3 BDSG a.F. Kommentar Absatz 1 Teil 1: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen

3 BDSG a.F. Kommentar Absatz 1 Teil 1 (Quelltext anzeigen)

Version vom 27. Mai 2018, 18:47 Uhr

447 Bytes entfernt ,  27. Mai 2018
K
Teclador verschob die Seite 3 BDSG Kommentar Absatz 1 Teil 1 nach 3 BDSG a.F. Kommentar Absatz 1 Teil 1: Anpassung alte Fassung
(Die Seite wurde neu angelegt: „Kommentare und Erläuterungen zu § 3 Weitere Begriffsbestimmungen ==Vorbemerkung== In § 3 sind [http://de.wikipedia.org/…“)
 
K (Teclador verschob die Seite 3 BDSG Kommentar Absatz 1 Teil 1 nach 3 BDSG a.F. Kommentar Absatz 1 Teil 1: Anpassung alte Fassung)
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Kommentare und Erläuterungen zu [[§3 BDSG|§ 3 Weitere Begriffsbestimmungen]]
{{DISPLAYTITLE:BDSG a.F. Kommentare und Erläuterungen}}{{komm_header|P=3}}
{{komm_abstext||A=1|T=
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
}}


==Vorbemerkung==
==Vorbemerkung==
In [[§3_BDSG|§ 3]] sind [http://de.wikipedia.org/wiki/Legaldefinition Legaldefinitionen] zu den wichtigsten gesetzlichen Begriffen zusammengestellt. Weitere Legaldefinitionen finden sich an anderen Stellen des Gesetzes. Für andere nicht weniger bedeutende und klärungsbedürftige Begriffe fehlen Legaldefinitionen, z.B. für: schutzwürdige Interessen, Merkmal, Art der Daten. Zu beachten ist, dass das [[BDSG]] eine Reihe von Begriffen '''anders definiert, als sie in der Umgangssprache oder in der IT-Fachsprache verwendet''' werden. So werden beispielsweise die Begriffe „[[Verarbeiten]]“, „Datenverarbeitung“, „[[Speichern]]“ und die weiteren Verarbeitungsphasen in Absatz 4 nicht im Sinne der Technik der [[Automatisierte Verarbeitung|automatisierten Datenverarbeitung]], sondern ''„ungeachtet der dabei angewendeten Verfahren“'', d.h. medienneutral, definiert.
In {{bdsgl|3}} sind [http://de.wikipedia.org/wiki/Legaldefinition Legaldefinitionen] zu den wichtigsten gesetzlichen Begriffen zusammengestellt. Weitere Legaldefinitionen finden sich an anderen Stellen des Gesetzes. Für andere nicht weniger bedeutende und klärungsbedürftige Begriffe fehlen Legaldefinitionen, z.B. für: schutzwürdige Interessen, Merkmal, Art der Daten. Zu beachten ist, dass das [[BDSG]] eine Reihe von Begriffen '''anders definiert, als sie in der Umgangssprache oder in der IT-Fachsprache verwendet''' werden. So werden beispielsweise die Begriffe „[[Verarbeiten]]“, „Datenverarbeitung“, „[[Speichern]]“ und die weiteren Verarbeitungsphasen in Absatz 4 nicht im Sinne der Technik der [[Automatisierte Verarbeitung|automatisierten Datenverarbeitung]], sondern ''„ungeachtet der dabei angewendeten Verfahren“'', d.h. medienneutral, definiert.
 
