BDSG - EINFÜHRUNG - TEIL 6-2: Zulässigkeit der Datenverarbeitung - Gesetzliche Ermächtigung

2. Gesetzliche Ermächtigung

Das Erheben, Verarbeiten und Nutzen personenbezogenen Daten ist außer bei informierter Einwilligung des Betroffenen auch dann zulässig, wenn das BDSG selbst oder eine andere Rechtsvorschrift dies erlaubt oder anordnet (§ 4 Abs. 1 BDSG). Solche gesetzlichen Erlaubnistatbestände finden sich auf vier verschieden Ebenen:
  • Fach- und bereichsspezifische Rechtsnormen des Bundes
  • andere nachrangige Rechtsvorschriften
  • Zweckbestimmung eines Vertragsverhältnisses
  • Bundesdatenschutzgesetz

a. Fach- und bereichsspezifische Rechtsvorschriften des Bundes

Rechtsvorschriften das Bundes, die in fach- und bereichsspezifischer Weise auf „personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind„, rechtfertigen eine diesbezügliche Datenverarbeitung (§ 1 Abs. 3 Satz 1 BDSG). Liegt eine solche bereichsspezifische Bundesnorm vor, so geht diese dem BDSG im Anwendungsbereich vor (§ 1 III BDSG - Subsidiaritätsgrundsatz). Sie verdrängt das BDSG und gestattet die Verarbeitung aufgrund ihrer speziellen Tatbestanderfassung.

b. Andere Rechtsvorschriften i.S.d. § 4 I BDSG

Liegt keine das BDSG gem. § 1 III BDSG verdrängende Bundesnorm vor, so richtet sich die Zulässigkeit der Datenverarbeitung nach § 4 Abs. 1 BDSG. Diese Vorschrift verweist auf „andere Rechtsvorschriften„, die die Verarbeitung personenbezogenen Daten erlauben oder anordnen. Zu diesen Rechtsvorschriften gehören Bestimmungen des Landesrechts, kommunales Recht, normative Teile von Tarifverträgen, Betriebsvereinbarungen usw.
Auch autonome Satzungen, die Körperschaften und Verbände aufgrund gesetzlich eingeräumter Befugnisse, wie Gemeinde- und Handwerksordnungen oder die Hochschul­gesetze, erlassen haben, gehören zu den Erlaubnisvorschriften, die eine Verarbeitung personenbezogenen Daten rechtfertigen.
Zum Kreis der die Verarbeitung personenbezogener Daten rechtfertigenden Erlaubnisnormen i.S.d. § 4 Abs. I BDSG gehören auch Tarifverträge und Betriebs- und Dienstver­ein­barungen. Mit solchen Vereinbarungen kann die Zulässigkeit der Verarbeitung abweichend vom BDSG geregelt werden. Nach Auffassung des BAG ist das erforderlich, da die Verarbeitung von Personaldaten in einem Unternehmen sinnvoll nur nach einheitlichen Gesichtspunkten erfolgen könne. Dabei ist es zulässig, dass die kollektivrechtlichen Regelungen hinter dem Datenschutzstandart, den das BDSG gewährt, zurückbleiben, also zu Lasten des Betroffen gehen [BAG NJW 1987, 674].
Auch Normen die das Verbot der Verarbeitung, insb. die Übermittlung von Daten beinhalten gehen dem BDSG sowohl gem. § 1 III als auch gem. § 4 I BDSG vor. Solche Verbotsnormen sind z.B.:
  • § 39b EStG für den Arbeitgeber bez. dem Geheimhaltungsgebot über Angaben auf der Lohnsteuerkarte,
  • § 79 BetrVG für den Betriebsrat, etc.

