BDSG a.F. Kommentare und Erläuterungen
§ 3a Datenvermeidung und Datensparsamkeit
§ 3a Text
§ 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
Allgemeines
Die Vorschrift formuliert in Satz 1 den zentralen Grundsatz der Datenvermeidung und Datensparsamkeit. In Satz 2 wird dieses Prinzip konkretisiert. Danach soll das Ziel der Datenvermeidung vorrangig mittels Anonymisierung oder Pseudonymisierung personenbezogener Daten erreicht werden. Diese Vorgabe steht unter dem Vorbehalt, dass sie nach dem Verwendungszweck möglich und gemessen an dem angestrebten Schutzzweck verhältnismäßig ist.
Das öffentliche und private Stellen gleichermaßen bindende Prinzip der Datenvermeidung und Datensparsamkeit wurde im Rahmen der Novellierung des BDSG im Jahr 2001 im allge-meinen Datenschutzrecht verankert.
Die im Jahr 2001 neu in das Gesetz aufgenommene Regelung geht über das gebrachte Prinzip der Erforderlichkeit des Datenumgangs hinaus. Ihr Ziel ist es, bereits im Vorfeld auf die Gestaltung der technischen und organisatorischen Strukturen Einfluss zu nehmen, die den Umfang der Verarbeitung mitbestimmen. Durch deren datenschutzorientierte Ausrichtung sollen das Volumen der Datensammlungen und der Umfang ihrer Verarbeitung minimiert werden. Der Datenschutz soll der Technik nicht länger hinterherhinken, sondern sie wesentlich mitgestalten. Die Regelung ist der Kern des so genannten Systemdatenschutzes (privacy by design, Privacy Enhancing Technologies). Neben den verantwortlichen Stellen als Nachfrager von IT-Systemen und den Aufsichtsbehörden als Hütern des Datenschutzes sind die industrielle und die wissenschaftliche Systementwicklung angesprochen, weil sie die Software bzw. deren wissenschaftliche Grundlagen entwickeln, die an Zielen des Datenschutzes auszurichten ist.
In der Verarbeitungs- und Aufsichtspraxis ist der Grundsatz der Datensparsamkeit und -vermeidung noch nicht wirklich angekommen. Es bedarf eines Zusammenwirkens von Beteiligten auf Seiten der IT (Entwicklern, Systemverantwortlichen), Anwendern und Daten-schutzinstanzen. Es fehlt jedoch ein entsprechender gesetzlicher Auftrag. Ein breiterer Einsatz des Datenschutzaudits nach § 9a könnte der Vorschrift größere praktische Bedeutung verschaffen.
Die Regelungen des § 3a sind rechtlich verbindlich. Es wäre verfehlt, sie in ein bloß politisches Programm ohne rechtliche Verbindlichkeit umzudeuten. Richtig ist, dass sie halbherzig ist. Einerseits erließ der Gesetzgeber eine verbindliche Regelung, weil er offenbar - zu Recht - skeptisch war, ob die Marktkräfte allein nicht ausreichen würden, um seine Ziele zu erreichen. Andererseits verweigerte er den Aufsichtsbehörden jegliche Durchsetzungsbefugnisse (s. dazu unten). Zudem nimmt das Gesetz lediglich die verantwortlichen Stellen und damit nur die Nachfrageseite in die Pflicht. Dies ist aber nur zielführend, wenn zugleich die Software-Produzenten angesprochen werden.
Normadressaten
Zur Beachtung des Grundsatzes der Datenvermeidung und Datensparsamkeit verpflichtet sind die verantwortlichen Stellen nach § 3 Abs. 7. Bei Telemediendiensten sind dies die Anbieter (§ 12 Abs. 3 TMG). Öffentliche Stellen und nicht-öffentliche Stellen (§ 1 Abs. 2) sind gleichermaßen angesprochen.
Die Hersteller und Vertreiber von Hardware und besonders von Software sind nicht Normadressat. Von ihnen hängt aber ab, ob die verantwortlichen Stellen überhaupt genügend geeignete Angebote vorfinden, um eine Auswahl, wie sie § 3a vorschreibt, treffen zu können.
Rechtspflicht
Bei der Vorschrift begründet eine Rechtspflicht der verantwortlichen Stelle. Sie darf nur entscheiden, auf welche Weise sie das vorgegebene Ziel erreichen will. Zwar kann die Befolgung der Norm nicht zwangsweise durchgesetzt werden, das bedeutet aber nicht, dass sie keine Rechtsverbindlichkeit hat.
Die Vorschrift trägt der Entwicklung der Technik Rechnung, indem sie technikneutrale Vorgaben macht, die flexibel und praxistauglich konkretisiert werden können. Hinsichtlich des „wie“ der Zielerreichung besteht ein Auswahlermessen und damit ein Umsetzungsspielraum.
→ § 3a BDSG a.F. Kommentar Teil 1
→ § 3a BDSG a.F. Kommentar Teil 2
→ § 3a BDSG a.F. Kommentar Beispiele
Online-Kommentare
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.