzbeauftragte/n des Auftraggebers. Die Verarbeitung von Daten findet vorbehaltlich Absatz 7 - nur in den Geschäftsräumen des Auftragnehmers statt. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien sind datenschutzgerecht zu vernichten. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen. Der Auftragnehmer hat bei Beauftragung von Subunternehmen vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach 4 erfüllt hat. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind nach dem Stand der Technik (SOP) zu

86 4 Datengeheimnis Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten des Auftraggebers das Datengeheimnis gemäß 5 BDSG zu wahren. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut und nach 5 BDSG verpflichtet sind. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. Auskünfte darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. 5 Datensicherungsmaßnahmen Auftraggeber und Auftragnehmer verständigen sich auf folgende technische und organisatorische Maßnahmen beim Auftragnehmer: a) Zutrittskontrolle (Maßnahmen, damit Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen bekommen können) b) Zugangskontrolle Maßnahmen, damit Unbefugte an der Nutzung der Datenverarbeitungsanlage oder anderer Datenträger gehindert werden) c) Zugriffskontrolle Maßnahmen, damit die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können) d) Weitergabekontrolle (Maßnahmen, damit personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung durch Einrichtungen zur Datenübertragung vorgesehen

87 e) Eingabekontrolle (Maßnahmen, damit nachträglich kontrolliert werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind) f) Auftragskontrolle (Maßnahmen, damit personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können) g) Verfügbarkeitskontrolle (Maßnahmen, damit personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind) h) Trennungsgebot (Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können) Der Auftragnehmer beachtet die Grundsätze ordnungsmäßiger Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Die technischen und organisatorischen Maßnahmen können und sollen im Laufe des Auftragsverhältnisses der technischen und organisatorischen Entwicklung angepasst werden. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn eine vom Auftraggeber erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Auftraggeber geändert oder ausdrücklich bestätigt

88 6 Vertragsdauer Die Vertragsdauer der vorliegenden Vereinbarung folgt derjenigen des Hauptvertrages. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen des BDSG oder dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert. 7 Haftung Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung vorsätzlich oder grob fahrlässig verursachen. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten. 8 Wirksamkeit der Vereinbarung Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Ort/Datum * Auftragnehmer

89 "Wir haben offene Grenzen, die Leute melden sich oft nicht an und nicht ab. Wir wissen wahrscheinlich genauer, wie viel Schweine und Rinder hier leben, weil es da auch kein Datenschutzproblem gibt." Wolfgang Schäuble, Rheinische Post, 23. Dezember

90 Wer prüft bei Fällen mit Auslandsbezug? 38 Abs. 1 Satz 1 BDSG Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des 1 Abs. 5. Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische

91 Welches Recht ist anwendbar? 1 Abs. 5 BDSG Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. 38 Abs. 1 Satz 1 bleibt

92 38 Abs. 1 Satz 5 BDSG Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe

93 EU-Privilegierungen Auslandübermittlungen ( 4b, 4c BDSG und z.b. 17 SächsDSG) Erstreckung auch auf europäischen Wirtschaftsraum: Island, Liechtenstein, Norwegen Gleichgestellte: Entscheidungen EU- Kommission Stand zugunsten Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Kanada, Neuseeland, Schweiz,

94 4b BDSG Übermittlung personenbezogener Daten ins Ausland sowie an überoder zwischenstaatliche Stellen (3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. (4) In den Fällen des 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde. (5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. 2015

95 Safe Harbor Regeln Vereinbarung zwischen EU und USA gemäß Art. 25 und 26 EG-Datenschutzrichtlinie; Entscheidung der Kommission vom unter Bezugnahme auf 7 Prinzipien und 15 FAQ des US-Handelsministeriums vom

96 7 Prinzipien 1. Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben. 2. Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen. 3. Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muß es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren. 4. Zugangsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können. 5. Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen. 6. Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind. 7. Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt. Zusätzlich sieht die Vereinbarung vor, dass die Unternehmen fünfzehn häufig gestellte Fragen zu beachten haben. In den Antworten zu diesen Fragen werden die Prinzipien näher erläutert. 2015