==Absatz 1 Text==
<blockquote style="background-color:#f0f0f4;border:1px dotted #000;padding:5px;margin:20px;">
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
</blockquote>




Zeile 60: Zeile 58:




Angaben über '''juristische Personen und Personenmehrheiten''', wie Personengesellschaften, Vereine und Gruppen werden '''nicht erfasst'''. Auch die [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:de:html Richtlinie 95/46/EG] (EU-Datenschutzrichtlinie) verzichtet auf eine Einbeziehung. Einige Länder haben juristische Personen und/ oder Handelsgesellschaften in den Schutzbereich einbezogen. Dies erscheint aus europarechtlicher Sicht problematisch, weil das die Datenschutzrechte der mitbetroffenen natürlichen Person vermindern und weil die Harmonisierung des Binnenmarktes gestört werden kann.
Angaben über '''juristische Personen und Personenmehrheiten''', wie Personengesellschaften, Vereine und Gruppen werden '''nicht erfasst'''. Auch die {{eur|Doc=31995L0046|Lang=DE|Text=Richtlinie 95/46/EG}} (EU-Datenschutzrichtlinie) verzichtet auf eine Einbeziehung. Einige Länder haben juristische Personen und/ oder Handelsgesellschaften in den Schutzbereich einbezogen. Dies erscheint aus europarechtlicher Sicht problematisch, weil das die Datenschutzrechte der mitbetroffenen natürlichen Person vermindern und weil die Harmonisierung des Binnenmarktes gestört werden kann.




Zeile 67: Zeile 65:




Der Begriff der Bestimmbarkeit ist schwierig zu handhaben. Dies liegt einerseits an seiner interpretatorischen Offenheit, andererseits daran, dass Verfahren der statistischen und wissenschaftlichen Verarbeitung immer stärker in den direkt personenbezogenen Bereich des Verwaltungsvollzug und der Geschäftsabwicklung eingedrungen sind. Dabei geht es etwa um die Verbesserung von Bewertungs- und Entscheidungsprozessen durch den Einbau statistisch-empirischer Komponenten (Scoring-Verfahren, Kreditlinienmanagement, Geo-Marketing, Data Mining) und um die Entwicklung moderner ID-Management- und Verschlüsselungssysteme, die es erlauben, die Verarbeitung der klassischen (Klartext-) Identifizierungsdaten wie Namen und Anschrift von der Massenverarbeitung abzutrennen und qualifiziert zu schützen. Nicht zuletzt hält das BDSG selbst die [[Verantwortliche Stelle|verantwortlichen Stellen]] dazu an, '''Klartext-Identifikationen wo immer möglich durch Anonymisierung und der Pseudonymisierung zu erübrigen''' ([[§3a_BDSG|§&nbsp;3a]]). Für weite Bereiche der Internet-Kommunikation liegt der Personenbezug nicht klar auf der Hand, weil die Akteure zunächst einmal hinter IP-Adressen und Pseudonymen verborgen sind, deren Auflösung mit Imponderabilien verbunden ist.
Der Begriff der Bestimmbarkeit ist schwierig zu handhaben. Dies liegt einerseits an seiner interpretatorischen Offenheit, andererseits daran, dass Verfahren der statistischen und wissenschaftlichen Verarbeitung immer stärker in den direkt personenbezogenen Bereich des Verwaltungsvollzug und der Geschäftsabwicklung eingedrungen sind. Dabei geht es etwa um die Verbesserung von Bewertungs- und Entscheidungsprozessen durch den Einbau statistisch-empirischer Komponenten (Scoring-Verfahren, Kreditlinienmanagement, Geo-Marketing, Data Mining) und um die Entwicklung moderner ID-Management- und Verschlüsselungssysteme, die es erlauben, die Verarbeitung der klassischen (Klartext-) Identifizierungsdaten wie Namen und Anschrift von der Massenverarbeitung abzutrennen und qualifiziert zu schützen. Nicht zuletzt hält das BDSG selbst die [[Verantwortliche Stelle|verantwortlichen Stellen]] dazu an, '''Klartext-Identifikationen wo immer möglich durch Anonymisierung und der Pseudonymisierung zu erübrigen''' ([[3a_BDSG|§&nbsp;3a]]). Für weite Bereiche der Internet-Kommunikation liegt der Personenbezug nicht klar auf der Hand, weil die Akteure zunächst einmal hinter IP-Adressen und Pseudonymen verborgen sind, deren Auflösung mit Imponderabilien verbunden ist.


