Der Umgang mit personenbezogenen Daten ist in § 3 BDSG näher bestimmt. Danach erfolgt der Umgang mit Daten entweder durch eine:

• Datenerhebung
• Datenverarbeitung (Speichern, Sperren, Verändern, Übermitteln, Löschen)
• Datennutzung

Die Datenerhebung ist Voraussetzung für die Datenverarbeitung oder Nutzung. Es handelt sich hierbei um das Beschaffen von Daten über den Betroffenen. (bspw. durch schriftliche oder mündliche Befragung, Datenabruf, Anforderung von Videomaterial etc.)

Datenverarbeitung ist laut BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

Die Datennutzung gilt als Auffangstatbestand, d.h. fällt der Umgang mit Daten unter keinen der oben genannten Tatbestände liegt im Zweifel eine Nutzung der Daten vor. Damit wird jede Verwendung der personenbezogenen Daten erfasst, soweit es sich nicht um die Verarbeitung selbst handelt.

Die Vorabkontrolle wird von dem Datenschutzbeauftragten durchgeführt. Ein solches Kontrollverfahren ist immer dann erforderlich, wenn durch die Datenerhebung besondere Risiken für den Betroffenen bestehen. Beispielsweise bei:

• personenbezogenen Daten. Hierbei handelt es sich um besonders sensible Daten des Betroffenen, wie der Sexualität, der religiösen Überzeugung oder der ethnischen Herkunft,
• bei Daten die dazu geeignet sind den Betroffenen hinsichtlich seiner Leistung, Fähigkeit oder seines Verhaltens zu bewerten

Diese im Gesetz normierten Beispiele (§ 4d Abs.5 S.2 BDSG) sind jedoch nicht abschließend gedacht. Vielmehr muss der Datenschutzbeauftragte für den Einzelfall prüfen, ob besondere Risiken für die Rechte oder Freiheiten der Betroffenen vorliegen.

Ein Vorabkontrollverfahren entfällt hingegen, wenn:

1. eine gesetzliche Verpflichtung zur Erhebung, Verarbeitung oder Nutzung besteht,
2. eine Einwilligung des Betroffenen vorliegt,
3. die Erhebung, Verarbeitung oder Nutzung von Daten für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist.

Das Bundesverfassungsgericht hat in seinem"Volkszählungsurteil" folgende wesentliche Grundprinzipien festgehalten:

• Datenverarbeitungsverbot mit Erlaubnisvorbehalt, § 4 Abs. 1 BDSG

Nach diesem Grundsatz ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit eine Rechtsvorschrift dies ausdrücklich erlaubt oder anordnet oder der Betroffene eingewilligt hat.

• Direkterhebung, § 4 Abs. 2 BDSG

Dieser Grundsatz besagt, dass die Datenerhebung grundsätzlich beim Betroffenen erfolgen muss.

• Transparenz, § 4 Abs. 3 BDSG

Das Transparentgebot besagt, dass die Betroffenen ausreichend Kenntnis von der Datenverarbeitungsstelle und den eventuell eingeschalteten Dritten, an welche Daten übermittelt werden, haben müssen. Zudem muss eine ausreichende Nachprüfung und Kontrolle gewährleistet sein.

• Zweckbindung

Danach dürfen Daten nur insoweit verarbeitet werden, wie sie für den jeweiligen Zweck unbedingt erforderlich sind.

• Erforderlichkeit

Das Erforderlichkeitsprinzip besagt, dass eine Datenverarbeitung sich auf den geringst möglichen Eingriff beschränken muss.

• Datenvermeidung und -sparsamkeit, § 3a BDSG

Danach ist bei der Gestaltung von Datenverarbeitungssystemen zu beachten, dass so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden sollen.

Der durch eine Datenverarbeitung Betroffene hat folgende Rechte:

1. Berichtigung, Löschung und Sperrung von Daten, § 35 BDSG
2. Auskunftsanspruch, § 34 BDSG
3. Schadenersatzansprüche, §§ 7, 8 BDSG
4. Anrufung des Datenschutzbeauftragten, § 21 BDSG

diese können gem. § 6 Abs.1 BDSG nicht ausgeschlossen werden.

Mehr zum Datenschutzrecht finden Sie hier ...

Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, § 11 Abs. 1 BDSG. Aufträge zur Datenverarbeitung müssen zwingend folgende Voraussetzungen beachten:

Der Auftrag ist gem § 11 Abs. 2 S. 2 BDSG

1. schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
2. der Gegenstand und die Dauer des Auftrags,
3. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
4. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
5. die Berichtigung, Löschung und Sperrung von Daten,die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Bei Missachtung dieser zwingenden Vorschriften kann ein Bußgeld bis zu 50.000 EUR verhängt werden. Ist der durch die Auftragsdatenverarbeitung wirtschaftliche Vorteil größer als dieser Betrag, kann auch ein erhöhtes Bußgeld verhängt werden.