97 Standardvertragsklauseln Allgemein: Beschluss 2001/497/EG mit Änderung durch Beschluss 2004/915/EG vom (Standardverträge I und II mit Unterschieden insbesondere im Haftungsreglement) Auftragsdatenverarbeiter: Beschluss der Kommission vom , Az. K (2010) 593, 2010/87/EU, ersetzt den Beschluss

98 Man gebe mir sechs Zeilen, geschrieben von dem redlichsten Menschen, und ich werde darin etwas finden, um ihn aufhängen zu lassen." (Armand-Jean I. du Plessis de Richelieu, genannt Kardinal Richelieu) "Es nützt der Freiheit nichts, dass wir sie abschaffen, um sie zu schützen. (Wolfgang Thierse, Deutscher

99 24 BDSG Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. (2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf 1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs, und 2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach 30 der Abgabenordnung, unterliegen. Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. Personenbezogene Daten, die der Kontrolle durch die Kommission nach 15 des Artikel 10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. Der Kontrolle durch den Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten widerspricht. (3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig

100 (4) Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere 1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen, 2. jederzeit Zutritt in alle Diensträume zu gewähren. Die in 6 Abs. 2 und 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten. Satz 2 gilt für diese Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde. (5) Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 25 bleibt unberührt. (6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig

101 115 TKG Kontrolle und Durchsetzung von Verpflichtungen 115 Abs. 4 TKG: Soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, tritt bei den Unternehmen an die Stelle der Kontrolle nach 38 des Bundesdatenschutzgesetzes eine Kontrolle durch den Bundesbeauftragten für den Datenschutz entsprechend den 21 und 24 bis 26 Abs. 1 bis 4 des Bundesdatenschutzgesetzes. Der Bundesbeauftragte für den Datenschutz richtet seine Beanstandungen an die Bundesnetzagentur und übermittelt dieser nach pflichtgemäßem Ermessen weitere Ergebnisse seiner

102 38 Abs. 1 Satz 1 BDSG Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des 1 Abs

103 30 a SächsDSG Aufsichtsbehörde für den nicht-öffentlichen Teil Der Sächsische Datenschutzbeauftragte ist die zuständige Aufsichtsbehörde nach 38 des Bundesdatenschutzgesetzes über nichtöffentliche Stellen im Anwendungsbereich des Dritten Abschnitts des Bundesdatenschutzgesetzes. Er unterliegt insoweit, abweichend von 25 Abs. 4 Satz 1, der Rechtsaufsicht der

104 27 Abs. 1 SächsDSG Kontrolle durch den Sächsischen Datenschutzbeauftragten Der Sächsische Datenschutzbeauftragte kontrolliert bei den öffentlichen Stellen die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz. Seine Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis

105 41 BDSG Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien 41 Abs. 1 BDSG Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend 7 zur Anwendung

106 59 Rundfunkstaatsvertrag (1) Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Kontrollbehörden überwachen für ihren Bereich die Einhaltung der Datenschutzbestimmungen des Telemediengesetzes sowie des 57. Die für den Datenschutz im journalistisch-redaktionellen Bereich beim öffentlichrechtlichen Rundfunk zuständigen Stellen überwachen für ihren Bereich auch die Einhaltung der Datenschutzbestimmungen für journalistischredaktionelle Angebote bei Telemedien. Satz 1 gilt nicht, soweit Unternehmen und Hilfsunternehmen der Presse der Selbstregulierung durch den Pressekodex und der Beschwerdeordnung des Deutschen Presserates unterliegen. (2) Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden

