BDSG a.F. Kommentare und Erläuterungen
§ 4e Text
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:
- Name oder Firma der verantwortlichen Stelle,
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
- Anschrift der verantwortlichen Stelle,
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
- eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
- Regelfristen für die Löschung der Daten,
- eine geplante Datenübermittlung in Drittstaaten,
- eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend.
Allgemeines
Mit § 4e wurde der Art. 19 der EU-Datenschutzrichtlinie umgesetzt. Verbunden mit der Meldepflicht gem. § 4d sowie der Pflicht zur Führung der Verfahrensübersicht nach § 4g Abs. 2 erfüllt der Gesetzgeber die Forderung des Bundesverfassungsgerichtes im sogenannten Volkszählungsurteil, „organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken“.
Die Vorschrift legt die inhaltlichen Angaben der Meldepflicht fest und entspricht in Teilen den Anforderungen zur Erhebung nach § 4 Abs. 3 (Identität der verantwortlichen Stelle, Zweckbestimmungen, Kategorien von Empfängern) sowie den Angaben zur erstmaligen Speicherung und Übermittlung gem. § 33 Abs. 1. Die Informationen sind von der verantwortlichen Stelle dem Datenschutzbeauftragten als Übersicht zur Verfügung zu stellen. Diese Verfahrensübersicht erfüllt ebenso die Mindestanforderungen der Meldepflicht gegenüber den Aufsichtsbehörden, die die Angaben - mit Ausnahme der Maßnahmen zur Sicherheit der Verarbeitung und den Informationen zu zugriffsberechtigten Personen (§ 38 Abs. 2 Satz 3) - in das öffentliche Register aufnehmen. Die vor der Inbetriebnahme der automatisierten Verarbeitung zu erfolgende Meldung (z.B. im Rahmen der Vorabkontrolle) schafft somit die notwendige Dokumentation für eine Prüfung der Rechtmäßigkeit geschäftsmäßiger Verarbeitung personenbezogener Daten.
Meldepflichtige Angaben (Satz 1)
- Nr. 1 sieht Name oder Firma der verantwortlichen Stelle vor; deren Definition ergibt sich aus § 3 Abs. 7 als „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“ Darunter fallen keine (unselbstständigen) Zweigniederlassungen; werden jedoch in den Zweigstellen Verarbeitungen vorgenommen, sind diese zu benennen. Gefordert wird die Angabe zur eindeutigen Identifikation der Stelle, also die Angabe des Vor- und Zunamens bei natürlichen Personen bzw. des Handelsnamens nach § 17 HGB bei Firmen (u.U. auch die Handelsregisternummer).
- Nr. 2 fordert Angaben zur Feststellung der für die Meldung persönlich verantwortlichen und im Falle eines Bußgeldverfahrens haftenden Personen (§ 43 Abs. 1 Satz 1 Nr. 1). Die mit der Leitung der verantwortlichen Stelle (Nr. 1) betrauten natürlichen Personen sind hier ebenfalls mit Vor- und Zunamen zu nennen; des weiteren ist die mit der Leitung der Datenverarbeitung beauftragte natürliche Person mitzuteilen, die regelmäßig als Leiter der Abteilung Datenverarbeitung (auch IT-Abteilung, EDV-Leiter) eingestuft wird. Aufgrund seiner Gesamtverantwortlichkeit für die Datenverarbeitung ist hier der Leiter der verantwortlichen Stelle anzugeben, wenn diese Position nicht durch einen besonderen Funktionsträger besetzt ist. Als zweckmäßig, aber nicht zwingend, wird die zusätzliche Nennung des Datenschutzbeauftragten oder das für den Datenschutz verantwortliche Mitglied der Geschäftsleitung angesehen.
Verantwortliche Stellen in Drittländern, auf die das BDSG anwendbar ist, haben den im Inland ansässigen Vertreter zu benennen (§ 1 Abs. 5 Satz 3). - Nach Nr. 3 ist die Mitteilung der tatsächlichen Adresse erforderlich, welche sowohl für Aufsichtsbehörde als auch für Betroffene eine konkrete örtliche Anschrift ist, an die sich bei Anfragen (z.B. Kontrollen, Auskunftsersuchen) gewandt wird. Die Angabe einer Postfachanschrift genügt hier nicht.
