Wichtige datenschutzrechtliche Begriffe

1. Auftragsdatenverarbeitung („Outsourcing“)
Auftragsdatenverarbeitung liegt vor, wenn Dritte (Externe) – im Interesse eines vereinfachten Datenflusses - den Auftrag erhalten, personenbezogene Daten nach den Weisungen des Auftraggebers zu erheben, zu verarbeiten oder zu nutzen, vgl. z.B. Art. 6 BayDSG, § 11 DSG NRW. Der Auftraggeber bleibt in diesen Fällen für den Datenumgang des Dritten jeweils vollumfänglich verantwortlich. 

Da der Gesetzgeber den ungehinderten Datenfluss zwischen Auftraggeber und Auftragnehmer als besonders gefährlich ansieht, ist eine Auftragsdatenverarbeitung nur unter den in den maßgeblichen landesrechtlichen Vorschriften enthaltenen Voraussetzungen zulässig. Auftragnehmer können z.B. Unternehmen sein, die Datenträger entsorgen oder externe Speicherkapazitäten zur Verfügung stellen. Die Fernwartung von IT-Systemen wird rechtlich wie eine Auftragsdatenverarbeitung behandelt, vgl. z.B. Art. 6 IV BayDSG, § 11 IV DSG NRW.

2. Beschäftigtendatenschutz
Der sog. Beschäftigtendatenschutz befasst sich mit der Frage der Verarbeitung personenbezogener Daten von Bediensteten, angefangen bei der Bewerbung bis hin zur Beendigung des Beschäftigungsverhältnisses. In diesem Zusammenhang sind die Vorgaben in den jeweiligen Landesdatenschutzgesetzen (vgl. z.B. § 29 I S. 1 DSG NRW), den Landesbeamtengesetzen (z.B. Art. 102 BayBG, § 84 IV LBG NRW), dem AGG sowie in Tarifverträgen und Dienstvereinbarungen zu beachten. So gestattet etwa Art. 102 BayBG dem Dienstherrn personenbezogene Daten über Bewerber, Bewerberinnen, Beamte und Beamtinnen sowie ehemalige Beamte und Beamtinnen zu erheben, „soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt“.

3. Datengeheimnis
Kommunalbedienstete, die mit der Verarbeitung personenbezogener Daten betraut sind, sind landesrechtlich zur Wahrung des sog. Datengeheimnisses verpflichtet (vgl. z.B. Art. 5 BayDSG, § 6 DSG NRW).

Entsprechend ist es den Kommunalbediensteten untersagt, personenbezogene Daten unbefugt (d.h. gesetzeswidrig) zu verarbeiten oder zu offenbaren. Diese Verpflichtung gilt auch nach Beendigung des Dienstverhältnisses fort.

Kommunalbedienstete sollten auf diese Rechtspflicht gesondert – wenn möglich – schriftlich hingewiesen werden. Der Hinweis sollte vom jeweiligen Kommunalbediensteten zu Dokumentationszwecken gegengezeichnet werden.

4. Datenschutzbeauftragter
Datenschutzbeauftragte wirken auf die Einhaltung der datenschutzrechtlichen Vorgaben hin und sind sowohl intern als auch extern Ansprechpartner in allen Belangen des Datenschutzes (vgl. z.B. Art. 25 IV BayDSG, § 32a DSG NRW).

Die behördlichen Datenschutzbeauftragten sind dem Leiter einer öffentlichen Stelle (Gemeinde o.ä.) unmittelbar unterstellt und in ihrer Funktion weisungsfrei.

Wann eine Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten besteht und welche Voraussetzungen ein behördlicher Datenschutzbeauftragter erfüllen muss, wird in folgendem Beitrag erläutert: Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten).

5. Formen des Umgangs mit personenbezogenen Daten
Folgende Formen des Umgangs mit personenbezogenen Daten kommen im Wesentlichen in Betracht (vgl. z.B. Art. 4 IV-VII BayDSG, § 3 II DSG NRW):

Erhebung

Verarbeitung (erfasst ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten)

Nutzung (sonstige Verwendungen)

Sämtliche Datenumgangsformen bedürfen der gesetzlichen Rechtfertigung (Zulässigkeit der Datenverarbeitung).

6. Personenbezogene Daten
Der Begriff der personenbezogenen Daten ist der wohl wichtigste und am häufigsten verwendete Begriff des gesamten Datenschutzrechts.

Personenbezogene Daten sind nach den landesrechtlichen Definitionen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (vgl. z.B. Art. 4 I BayDSG, § 3 I DSG NRW).

Bsp.:

Name
Titel
Geburtsdatum
Anschrift
Berufsbezeichnung

Die Verarbeitung besonders sensibler personenbezogener Daten stellen die Landesgesetze unter besondere Voraussetzungen (vgl. z.B. Art. 15 VII BayDSG, § 4 III DSG NRW).

Bsp.:

Herkunft
Körperliche Merkmale wie z.B. Größe und Gewicht
Politische Meinungen oder religiöse Überzeugungen
Gewerkschaftszugehörigkeit

7. Technische und organisatorische Maßnahmen 
Öffentliche Stellen (z.B. Gemeinden) sind landesrechtlich verpflichtet, die Einhaltung der datenschutzrechtlichen Vorgaben durch entsprechende technische und organisatorische Maßnahmen (TOMs) sicherzustellen (vgl. z.B. Art. 7 BayDSG, § 10 DSG NRW).