107 (3) Stellt die jeweils zuständige Aufsichtsbehörde einen Verstoß gegen die Bestimmungen mit Ausnahme des 54, 55 Abs. 2 und 3, 56, 57 Abs. 2 oder der Datenschutzbestimmungen des Telemediengesetzes fest, trifft sie die zur Beseitigung des Verstoßes erforderlichen Maßnahmen gegenüber dem Anbieter. Sie kann insbesondere Angebote untersagen und deren Sperrung anordnen. Die Untersagung darf nicht erfolgen, wenn die Maßnahme außer Verhältnis zur Bedeutung des Angebots für den Anbieter und die Allgemeinheit steht. Eine Untersagung darf nur erfolgen, wenn ihr Zweck nicht in anderer Weise erreicht werden kann. Die Untersagung ist, soweit ihr Zweck dadurch erreicht werden kann, auf bestimmte Arten und Teile von Angeboten oder zeitlich zu beschränken. Bei journalistisch-redaktionell gestalteten Angeboten, in denen ausschließlich vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, ist eine Sperrung nur unter den Voraussetzungen des 97 Abs. 5 Satz 2 und des 98 der Strafprozessordnung zulässig. Die Befugnisse der Aufsichtsbehörden zur Durchsetzung der Vorschriften der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre bleiben unberührt. (4) Erweisen sich Maßnahmen gegenüber dem Verantwortlichen nach 7 des Telemediengesetzes als nicht durchführbar oder nicht erfolgversprechend, können Maßnahmen zur Sperrung von Angeboten nach Absatz 3 auch gegen den Diensteanbieter von fremden Inhalten nach den 8 bis 10 des Telemediengesetzes gerichtet werden, sofern eine Sperrung technisch möglich und zumutbar ist. 7 Abs. 2 des Telemediengesetzes bleibt unberührt. 2015

108 (5) Wird durch ein Angebot in Rechte Dritter eingegriffen und ist für den Dritten hiergegen der Rechtsweg eröffnet, sollen Anordnungen der Aufsichtsbehörde im Sinne von Absatz 3 nur erfolgen, wenn dies aus Gründen des Gemeinwohls geboten ist. (6) Für den Vollzug dieses Abschnitts ist die Aufsichtsbehörde des Landes zuständig, in dem der betroffene Anbieter seinen Sitz, Wohnsitz oder in Ermangelung dessen seinen ständigen Aufenthalt hat. Ergibt sich danach keine Zuständigkeit, so ist diejenige Aufsichtsbehörde zuständig, in deren Bezirk der Anlass für die Amtshandlung hervortritt. (7) Der Abruf von Angeboten im Rahmen der Aufsicht ist unentgeltlich. Diensteanbieter haben dies sicherzustellen. Der Anbieter darf seine Angebote nicht gegen den Abruf durch die zuständige Aufsichtsbehörde

109 42 BDSG - Datenschutzbeauftragter der Deutschen Welle (1) Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. (2) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. (3) Jedermann kann sich entsprechend 21 Satz 1 an den Beauftragten für den Datenschutz wenden. (4) er Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht. Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (5) Weitere Regelungen entsprechend den 23 bis 26 trifft die Deutsche Welle für ihren Bereich. Die 4f und 4g bleiben

110 41 NDR Staatsvertrag 41 Datenschutz (1) Für den Datenschutz beim NDR gilt das Hamburgische Datenschutzgesetz (HmbDSG) vom 5. Juli 1990 (Hamburgisches Gesetz- und Verordnungsblatt Seiten 133, 165, 226), soweit nachfolgend nichts anderes bestimmt ist. 2 Absatz 4 und 31 HmbDSG sind für den NDR nicht mehr anzuwenden; die 21 bis 23, 25 und 26 HmbDSG gelten nicht für den NDR. (2) Der Verwaltungsrat bestellt für den NDR einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte und trifft eine Vertretungsregelung. Der Datenschutzbeauftragte oder die Datenschutzbeauftragte ist in der Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. Dies gilt nicht,soweit er oder sie weitere Aufgaben innerhalb der Anstalt wahrnimmt. Er oder sie untersteht der Dienstaufsicht des