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung gem. Nr. 4 beinhalten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen (§ 28 Abs. 1 Satz 2). Die regelmäßig wesentlichen Auswirkungen des Verarbeitungszwecks und die daran angepasste Verwendung der Daten durch das automatisierte Verfahren bedingt eine konkrete Nennung des Zwecks. Bei der Angabe kann also nicht auf eine allgemeine Form, einen Geschäftszweck oder Unternehmensgegenstand (laut Satzung, Gesellschaftsvertrag u.ä.) abgestellt werden. Vielmehr ist nach den § 28 bis § 30 die Zweckbestimmung der eigentlichen Datenverarbeitung zu benennen (vgl. auch § 4 Abs. 3 Satz 1).
- Die Angabe der Personengruppen und der diesbezüglichen Daten oder Datenkategorien gem. Nr. 5 müssen in Bezug auf die Rechtmäßigkeit des Verfahrens aussagekräftig sein. Die Kategorisierung der Personengruppen in der allgemeinen Form „Vertragspartner“ oder „Kunden“ genügt regelmäßig nicht, denn je nach Zweckbestimmung der Datenverarbeitung richtet sich auch die Bestimmung der betroffenen Personengruppen. Werden beispielsweise in einem automatisierten Verfahren zur Bonitätsbewertung als Personengruppe „Kunden“ angegeben, fielen unter diese Gruppe z.B. auch Sparbuchinhaber - betroffene Kunden sind jedoch Darlehensnehmer. Hingegen genügt die Nennung von „Mitarbeitern“ und „Lieferanten“ für das Verfahren der Videoüberwachung im Anlieferungsbereich. In diesem Fall müssen nicht einzelne Lieferanten(gruppen) genannt werden; eine Unterscheidung von Mitarbeitern durch Personengruppen wie „Lagermitarbeiter“ und „Verwaltungsmitarbeiter“ kann erfolgen, sollte aber auf ihre Zweckmäßigkeit geprüft werden.
Es ist also die vom Verfahren tatsächlich betroffene Personengruppe anzugeben, welche aus der Zweckbestimmung ersichtlich wird. Betrifft die Verarbeitung mehrere Personengruppen, ist die Angabe aller erforderlich.
Daten oder Datenkategorien umfasst die Beschreibung der verwendeten personenbezogenen Daten - die Art der Daten. Insbesondere ist hier auf die hinreichende Nennung besonderer personenbezogener Daten (§ 3 Abs. 9) zu achten, da deren Verarbeitung regelmäßig einer Einwilligung bedarf und diese sich auf die meldepflichtigen Angaben beziehen muss.
Bei mehreren Personengruppen ist der Bezug zu den verwendeten Daten oder Datenkategorien zu kennzeichnen. - Nr. 6 erfordert die Nennung von Empfängern oder Kategorien von Empfängern, denen die Daten mitgeteilt werden. Nach § 3 Abs. 8 ist Empfänger jede Person oder Stelle, die personenbezogene Daten erhält. Dem weit gefassten Begriff entsprechen andere verantwortliche Stellen, Zweigniederlassungen, Auftragnehmer nach § 11, Dritte oder auch Stellen, die online auf die Daten zugreifen. Bei einem der verantwortlichen Stelle selbst zugehörigen Empfänger, empfiehlt sich zusätzlich die Bezeichnung seiner Funktion (z.B. Buchhaltung). Die Unterscheidung zwischen konkreten und Kategorien von Empfängern ergibt sich aus deren Anzahl - ist die Menge konkreter Empfänger gering, so sind auch die einzelnen Angaben in Betracht zu ziehen. Ebenso ist die zeitliche (täglich, wöchentlich, zu wiederholten Terminen) bzw. anlassbezogene (Versicherungsfall, Kundenum- und anfragen) Regelmäßigkeit der Übermittlungen hierbei zu berücksichtigen. Einmalig geplante oder zukünftige Übermittlung, die z.B. vor der Inbetriebnahme in das Verfahrensverzeichnis aufgenommen werden, sind anzugeben.