Welche Maßnahmen bei der automatisierten Verarbeitung personenbezogener (=EDV-gestütze Verarbeitung) Daten eingehalten werden müssen, ist landesrechtlich unterschiedlich geregelt. Teilweise orientieren sich die Landesdatenschutzgesetze an dem in der Anlage zu § 9 S. 1 BDSG näher beschriebenen Maßnahmenmodell, so z.B. Bayern (vgl. Art. 7 II BayDSG). Nach den Vorgaben der Anlage zu § 9 S. 1 BDSG sind TOMs insbesondere in folgenden Bereichen zu verwirklichen:

• Zutrittskontrolle

Erfasst Maßnahmen, die den körperlichen Zutritt zu Datenverarbeitungsanlagen betreffen (z.B. Schlüsselausgabe nur an befugtes Personal)

• Zugangskontrolle

Erfasst Maßnahmen, die den unkörperlichen Zugang in Datenverarbeitungssysteme betreffen (z.B. Passwortvergabe nur an befugtes Personal)

• Zugriffskontrolle

Erfasst Maßnahmen, die sicherstellen, dass Berechtigte nur im Umfang Ihrer Zugriffsberechtigung auf personenbezogene Daten zugreifen können (z.B. Vergabe differenzierter Berechtigungen)

• Weitergabekontrolle

Erfasst Maßnahmen, die bei der Weitergabe personenbezogener Daten ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von personenbezogenen Daten verhindern, ferner Maßnahmen, die eine Überprüfung und Feststellung ermöglichen, an welchen Empfänger Daten übermittelt wurden (z.B. Datenverschlüsselungsmaßnahmen)

• Eingabekontrolle

Erfasst Maßnahmen, die sicherstellen, dass auch nachträglich überprüft werden kann, ob und von wem personenbezogene Daten verarbeitet wurden (z.B. Protokollierung) 

• Auftragskontrolle

Erfasst Maßnahmen, die bei einer Datenverarbeitung im Auftrag (vgl. „Auftragsdatenverarbeitung“) eine weisungsgemäße Verarbeitung sicherstellen (z.B. stichprobenartige Kontrollen, Vertragsstrafenvereinbarung bei weisungswidrigem Verhalten)

• Verfügbarkeitskontrolle

Erfasst Maßnahmen, die personenbezogene Daten vor zufälliger Zerstörung oder Verlust schützen (z.B. Anfertigung von Sicherungskopien)

• Gebot der Datentrennung

Erfasst Maßnahmen, die eine dem jeweiligen Zweck entsprechende Datenverarbeitung sicherstellen; zu verschiedenen Zwecken erhobene personenbezogene Daten sind getrennt zu verarbeiten (z.B. physikalische Trennung auf verschiedenen Datenträgern)

Die vorstehenden Einzelmaßnahmen werden auch die sog. 8 Gebote der Datensicherheit genannt.

Andere Bundesländer, wie etwa Nordrhein-Westfalen, haben sich nicht einzelnen Maßnahmen, sondern bestimmten Datenschutzzielen verschrieben (vgl. z. B. § 10 II DSG NRW):

• Vertraulichkeit

Erfasst Maßnahmen die geeignet sind zu gewährleisten, dass nur Befugte personenbezogene Daten zur Kenntnis nehmen können

• Integrität

Erfasst Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben

• Verfügbarkeit

Erfasst Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können

• Authentizität

Erfasst Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können

• Revisionsfähigkeit

Erfasst Maßnahmen, die geeignet sind zu gewährleisten, dass festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat

• Transparenz

Erfasst Maßnahmen, die geeignet sind zu gewährleisten, dass die Verfahrensweise bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können

8. Verfahrensverzeichnis
Landesrechtlich sind öffentliche Stellen zur Führung sog. Verfahrensverzeichnisse verpflichtet (vgl. z.B. Art. 27 BayDSG, § 8 DSG NRW). In diesen Verzeichnissen werden alle Verfahren zur automatisierten Verarbeitung personenbezogener Daten erfasst. Welche Angaben die Verfahrensverzeichnisse im Einzelnen enthalten müssen, ist gesetzlich verbindlich festgelegt (vgl. z.B. Art. 27 II i.V.m. Art. 26 II BayDSG, § 8 I DSG NRW). Die Führung obliegt der jeweiligen verantwortlichen Stelle (Amt, Fachbereich).

Die Verfahrensverzeichnisse können grundsätzlich von jedermann eingesehen werden. Teilweise sind jedoch bestimmte Inhalte des Verfahrensverzeichnisses im Grundsatz der öffentlichen Einsichtnahme entzogen. Nach § 8 II S. 1, 2. HS DSG NRW sind dies z.B. Angaben zur Verfahrenstechnik. In anderen Bundesländern – so etwa in Bayern - kann die Einsichtnahme unter bestimmten Voraussetzungen unterbleiben, etwa wenn dadurch die Erfüllung der Aufgaben zur Gefahrenabwehr gefährdet würde (vgl. Art. 27 III S. 3 i.V.m. Art. 10 V Nr. 1 BayDSG).