c. Zulässigkeit nach dem Bundesdatenschutzgesetz

Wann eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach dem Bundesdatenschutzgesetz selbst erlaubt oder angeordnet ist richtet sich nach den für die verantwortliche Stelle geltenden Normen des zweiten und dritten Abschnitts des BDSG. Dabei unterscheidet das BDSG in den öffentlichen Bereich (§§ 12 bis 18) und den nicht-öffentlichen Bereich (§§ 27 bis 32).
Für den öffentlichen Bereich sind maßgebend: § 13 für die Datenerhebung, § 14 für die Speicherung, Veränderung und Nutzung, §§ 15, 16 für die Übermittlung und § 20 Abs. 2 bis 4 für die Löschung und Sperrung.
Für den nicht-öffentlichen (privaten) Bereich sind maßgebend:
zunächst § 28 für die Daten­erhebung, -verarbeitung und -nutzung für eigene Zwecke, § 29 für die geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Datenübermittlung, § 30 für die geschäftsmäßige Erhebung und Speicherung zum Zwecke der Übermittlung in anonymisierter Form und § 35 für die Löschung und Sperrung.
Wichtigster Bereich dürfte die Zweckbestimmung des Vertragsverhältnisses sein.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist auch nach der Zweckbestimmung eines Vertragsverhältnissen zwischen dem Verarbeiter und dem Betroffenen zulässig (§ 28 Abs. 1 BDSG).Diese Regelung bestimmt die Verarbeitung von Kunden- und Arbeitnehmer­daten. Soweit die Verarbeitung zur Durchführung oder Abwicklung des Vertrages erforderlich ist, bestehen keine datenschutzrechtlichen Bedenken. Ebenso ist der Grundsatz der Zweckbindung zu beachten (§ 28 BDSG): Daten dürfen nur im Rahmen des konkret festgelegten Zwecks verarbeitet werden. Entfällt der Zweck, wird die Verarbeitung unzulässig. Daraus folgt beispielsweise:
  • Kundendaten dürfen nicht auf Vorrat gesammelt werden.
  • Gibt der Kunde seine Daten für ein Preisausschreiben ab, so dürfen die Daten nicht für eine Werbeaktion verwendet werden.
  • Nach Beendigung des Kundenauftrages sind die Daten zu löschen.
Die Zweckbestimmung des Arbeitsverhältnisses wird durch vielfältige Regelung des Arbeitnehmerschutzes gestaltet. Aus den sich daraus ergebenden Rechten und Pflichten der Parteien rechtfertigen sich Informationsbefugnisse des Arbeitgebers. Will der Arbeitgeber seinen arbeitsrechtlichen Schutzpflichten nachkommen, so muss er wisse, welche seiner Mitarbeiter in welchem Umfang schutzbedürftig sind. Will er eine sachgerechte und fundierte Personalentscheidung treffen und hierbei von der Eignung, Befähigung und fachlichen Leistung ausgehen, so muss er auf entsprechende Informationen zurückgreifen können. Bei einer betriebsbedingten Kündigung muss der Arbeitgeber gem. § 1 IV KSchG soziale Gesichtspunkte, was ihm nur bei entsprechender Kenntnis der Sozialdaten möglich ist, zugrunde legen.
Für besondere Arten von personenbezogenen Daten (§ 3 Abs. 9 BDSG - rassische und ethnische Herkunft, politische Meinungen, religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben) gelten gesonderte Anforderungen für eine gerechtfertigte Verarbeitung (§ 28 Abs. 6 bis 9 BDSG). Für die Verarbeitung dieser sensitiven Daten ist die ausdrücklichen Einwilligung des Betroffenen erforderlich, sofern er die Daten nicht bereits selbst öffentlich bekannt gemacht (z.B. der Berliner Regierende Bürgermeister Wowereit: „Ich bin schwul - und das ist gut so“) oder aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu erteilen (§ 28 Abs. 6 BDSG). Weitere Besonderheiten ergeben sich für die wissenschaftliche Forschung (Abs. 6 Nr. 4), für den Bereich der Gesundheitsvorsorge oder Behandlung (Abs. 7) und für Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind (Abs. 9).

 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie Datenschutzrecht Einführung

Kontakt: brennecke@brennecke-rechtsanwaelte.de
Stand: Juli 2001


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosArbeitsrechtBetriebsratGewerkschaft
RechtsinfosSteuerrechtEinkommensteuer
RechtsinfosDatenschutzrechtEinführung ins BDSG 2001
RechtsinfosIT-RechtIT-SecurityDatenschutzrechtBundesdatenschutzgesetz