=====Bestimmt=====
=====Bestimmt=====
Zeile 75: Zeile 73:
Ob die Person bestimmt oder nur bestimmbar ist, ist für die Anwendbarkeit des BDSG unerheblich. Dagegen ist die Grenze zwischen '''Bestimmbarkeit und Nichtbestimmbarkeit''' für die Anwendung des BDSG '''ausschlaggebend'''. Das Gesetz definiert den Begriff des [[Anonymisieren]]s dahin, das Angaben
Ob die Person bestimmt oder nur bestimmbar ist, ist für die Anwendbarkeit des BDSG unerheblich. Dagegen ist die Grenze zwischen '''Bestimmbarkeit und Nichtbestimmbarkeit''' für die Anwendung des BDSG '''ausschlaggebend'''. Das Gesetz definiert den Begriff des [[Anonymisieren]]s dahin, das Angaben


''„nicht... oder nur noch mit unverhältnismäßigem Aufwand... einer... Person zugeordnet werden können“'' ([[§3_BDSG|§&nbsp;3&nbsp;Abs.&nbsp;6]]).
''„nicht... oder nur noch mit unverhältnismäßigem Aufwand... einer... Person zugeordnet werden können“'' ([[3_BDSG|§&nbsp;3&nbsp;Abs.&nbsp;6]]).




Zeile 98: Zeile 96:
'''1.''' Sind Daten , die einer Stelle vorliegen, personenbezogen, weil ihr zur Herstellung des Personenbezugs erforderliches Zusatzwissen zugänglich ist?
'''1.''' Sind Daten , die einer Stelle vorliegen, personenbezogen, weil ihr zur Herstellung des Personenbezugs erforderliches Zusatzwissen zugänglich ist?


Hierbei ist das der Stelle zur Verfügung stehende oder zugängliche Zusatzwissen maßgeblich. Die Unverhältnismäßigkeit des Aufwandes ist unter Berücksichtigung der gerade für sie bestehenden alternativen Beschaffungsmöglichkeiten und des für sie bestehenden Informationswertes zu bestimmen. Auch sind die gerade für sie bestehenden rechtlichen Bindungen zugrunde zu legen. Aus besonderen Amts- oder Berufspflichten kann ein Verbot folgen, zur Personenbestimmung geeignete Zusatzinformationen zu beschaffen. So ist es etwa wissenschaftlichen Forschungseinrichtungen und ihren [[Beschäftigte]]n untersagt, Betroffene zu bestimmen, wenn ihnen Datenbestände nur zur statistischen Auswertung überlassen worden sind. Entsprechend schließt das für die Anbieter von Post- oder Telekommunikationsdiensten geltende Verbot, ihnen zum Transport überlassene Daten zu verwenden, jeden Bestimmungsversuch aus. Das Gleiche gilt für Auftragsverarbeiter nach [[§11_BDSG|§&nbsp;11]] und andere Stellen und Personen, denen Daten treuhänderisch anvertraut sind. In all diesen Fällen ist bereits die auf eine Personenbestimmung gerichtete Beschaffung geeigneter Zusatzinformationen unzulässig; das Zusatzwissen ist daher grundsätzlich als (rechtlich) nicht erreichbar einzustufen.
Hierbei ist das der Stelle zur Verfügung stehende oder zugängliche Zusatzwissen maßgeblich. Die Unverhältnismäßigkeit des Aufwandes ist unter Berücksichtigung der gerade für sie bestehenden alternativen Beschaffungsmöglichkeiten und des für sie bestehenden Informationswertes zu bestimmen. Auch sind die gerade für sie bestehenden rechtlichen Bindungen zugrunde zu legen. Aus besonderen Amts- oder Berufspflichten kann ein Verbot folgen, zur Personenbestimmung geeignete Zusatzinformationen zu beschaffen. So ist es etwa wissenschaftlichen Forschungseinrichtungen und ihren [[Beschäftigte]]n untersagt, Betroffene zu bestimmen, wenn ihnen Datenbestände nur zur statistischen Auswertung überlassen worden sind. Entsprechend schließt das für die Anbieter von Post- oder Telekommunikationsdiensten geltende Verbot, ihnen zum Transport überlassene Daten zu verwenden, jeden Bestimmungsversuch aus. Das Gleiche gilt für Auftragsverarbeiter nach [[11_BDSG|§&nbsp;11]] und andere Stellen und Personen, denen Daten treuhänderisch anvertraut sind. In all diesen Fällen ist bereits die auf eine Personenbestimmung gerichtete Beschaffung geeigneter Zusatzinformationen unzulässig; das Zusatzwissen ist daher grundsätzlich als (rechtlich) nicht erreichbar einzustufen.