111 (3) Der oder die Datenschutzbeauftragte überwacht die Einhaltung der Vorschriften über den Datenschutz bei der Tätigkeit des NDR. Dies gilt auch für den Fall, dass Dritte im Auftrage des NDR tätig werden. Der oder die Datenschutzbeauftragte kann Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere soll er oder sie den Intendanten oder die Intendantin und den Verwaltungsrat in Fragen des Datenschutzes beraten. Der Intendant oder die Intendantin unterstützt den Datenschutzbeauftragten oder die Datenschutzbeauftragte bei der Erfüllung dessen oder deren Aufgaben. Dem oder der Datenschutzbeauftragten ist dabei 1. insbesondere Auskunft zu Fragen sowie Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und die Datenverarbeitungsprogramme, 2. jederzeit Zutritt zu allen Diensträumen zu gewähren. Gesetzliche Geheimhaltungsvorschriften können einem Auskunftsoder Einsichtsverlangen nicht entgegengehalten werden. (4) Für den Datenschutzbeauftragten oder die Datenschutzbeauftragte gilt hinsichtlich des Dateiregisters des NDR 24 HmbDSG entsprechend. (5) Stellt der oder die Datenschutzbeauftragte Verstöße gegen Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, beanstandet er oder sie diese gegenüber dem Intendanten oder der Intendantin und fordert zur Stellungnahme innerhalb einer von ihm oder ihr zu bestimmenden Frist auf. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des oder der Datenschutzbeauftragten getroffen worden sind. Wird der Verstoß oder sonstige Mangel nicht innerhalb der gesetzten Frist behoben, richtet der oder die Datenschutzbeauftragte eine weitere Beanstandung an den

112 (6) Der oder die Datenschutzbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme des NDR verzichten, insbesondere wenn es sich um Fälle von geringer Bedeutung handelt oder wenn die Behebung der Mängel sichergestellt ist. (7) Mit der Beanstandung kann der oder die Datenschutzbeauftragte Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden. (8) Jeder Bürger und jede Bürgerin kann sich an den Datenschutzbeauftragten oder die Datenschutzbeauftragte wenden, wenn er oder sie der Ansicht ist, bei der Verarbeitung seiner oder ihrer personenbezogenen Daten durch den NDR oder in dessen Auftrag tätig werdende Dritte in seinen oder ihren schutzwürdigen Interessen verletzt worden zu sein. (9) Der oder die Datenschutzbeauftragte erstattet dem Verwaltungsrat jährlich einen

113 42 NDR Staatsvertrag 42 Datenschutz im journalistisch-redaktionellen Bereich (1) Soweit der NDR personenbezogene Daten ausschließlich zu eigenen journalistischredaktionellen Zwecken verarbeitet, gelten nur die 7 und 8 HmbDSG. (2) Die Übermittlung personenbezogener Daten, die zu journalistisch- redaktionellen Zwecken verarbeitet werden, ist nur zulässig,wenn sie an andere öffentlich-rechtliche Rundfunkanstalten und deren Hilfsunternehmen im Rahmen journalistischredaktioneller Zusammenarbeit erfolgt. (3) Führt die journalistisch-redaktionelle Verwendung personenbezogener Daten zu Gegendarstellungen der Betroffenen oder zu Erklärungen, Verfügungen oder gerichtlichen Entscheidungen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, sind die Gegendarstellungen, Unterlassungserklärungen, gerichtlichen Entscheidungen sowie Widerrufe zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst sowie bei einer Übermittlung der Daten gemeinsam mit diesen zu

114 (4) Wird jemand durch eine Berichterstattung in seinen schutzwürdigen Interessen beeinträchtigt, kann der oder die Betroffene Auskunft über die der Berichterstattung zugrunde liegenden zu seiner oder ihrer Person gespeicherten Daten verlangen. Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 2. aus den Daten auf die Person des Einsenders oder des Gewährträgers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann, 3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe des NDR durch Ausforschung des Informationsbestandes beeinträchtigt würde. (5) Der oder die Betroffene kann die Berichtigung unrichtiger Daten oder die Hinzufügung einer eigenen Darstellung von angemessenem Umfang

