BDSG a.F. Kommentare und Erläuterungen
§ 3 Weitere Begriffsbestimmungen
Absatz 4 Satz 2 Nr. 3 Text
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
- ...
- ...
- Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
- a) die Daten an den Dritten weitergegeben werden oder
- b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
- ...
Übermitteln
Die Legaldefinition des „Übermittelns“ enthält drei Komponenten:
- Die Tätigkeit besteht im Bekanntgeben in der Form des Weitergebens (Nr. 3a) oder der
- Einsicht bzw. des Abrufs (Nr. 3 b).
- Beteiligt sind als bekannt gebende Instanz die verantwortliche Stelle (definiert in Abs. 7) und als Adressat ein Dritter (definiert in Abs. 8 Satz 2).
- Objekt sind gespeicherte oder durch Datenverarbeitung gewonnene Daten.
Auf die Art des Verfahrens kommt es nicht an (Satz 2 erster Halbsatz), ebenso wenig wie auf den Zweck des Bekanntgebens. Es spielt auch keine Rolle, ob aus dessen Sicht eine Erhebung im Sinne des Abs. 3 vorliegt. Auch die Bekanntgabe im Zuge einer Anfrage ist Übermittlung. Die zum Zweck einer Anfrage bzw. eines Übermittlungsersuchens bekannt gegebenen Anfragedaten sind nur dann nicht übermittelt, wenn der Empfänger keinerlei Möglichkeiten der Kenntnisnahme hat.
Geht die Verfügung über Daten im Rahmen einer Gesamtrechtsnachfolge über, so liegt darin weder eine Übermittlung im Sinne des Gesetzes noch eine andere im BDSG oder in der EU-Datenschutzrichtlinie geregelte Form des Datenumganges. Betroffen sind beispielsweise
- die Erbschaft,
- die Verschmelzung nach dem Umwandlungsgesetz,
- die gesellschaftsrechtliche Aufspaltung,
- die gesellschaftsrechtliche Abspaltung und
- die gesellschaftsrechtliche Ausgliederung.
Bekanntgeben durch Weitergeben, Einsehen oder Abrufen
Der Begriff „Weitergeben“ trifft für jede Handlung zu, durch die die in den Daten enthaltene Information in den Bereich des Empfängers gelangt, gleichgültig, wie dies im Einzelnen geschieht, etwa durch
- mündliche, auch fernmündliche Mitteilung (auch an ein automatisches Aufzeichnungsgerät),
- drahtgebundene oder drahtlose Datenübertragung mit Aufzeichnung oder Kenntnisnahme durch den Empfänger,
- Übergabe oder Übersendung und Zugang des Datenträgers, Lesenlassen oder
- „sprachlos“, etwa durch Kopfnicken, „beredtes Schweigen“ oder einen „vielsagenden" Blick.
Der für das „Weitergeben“ begriffsnotwendige finale Aspekt fehlt, wenn
- lediglich Schlüsse aus dem Verhalten einer Person (nervöse Motorik, auffällige Sprechweise) gezogen werden können oder
- Datenträger ohne bewusste Mitwirkung des Besitzers – etwa durch versehentliches Liegenlassen – in die Verfügung eines Dritten übergehen.
Die Weitergabe ist erfolgt, sobald der Empfänger die Möglichkeit hat, die Information zur Kenntnis zu nehmen. Ob und wann er das tatsächlich tut, ist gleichgültig. Dies gilt z.B. bei der Eingabe in ein Datenverarbeitungssystem des Empfängers.
Eine Weitergabe von A an B wird auch bewirkt, wenn A in einem von B erhaltenen Datenbestand die Datensätze der Personen mit bestimmten Merkmalen löscht und die bereinigte Version zurückgibt. Dem Vorliegen einer Übermittlung steht nicht entgegen, dass der Empfänger nicht beabsichtigt, die Daten zur Kenntnis zu nehmen oder zu verwenden, ebenso wenig wie eine vertragliche Abrede dieses Inhalts.
Neben dem „Weitergeben“, bei dem der Weitergebende als übermittelnde Stelle aktiv wird, nennt das Gesetz als zweite Alternative des Bekanntgebens das Einsehen oder Abrufen (Nr. 3 b). Hier muss die übermittelnde Stelle zwar die Daten zunächst zu diesem Zweck bereithalten. Das Ein Bereithalten erfolgt z.B. durch die zur Verfügungstellung von Webinhalten im Internet, Dateifreigaben im Intranet oder auch durch Inhalte einer Datenbank, auf die Dritte zugreifen können. Die entscheidende Aktivität geht dann vom Empfänger aus. Die mit dem Bereithalten geschaffenen Risiken werden durch die Regelung zur Zulässigkeit automatisierter Abrufverfahren und deren Betrieb (§ 10) teilweise ausgeglichen.