Zeile 108: Zeile 106:
Die Anonymität eines Datenbestandes kann in der Praxis oft nicht mit letzter Sicherheit beurteilt werden. Mit dem wachsenden technischen Potential von Angreifern (z.B. Hackern) können bislang als sicher geltende Anonymisierungsverfahren unwirksam werden. Inwieweit Zusatzwissen existiert, ob es für Empfänger der Daten verfügbar ist, welchen Aufwand sie für eine Personenbestimmung leisten müssen und ob dieser für sie, besonders im Hinblick auf alternative Beschaffungsmöglichkeiten, unverhältnismäßig ist, ist für die verantwortliche Stelle oft schwer abzuschätzen. Die Frage, ob personenbezogene Daten weitergegeben werden, ist dann ungewiss. Nimmt die verantwortliche Stelle das Risiko einer Personenbestimmung in Kauf und realisiert sich dieses später, so hat sie, wenn keine Übermittlungsbefugnis bestand, rechtswidrig personenbezogene Daten übermittelt. Das Gesetz kennt insoweit '''kein erlaubtes Risiko'''. Der verantwortlichen Stelle bleibt daher nichts anderes übrig, als vorsorglich alle Daten wie personenbezogene Daten zu behandeln.
Die Anonymität eines Datenbestandes kann in der Praxis oft nicht mit letzter Sicherheit beurteilt werden. Mit dem wachsenden technischen Potential von Angreifern (z.B. Hackern) können bislang als sicher geltende Anonymisierungsverfahren unwirksam werden. Inwieweit Zusatzwissen existiert, ob es für Empfänger der Daten verfügbar ist, welchen Aufwand sie für eine Personenbestimmung leisten müssen und ob dieser für sie, besonders im Hinblick auf alternative Beschaffungsmöglichkeiten, unverhältnismäßig ist, ist für die verantwortliche Stelle oft schwer abzuschätzen. Die Frage, ob personenbezogene Daten weitergegeben werden, ist dann ungewiss. Nimmt die verantwortliche Stelle das Risiko einer Personenbestimmung in Kauf und realisiert sich dieses später, so hat sie, wenn keine Übermittlungsbefugnis bestand, rechtswidrig personenbezogene Daten übermittelt. Das Gesetz kennt insoweit '''kein erlaubtes Risiko'''. Der verantwortlichen Stelle bleibt daher nichts anderes übrig, als vorsorglich alle Daten wie personenbezogene Daten zu behandeln.


 
{{komm_nextsite|P=3|A=1}}
'''&rarr;''' [[§3 BDSG Kommentar Absatz 1 Teil 2]]<br/>
{{komm_nav|P=3|A=1}}
'''&rarr;''' [[§3 BDSG Kommentar Absatz 1 Beispiele]]
{{komm_footer|P=3}}
 
{{BfDI-Content}}
==[[:Kategorie:Online-Kommentare|Online-Kommentare]]==
[[§3 BDSG Kommentar Absatz 2 Teil 1|§3 BDSG Kommentar Absatz 2]]<br/>
[[§2 BDSG Kommentar]] | [[§3a BDSG Kommentar]]
 
-----
[[Bundesdatenschutzgesetz]]
[[Kategorie:§3 BDSG Kommentare]]
Teclador
Bürokraten, Oversighter
2.817

Bearbeitungen

Abgerufen von „https://datenschutz-wiki.de/Spezial:Mobiler_Unterschied/380...4694

Navigationsmenü