Rechtliche Grundlagen
Wer muss einen Datenschutzbeauftragten stellen?

Was sind personenbezogene Daten?
Was hat es mit den Schutzstufen auf sich?
Was ist ein Verfahrensverzeichnis?
Welche Informationen dürfen gespeichert werden?

Rechtliche Grundlagen

Im Bundesdatenschutzgesetz (BDSG) wird in §§ 4f und 4g festgelegt wer einen Datenschutzbeauftragten (DSB) stellen muss, welche Voraussetzungen der DSB erfüllen muss und worin seine Aufgaben liegen..
Nach §4f (1) sind Unternehmen mit mehr als 9 Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind verpflichtet einen DSB zu stellen.

§4f legt weiterhin fest, daß der DSB über eine ausreichende Fachkunde und Zuverlässigkeit verfügen muss und daß der DSB zur Verschwiegenheit verpflichtet ist. Dies geht soweit, daß auch der DSB ein Zeugnisverweigerungsrecht hat, wenn die entsprechende Stelle, bei der er Kenntnis von Daten erhält, dies ebenfalls hat.

§4g bestimmt, daß der DSB auf die Einhaltung des Bundesdatenschutzgesetzes sowie anderer für den Datenschutz relevanten Gesetze hinwirken soll. Hierzu gehört auch. daß er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, überwachen soll. Er ist auch für die Schulung der Mitarbeiter und das Führen der Verfahrensverzeichnisse verantwortlich

Wer muß einen DSB bestellen?

Sobald mehr als 9 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten oder mehr als 20 Personen mit der Verarbeitung in Papierform beschäftigt sind, muss ein Datenschutzbeauftragter gestellt werden.

Was sind personenbezogene Daten?

§3 (1) definiert personenbezogene Daten als "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Dies bedeutet aber im Umkehrschluss, daß Daten über Firmen und Behörden nicht als personenbezogen im Sinne des BDSG gelten. Zu den personenbezogenen Daten zählen alle Informationen, die die Person selbst beschreiben (z.B. Name, Geschlecht, Alter, Religionszugehörigkeit, Familienstand, Ausbildung); es muss sich also nicht um sensible Daten handeln.

Was hat es mit den Schutzstufen auf sich?

Im Datenschutz haben sich 5 Stufen für Daten durchgesetzt.

  • Stufe A: Frei zugängliche Daten , das sind z.B. Daten aus Telefonbüchern, Adressverzeichnissen
  • Stufe B: Belästigung . Daten, die bei Missbrauch keine besondere Gefährdung für den Betroffenen darstellen. Beispiel: Name, Anschrift, Telefonnummer, Bankverbindung usw.
  • Stufe C: Gesellschaftliche Stellung . Daten, die bei Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung beinträchtigen. Beispiel: Geburtsdaten, Religion, Staatsangehörigkeit, Einkommen, Vereinszugehörigkeiten, leichte Ordnungswidrigkeiten
  • Stufe D: Wirtschaftliche Verhältnisse : Daten, deren Mißbrauch erheblichen (=Existenz gefährdenden) Einfluss auf die gesellschaftliche Stellung oder wirtschaftlichen Einfluss haben. Beispiel: Angaben über gesundheitliche Verhältnisse, psychologisch - medizinische Untersuchungsergebnisse, Unterbringung in Anstalten, Vermögen, Schulden, schwere Ordnungswidrigkeiten, Straffälligkeit, dienstliche Beurteilungen, Pfändungen, Konkurse
  • Stufe E: Leben, Gesundheit oder Freiheit: Der Missbrauch dieser Daten kann zur Bedrohung von Leben, Gesundheit oder Freiheit führen. Beispiel: Zugehörigkeit zu Geheimdiensten, sensible medizinische Daten, Informationen über Personen, die mögliche Opfer einer strafbaren Handlung sein können, Informationen über Art und Umfang des Personenschutzes

Was ist ein Verfahrensverzeichnis?

Im BDSG wird nicht definiert, was ein Verfahren ist. Nimmt man den Art. 18 Abs. 1 der EU - Richtlinie 95/46 EG des Europäischen Parlaments und des Rates vom 24.10.1995 zu Hilfe, so könnte man verschiedene Programme zur Personalverwaltung, Betreuungssysteme, Abrechnungssysteme, Auftragsverwaltungssysteme uvm. als Verfahren definieren.

Das BDSG unterscheidet hier zwischen dem Verfahrensverzeichnis für jedermann und dem internen Verfahrensverzeichnis. Wie der Name schon sagt, ist das Verfahrensverzeichnis für jedermann (oder öffentliche Verfahrensverzeichnis) auf Antrag für jedermann einsehbar. In diesem Verzeichnis stehen Angaben zu der verantwortlichen Stelle, dem Inhaber, Vorständen, Geschäftsführer und der Leitung der Datenverarbeitung sowie eine Beschreibung der Zweckbestimmung der Datenerhebung, der betroffenen Personengruppe und der erhobenen Daten. Zusätzlich sollten noch Informationen über Regelfristen zur Löschung der Daten und über die Datenübermittlung an Drittstaaten enthalten sein.

Das interne erfahrensverzeichnis beinhaltet die gleichen Daten, zusätzlich jedoch noch eine allgemeine Beschreibung, aufgrund derer beurteilt werden kann, ob die Maßnahmen nach §9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. Hierzu gehören die Zutrittskontrolle, die Zugangskontrolle, die Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie der Gewährleistung, daß zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Welche Informationen dürfen gespeichert werden?

Ein wesentlicher Grundsatz des BDSG ist das so genannte Verbotsprinzip mit Erlaubnisvorbehalt. Generell sind also die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten verboten, es sei denn, der Betroffene hat seine Zustimmung hierzu erteilt oder es gibt eine klare Rechtsgrundlage (d.h. ein Gesetz erlaubt die Datenverarbeitung in diesem Fall).