BDSG - EINFÜHRUNG - TEIL 4-1: Terminologie des BDSG - personenbezogene, anonymisierte und pseudonymisierte Daten

IV.   Terminologie des BDSG
 
§ 3 BDSG. Weitere Begriffsbestimmungen
 
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.
(3) Erheben ist das Beschaffen von Daten über den Betroffenen.
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
    a) die Daten an den Dritten weitergegeben werden oder
    b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(5) Nutzen ist jede Verwendung personen-bezogener Daten, soweit es sich nicht um Verarbeitung handelt.
(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger,
1. die an den Betroffenen ausgegeben werden,
2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.
 
 
Die wichtigsten Begriffen und Anwendungsvoraussetzungen sind in § 3 BDSG definiert. Dabei geht es im einzelnen um:
           
                · personenbezogene Daten,
                · anonymisierte/pseudonymisierte Daten,
                · besondere Arten personenbezogener Daten,
· automatisierte und nicht-automatisierte Datei,
· Datenerhebung/Datenverarbeitung/Datennutzung,
                · verantwortliche Stelle/Dritter.
 
 
1. Personenbezogene und anonymisierte/pseudonymisierte Daten, § 3 I, VI, VI a BDSG
 
Gemäß der Legaldefinition des § 3 I werden ,,Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person,, durch das BDSG geschützt.
 
Die Begriffsbestimmung des Absatzes 1 enthält die bedeutsame Regelung, dass lediglich natürliche Personen dem Schutz des Gesetzes unterliegen. Geschützt sind daher nur Informationen über den einzelnen Menschen. Obgleich die Grundrechte gem. Art. 19 III GG auch für inländische Juristische gelten, soweit sie ihrem Wesen nach auf sie anwendbar sind, unterliegen juristische Personen (z.B. Kapitalgesellschaften, eingetragene Vereine) und sonstige Personengemeinschaften (z.B. nicht rechtsfähige Vereine, Gesellschaften des BGB, offene Handelsgesellschaften, Kommanditgesellschaften, Wohngemeinschaften) nicht dem Datenschutz im Sinne des BDSG. Nach Auffassung des BGH kann die unberechtigte Weitergabe von Unternehmensdaten jedoch das ,,allgemeine Persönlichkeitsrecht eines Unternehmens,, verletzen [BGH NJW 1994, 1281]. Datenschutzrechtliche Ansprüche können dann auf § 823 Abs. 1 BGB gestützt werden. Etwas anderes gilt allerdings, wenn sich die Angaben über die Personengemeinschaft auf eine oder mehrere hinter der juristischen Person stehende natürliche Personen beziehen, d.h. auf sie ,,durchschlagen,,. In diesem Fall kann die natürliche Person die sich aus dem BDSG ergebenden Rechte geltend machen.
 
Der Begriff der Einzelangabe umfasst alle Informationen, die über den Betroffenen etwas aussagen, unabhängig von ihrer Repräsentation (z.B. auch Bild- und Tondaten) oder Schutzwürdigkeit. Auch Werturteile genießen den Schutz des BDSG. Gleiches gilt für Prognose- und Planungsdaten, soweit sie nicht nur die künftigen, sondern auch die gegenwärtigen Verhältnissen des Betroffenen zum Gegenstand haben, was meistens der Fall sein wird.
 
§ 3 Abs. 9 definiert besondere Arten personenbezogener Daten. Dabei handelt es sich um Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. An die Verarbeitung derartiger Daten knüpft das BDSG besondere Anforderungen, da der Betroffenen hierbei ein schutzwürdiges Interesse hat (§§ 4a Abs. 3, 28 Abs. 6).
 
Personenbezogen sind nur solche Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Bestimmt sind die Daten, wenn sie mit dem Namen des Betroffenen verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Für den EDV-Bereich bedeutet dies, dass sich der Schlüssel entweder unmittelbar im Datensatz befindet oder die Person mittels trivialer Verknüpfung identifizierbar ist. Bestimmbar sind die Daten, bei denen sich der Personenbezug mit den zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßig großen Aufwand (dann wäre der Tatbestand des Absatzes 6 erfüllt) herstellen lässt (z.B. Aktenzeichen, Geschäftsnummer, Personenkennzeichen).
 
Der Personenbezug und damit der Schutz des BDSG entfällt, wenn es sich um aggregierte, anonymisierte (§ 3 Abs. 6 BDSG) oder pseudonymisierte (§ 3 Abs. 6a BDSG) Daten handelt.
 
Aggregierte Daten sind Sammelangaben über Personengruppen, die nicht einer Person zugeordnet werden könne.
 
Der Begriff des Anonymisierens wird in § 3 Abs. 6 definiert. Danach unterfallen solche Daten mangels Personenbezug nicht den Regeln des BDSG, die sich nicht mehr oder nur noch mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft auf eine bestimmte Person beziehen bzw. eine solche erkennen lassen.
 
Gleiches gilt für pseudonymisierte Daten. Hierbei handelt es sich gem. § 3 Abs. 6a BDSG um solche Daten, bei denen der Namen oder andere Identifikationsmerkmale durch ein Kennzeichen ersetze sind, um die Bestimmung des Betroffenen auszuschließen oder mindestens wesentlich zu erschweren.

 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie Datenschutzrecht Einführung

Kontakt: brennecke@brennecke-rechtsanwaelte.de
Stand: Juli 2001


Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.


Über die Autoren:

Harald Brennecke, Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Portrait Harald-Brennecke

Rechtsanwalt Harald Brennecke ist im Datenschutzstrafrecht als Strafverteidiger tätig.

Rechtsanwalt Brennecke hat zum Datenschutzrecht veröffentlicht:

  • „17 UWG – Betriebsgeheimnisse und Verrat durch (ehemalige) Mitarbeiter“, 2015, Verlag Mittelstand und Recht, ISBN 978-3-939384-38-0
  • "Einführung in das Datenschutzrecht", Kapitel im E-Business Handbuch für Entscheider, 2. Aufl., ISBN 3.540-43263-9, 2002, Springer-Verlag

Folgende Veröffentlichung von Rechtsanwalt Brennecke ist in Vorbereitung:

  • Einführung in das Datenschutzstrafrecht

Rechtsanwalt Brennecke war an der IHK Karlsruhe als Dozent für Datenschutzrecht tätig. Er ist Dozent für Datenschutzrecht an der DMA Deutsche Mittelstandsakademie.

Er bietet Schulungen, Vorträge und Seminare zu den Themen:

  • Schutz von Kundenadressen und Geschäftsgeheimnissen – 17 UWG in Theorie und Praxis
  • Datenschutzstrafrecht
  • Datenschutz in Franchisesystemen – Die unterschätzte Gefahr für Franchisesysteme

Kontaktieren Sie Rechtsanwalt Harald Brennecke unter:
Mail: brennecke@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28

 

Normen: § 3 BDSG

Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosDatenschutzrechtEinführung ins BDSG 2001
RechtsinfosIT-RechtIT-SecurityDatenschutzrechtBundesdatenschutzgesetz