- Die in Nr. 7 verlangten Regelfristen für die Löschung der Daten finden keine Erwähnung in der EU-Richtlinie - sie wurden wortgetreu aus § 18 Abs. 2 Nr. 6 des BDSG 90 („§ 18 Durchführung des Datenschutzes in der Bundesverwaltung“) übernommen. Gemeint sind hier die tatsächlichen Fristen zur Löschung der Daten (z.B. bei abgeschlossenen Verarbeitungen), um die Einhaltung gesetzlicher oder auch vertraglich geregelter Löschungsfristen zu prüfen. Eine auf § 35 Abs. 2 bezogene Regelfrist genügt demnach nicht.
- Gemäß Nr. 8 sind geplante Datenübermittlung in Drittstaaten aufzunehmen. Dies dient vornehmlich der Prüfung der Zulässigkeitsvoraussetzungen (z.B. angemessenes Datenschutzniveau) durch die Aufsichtsbehörde nach den §§ 4b und 4c. Auch hier ist die Meldung einer einzigen Übermittlung in Drittstaaten erforderlich. Nach § 3 Abs. 8 betrifft dies Stellen außerhalb der Europäischen Union und der Vertragsstaaten des EWR (vgl. Kommentar § 4b und Kommentar § 4c).
Notwendig ist die Angabe der Übermittlungszwecke, betroffenen Daten oder Datenkategorien und die Namen der Drittstaaten. Sollten vor der Inbetriebnahme oder bei der Einführung des Verfahrens keine Übermittlungen in Drittstaaten geplant sein, diese aber im Nachhinein erfolgen, ist das als erhebliche Änderung des Verfahrens anzusehen und nachzumelden. - Nr. 9 verlangt eine allgemeine Beschreibung, die eine Beurteilung der Angemessenheit der Datensicherheitsmaßnahmen nach § 9 im Zusammenhang mit dem zu meldenden Verfahren ermöglicht. § 9 Satz 2 sieht jene Maßnahmen als erforderlich an, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Einer „allgemeinen Beschreibung“ genügt beispielsweise eine Angabe wie „Einsatz von Antivirensoftware“, „Einsatz einer Software-Firewall“ oder „Sperrung von externen Laufwerksanschlüssen“. Möglich, und vereinfachend für die Dokumentation, ist auch die Zuweisung von dem Schutzzweck entsprechenden Sicherheitsstufen, deren einzelne Maßnahmen als Anlage aufgeführt sind.
Aktualität der Übersicht (Satz 2)
Satz 2 dient der Sicherstellung eines stets aktuellen Verfahrensverzeichnisses. Das erfordert
- die Anzeige aller Änderungen der meldepflichtigen Angaben (der Namen von Verantwortlichen, der Sicherheitsstufe...)
- die exakten zeitlichen Angaben
- Datum der Aufnahme des Verfahrens: Der Verweis auf § 4d Abs. 1 und „Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme ... nach Maßgabe von § 4e zu melden“ richtet sich an die Änderungen vor der Verfahrensumsetzung, z.B. während oder nach der Vorabkontrolle, jedoch vor Tätigkeitsbeginn.
- Datum der Beendigung der meldepflichtigen Tätigkeit
Die Meldung hat in jedem Fall schriftlich entweder an den Datenschutzbeauftragten oder die zuständige Aufsichtsbehörde zu erfolgen.
Folgen von Verstößen gegen die Meldepflicht
Die Aufsichtsbehörde kann im Falle der Nichteinhaltung der Meldepflicht durch die verantwortliche Stelle
- nach § 38 Abs. 3 bis 5 die Informationen einfordern
- erhebliche Verstöße nach § 43 Abs. 1 Nr. 1 mit einem Ordnungswidrigkeitsverfahren ahnden (§ 43 Abs. 1 Nr. 1 gilt nicht für nicht erstellte Verfahrensverzeichnisse, sondern nur für Meldungen)
Da § 4e keine Schutznorm ist, steht Betroffenen kein Schadensersatzanspruch nach § 823 BGB zu.
Weitere Informationen
Um einheitliche Angaben gem. den Anforderungen zu ermöglichen, wurde von den Aufsichtsbehörden ein Formular erarbeitet, welches unter Merkblatt zur Meldepflicht erläutert wird und unter Verfahrensverzeichnisse und Meldepflichten bzw. bei den einzelnen Aufsichtsbehörden abgerufen werden kann
Online-Kommentare
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.