115 19 Datenschutzgesetz der EKD 19 Aufgaben der Beauftragten für den Datenschutz (1) Beauftragte für den Datenschutz wachen über die Einhaltung der Vorschriften über den Datenschutz. (2) Werden personenbezogene Daten in Akten verarbeitet oder genutzt, prüfen sie die Erhebung, Verarbeitung oder Nutzung, insbesondere wenn betroffene Personen ihnen hinreichende Anhaltspunkte dafür darlegen, dass sie dabei in ihren Rechten verletzt worden sind, oder den Beauftragten für den Datenschutz hinreichende Anhaltspunkte für eine derartige Verletzung vorliegen. (3) Beauftragte für den Datenschutz können Empfehlungen zur Verbesserung des Datenschutzes geben und kirchliche Stellen in Fragen des Datenschutzes beraten. (4) Auf Anforderung der kirchenleitenden Organe haben die Beauftragten für den Datenschutz Gutachten zu erstatten und Stellungnahmen zu Rechtsetzungsvorhaben, die sich auf den Schutz von personenbezogenen Daten auswirken, abzugeben. (5) Die Beauftragten für den Datenschutz berichten mindestens alle zwei Jahre den kirchenleitenden Organen über ihre

116 (6) Die in 1 bezeichneten kirchlichen Stellen sind verpflichtet, die Beauftragten für den Datenschutz bei der Erfüllung ihrer Aufgaben zu unterstützen. Auf Verlangen ist ihnen Auskunft sowie Einsicht in alle Unterlagen und Akten über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu geben, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme; ihnen ist jederzeit Zutritt zu allen Diensträumen zu gewähren. (7) Kirchliche Gerichte unterliegen der Prüfung der Beauftragten für den Datenschutz nur, soweit sie in eigenen Angelegenheiten als Verwaltung tätig werden. (8) Der Prüfung durch die Beauftragten für den Datenschutz unterliegen nicht: 1. personenbezogene Daten, die dem Beicht- und Seelsorgegeheimnis unterliegen, 2. personenbezogene Daten, die dem Post- und Fernmeldegeheimnis unterliegen, 3. personenbezogene Daten, die dem Arztgeheimnis unterliegen, 4. personenbezogene Daten in Personalakten, wenn die betroffene Person der Prüfung der auf sie bezogenen Daten im Einzelfall zulässigerweise gegenüber den Beauftragten für den Datenschutz widerspricht. (9) Die Beauftragten für den Datenschutz teilen das Ergebnis der Prüfung der zuständigen kirchlichen Stelle mit. Damit können Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbunden sein bleibt unberührt. (10) Die Beauftragten für den Datenschutz arbeiten zusammen. 2 Sie haben die einheitliche Anwendung und Durchsetzung des kirchlichen Datenschutzrechtes sicherzustellen. 3 Sie sollen mit den staatlichen Beauftragten Erfahrungen

117 17 Datenschutzordnung der Katholischen Kirche (1) Der Diözesandatenschutzbeauftragte wacht über die Einhaltung der Vorschriften dieser Anordnung sowie anderer Vorschriften über den Datenschutz. Er kann Empfehlungen zur Verbesserung des Datenschutzes geben. Desweiteren kann er die bischöfliche Behörde und sonstige kirchliche Dienststellen in seinem Bereich in Fragen des Datenschutzes beraten. Auf Anforderung der bischöflichen Behörde hat der Diözesandatenschutzbeauftragte Gutachten zu erstellen und Berichte zu erstatten. (2) Die in 1 Abs. 2 genannten Stellen sind verpflichtet, den Diözesandatenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Ihm ist dabei insbesondere 1. Auskunft zu seinen Fragen sowie Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme; 2. während der Dienstzeit Zutritt zu allen Diensträumen, die der Verarbeitung und Aufbewahrung automatisierter Dateien dienen, zu gewähren. (3) Der Diözesandatenschutzbeauftragte erstattet dem Bischof alle 3 Jahre einen Tätigkeitsbericht. Der Tätigkeitsbericht soll auch eine Darstellung der wesentlichen Entwicklungen des Datenschutzes im nichtkirchlichen Bereich enthalten. (4) Der Diözesandatenschutzbeauftragte wirkt auf die Zusammenarbeit mit den kirchlichen Stellen, insbesondere mit den anderen Diözesandatenschutzbeauftragten, hin. (5) Zu seinem Aufgabenbereich gehört die Zusammenarbeit mit den staatlichen Beauftragten für den Datenschutz. 2015

118 @DID