Die Übermittlung erfolgt erst, wenn der Empfänger einsieht oder abruft. Vorher stattfindende Aktivitäten der übermittelnden Stelle, richten sich nicht nach den für die Zulässigkeit einer Übermittlung geltenden Vorschriften, sondern allein nach § 10.
Bereithalten ist ein zweckgerichtetes Handeln. Verschafft sich jemand unbefugt, also ohne Zugriffsrecht, Zugang zu den bereitgehaltenen Daten, liegt keine Einsicht oder Abruf vor. Die verantwortliche Stelle ist nach § 9 verpflichtet, die Daten gegen solche unbefugte Kenntnisnahme zu sichern.
„Einsehen“ ist nicht nur das direkte visuelle Lesen oder Betrachten des Datenträgers (Akteneinsicht) durch den Empfänger, sondern auch jede andere Form des Nehmens oder Holens der Information in den Verfügungsbereich des Empfängers, etwa durch Übernahme der Datenträger oder von Kopien, die Herstellung von Datenbankauszügen (Datenbank-Selects, Datenbank-Views) oder die Fertigung von Aufnahmen mit der Möglichkeit späterer Kenntnisnahme.
Der Empfänger „ruft ab“, wen er sich mit Hilfe eines automatisierten Verfahrens die Verfügung über die (dazu bereitgehaltenen) Daten verschafft. Typisch, aber nicht begriffsnotwendig ist die Darstellung der Daten am Monitor. Löst der Empfänger eine menschliche Entscheidung auf Seiten der übermittelnden Stelle darüber aus, ob und welche Daten zugänglich gemacht werden, so liegt kein Abruf, sondern eine Weitergabe vor.
Eine Bekanntgabe von Daten liegt auch dann vor, wenn der Empfänger die Information schon kennt.
Keine Bekanntgabe – und damit keine Übermittlung – erfolgt, wenn die verantwortliche Stelle personenbezogene Daten im Interesse eines Dritten nutzt, ohne diesem Informationen über den Empfänger zugänglich zu machen. Dies ist z.B. der Fall, wenn die Stelle mit Hilfe ihres Adressenmaterials Werbematerial des Dritten (Interessenten) direkt an die Betroffenen versendet (sog. Adressenmittlung). Es obliegt allein dem Betroffenen mit dem Interessenten in Verbindung treten und ihm Angaben zu ihrer Person zur Verfügung zu stellen.
Wird dem Berechtigten ein Datenträger zurückgegeben, der durch eine rechtswidrige Handlung (z.B. Entwendung) oder durch ein Versehen (z.B. Zustellung an falsche Adresse, Verwechslung des Datenträgers) in den Besitz eines anderen gekommen ist, spricht man nicht von einer Bekanntgabe.
An den Dritten
„Übermitteln“ setzt mindestens zwei Beteiligte voraus: die Daten müssen
- „durch die verantwortliche Stelle an den Dritten“ weitergegeben (Fall a) oder
- es müssen dafür bereitgehaltene Daten vom Dritten eingesehen oder abgerufen werden (Fall b).
Beide Begriffe werden in § 3 Abs. 7 und § 3 Abs. 8 BDSG definiert. Entsprechend dem Wortlaut wie auch dem Schutzzweck der Verarbeitungsvorschriften bedarf es keines namentlich bekannten Dritten. Eine Veröffentlichung oder Bekanntgabe an eine nicht genau feststehende Mehrzahl von Empfängern als Dritte erfüllt den Übermittlungsbegriff.
Eine (interne) Bekanntgabe an einen Adressaten, der nicht „Dritter“ (Abs. 8 Satz 2) ist, ist zwar keine Übermittlung im Sinne des Gesetzes, aber eine durch § 4 geregelte Nutzung als Gegenstand der Meldung nach § 4d, § 4e Nr. 6 und der Auskunft (§ 19 Abs. 1 Satz 1 Nr. 2, § 33 Abs. 1 Satz 3, § 34 Abs. 1 Satz 1 Nr. 2). Das Datengeheimnis (§ 5) schließt ein unbefugtes Bekanntgeben oder Zugänglichmachen generell, d.h. auch bezüglich anderer als „Dritter“, aus. Dem ist bei den technisch-organisatorischen Durchführungsmaßnahmen nach § 9 Rechnung zu tragen.
Gespeicherte oder gewonnene Daten
Eine Übermittlung liegt nur beim Bekanntgeben „gespeicherter oder durch Datenverarbeitung gewonnener Daten“ vor. Der Inhalt und Umfang der Übermittlung bestimmt sich jedoch logisch nach dem Kommunikationszusammenhang, nicht nach physikalisch „gesendeten“ Signalen. Eine Übermittlung gespeicherter Daten im Sinne des Gesetzes erfolgt auch beim Bekanntgeben von Daten, die nicht physisch gespeichert sind - die logische Speicherung ist ausreichend. Wie schon erwähnt, spielt es für das Bekanntgeben keine Rolle, ob
- ein Datenträger übergeben bzw. zum Lesen exponiert wird,
- die Daten übermittelt und vom Empfänger aufgezeichnet bzw. zur Kenntnis genommen werden oder
- die verantwortliche Stelle die Information aus den gespeicherten Daten liest und dem Empfänger mitteilt.
Entscheidend ist allein, dass ihm die in den gespeicherten Daten verkörperte Information zugänglich gemacht wird.
Bei der Übergabe eines Datenträgers werden alle Daten, die auf darauf gespeichert sind, übermittelt. Absprachen, nur einen definierten Teil zu nutzen, ändern daran nichts. Dies gilt z.B. für auf einem Datenträger befindliche Restdaten aus früheren Verarbeitungen, auch wenn diese vom Empfänger nicht ohne weiteres gelesen und interpretiert werden können. Nur wenn die Daten durch Verschlüsselung oder Zugriffssperren vor jeglicher Verwendung oder Kenntnisnahme mit der Wirkung einer praktischen Unmöglichkeit geschützt sind (§ 3 Abs. 6), werden keine personenbezogenen Daten übermittelt.
Im nicht-öffentlichen Bereich muss im Hinblick auf den nach § 1 Abs. 2 Nr. 3 erforderlichen Dateibezug zwischen den in einer Datei gespeicherten Daten und dem Gegenstand der Bekanntgabe ein gewisser Organisationszusammenhang bestehen. Dabei ist von einer datenschutzgerechten Organisation (Anlage zu § 9 Satz 1) auszugehen. Die Mitteilung einer Angabe über einen Mitarbeiter aus einer Akte durch eine für Personalauskünfte unzuständige Stelle ist deshalb als Übermittlung aus einer Datei anzusehen, wenn sie bei datenschutzgerechter Organisation aus dem Personalinformationssystem erfolgt wäre. Ebenso genügt es, wenn der Sachbearbeiter, der mit der Datei arbeitet, eine Anfrage „aus dem Kopf“ beantwortet.
Die ausdrückliche Erwähnung der „durch Datenverarbeitung unmittelbar gewonnenen Daten“ stellt klar, dass es nicht auf die Identität von gespeicherten und bekannt gegebenen Information ankommt: Übermittlung liegt auch dann vor, wenn aus den gespeicherten Daten zunächst eine andere Information hergestellt und diese dann Gegenstand der Bekanntgabe wird. Durch "Datenverarbeitung" gewonnen ist unabhängig vom angewendeten Verfahren (Abs. 4 Satz 2), umfasst also die automatisierte wie die manuelle Herstellung.
Der Abgleich von Dateien ist dann Übermittlung, wenn Dateien verschiedener Stellen beteiligt sind. Welche Daten nach dem Abgleich übermittelt werden, richtet sich nach logischer Betrachtungsweise. Wurden z.B. Treffer gelöscht, so wird durch die Rückgabe des Abgleichergebnisses mitgeteilt, auf wen die Treffer-Merkmale zutreffen.
→ § 3 BDSG a.F. Kommentar Absatz 4 Teil 1
→ § 3 BDSG a.F. Kommentar Absatz 4 Teil 2
→ § 3 BDSG a.F. Kommentar Absatz 4 Teil 3
→ § 3 BDSG a.F. Kommentar Absatz 4 Teil 4
→ § 3 BDSG a.F. Kommentar Absatz 4 Teil 5
→ § 3 BDSG a.F. Kommentar Absatz 4 Teil 6
→ § 3 BDSG a.F. Kommentar Absatz 4 Beispiele
Online-Kommentare
← § 3 BDSG a.F. Kommentar Absatz 3 § 3 BDSG a.F. Kommentar Absatz 5 →
← § 2 BDSG a.F. Kommentare § 3a BDSG a.F. Kommentare →
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.