Novelle BDSG

Fassung November 2011

 

 

§ 1 Zweck und Anwendungsbereich des Gesetzes

(1) Dieses Gesetz schützt den Einzelnen davor, durch den Umgang mit personenbezogenen Informationen in seinem Persönlichkeitsrecht beeinträchtigt zu werden.

(2) Dieses Gesetz gilt für die geschäftsmäßige Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Informationen.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Informationen einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Dieses Gesetz findet keine Anwendung, sofern ein Datenverarbeiter mit Sitz in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Inland erhebt, verarbeitet, übermittelt oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern ein Datenverarbeiter, der seinen Sitz nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, personenbezogene Informationen im Inland erhebt, verarbeitet, übermittelt oder nutzt. Soweit der Datenverarbeiter nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Informationen nur zum Zweck des Transits im Inland verarbeitet werden. Die gesetzlichen Auskunftspflichten gegenüber der Aufsichtsbehörde (§ 38 Absatz 1 Satz 1 BDSG) bleiben unberührt.

§ 2 Begriffsbestimmungen

(1) Personenbezogene Informationen sind alle Angaben, die sich einer natürlichen Person zuordnen lassen und die – allein oder in Verbindung mit anderen Angaben – Aussagen überdie Person enthalten.

(2) Sensible Informationen sind Angaben, die – allein oder in Verbindung mit anderen Angaben– Aussagen über die Intimsphäre der Person enthalten.

(3) Erheben ist das Herstellenoder Beschaffen von Informationen über den Betroffenen.

(4) Verarbeiten ist das Speichern, Verändern Sperren und Löschen personenbezogener Informationen. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren, Medien und Repräsentationsformen:

a.  Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Informationen zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,

b.  Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Informationen,

c.  Sperren das Kennzeichnen gespeicherter personenbezogener Informationen, um ihre weitere Verarbeitung oder Nutzung einzuschränken,

d.  Löschen das Unkenntlichmachen gespeicherter personenbezogener Informationen.

(5) Übermitteln ist das Bekanntgeben personenbezogener Informationen an einen Dritten in der Weise, dass

a.  die Informationen an den Dritten weitergegeben werden oder

b.  der Dritte zur Einsicht oder zum Abruf bereitgehaltene Informationen einsieht oder abruft,

(6) Nutzen ist jede Verwendung personenbezogener Informationen, soweit es sich nicht um eine Erhebung Verarbeitung oder Übermittlung handelt.

(7) Empfänger ist jede Person oder Stelle, die personenbezogene Informationen erhält.

(8) Datenverarbeiter ist jede natürliche oder juristische Person, die geschäftsmäßig Informationen erhebt, verarbeitet, übermittelt oder nutzt.

(9)  Dritte sind nicht der Datenverarbeiter, verbundene Unternehmen (§ 15 AktG) und der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Auftrag erheben, verarbeiten, übermitteln oder nutzen.

(10)    Geodaten sind alle Daten mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.

§ 3 Datenschutzbestimmungen

(1) Wenn ein Datenverarbeiter personenbezogene Informationen erhebt, verarbeitet oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses oder beim Betrieb eines Telemediums gemäß § 1 Absatz 1 Telemediengesetz (TMG), ist der Datenverarbeiter zur Erstellung und Bereithaltung von transparenten Datenschutzbestimmungen verpflichtet.

(2) Die Datenschutzbestimmungen müssen den Betroffenen in klarer und allgemein verständlicher Weise (transparent) unterrichten über

a.  die Art und den Umfang der erhobenen, verarbeiteten, übermittelten und genutzten personenbezogenen Informationen,

b.  die Zwecke der Erhebung, Verarbeitung und Nutzung von personenbezogenen Informationen sowie Angaben dazu, weshalb die Informationen für diese Zwecke erforderlich sind,

c.  die Übermittlung von personenbezogenen Informationen an Dritte,

d.  die Befugnisse, die sich der Datenverarbeiter vorbehält, personenbezogene Informationen des Betroffenen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Telemediums zu verarbeiten und nutzen,

e.  die Erstellung, Verarbeitung, Übermittlung und Nutzung von Bewegungsprofilen unter Einsatz von Geodaten,

f.  die Erhebung, Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen zur Auswertung des Verhaltens des Betroffenen (Nutzerprofile) mit dem Ziel, dem Nutzer gezielt Informationen zu Werbezwecken zur Kenntnis zu bringen,

g.  die technischen und organisatorischen Maßnahmen, die der Datenverarbeiter ergreift zur Sicherung personenbezogener Informationen gegen den unbefugten Zugriff Dritter einschließlich der Verfahren der Verschlüsselung und Anonymisierung von Informationen (Datensicherheit),

h.  die Möglichkeiten des Betroffenen, Auskunft über erhobene, verarbeitete, übermittelte und genutzte personenbezogene Informationen zu erhalten und Korrekturen von Unrichtigkeiten zu verlangen einschließlich der Möglichkeiten des Betroffenen, unmittelbar Einblick in die Informationen zu nehmen und Korrekturen selbst vorzunehmen,

i.  die Verarbeitung personenbezogener Informationen in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31),

j.  die Rechte des Betroffenen, der Erhebung, Verarbeitung, Übermittlung und Nutzung von Informationen teilweise oder vollständig zu widersprechen,

k.  den Verantwortlichen für den Datenschutz gemäß § 8 oder eine andere Person, die der Datenverarbeiter mit der Entgegennahme, Bearbeitung und Beantwortung von Beschwerden von Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen beauftragt hat, unter Angabe von Kontaktdaten zur unmittelbaren Kommunikation,

l.  die Verhaltenskodices (§ 2 Abs. 1 UWG) und sonstigen Verhaltensregeln, zu deren Einhaltung sich der Datenverarbeiter verpflichtet,

m.  die Befugnisse, die sich der Datenverarbeiter vorbehält, die Umstände der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Buchstabe a bis l zu ändern.

(3) Wenn der Datenverarbeiter damit rechnen muss, dass Minderjährige nicht nur gelegentlich seine Vertragspartner sind oder sein Telemedium nutzen, ist er verpflichtet, die Datenschutzbestimmungen so abzufassen, dass sie auch für Minderjährige verständlich sind. Die Bestimmungen zum Jugendschutz bleiben unberührt.

(4) Der Datenverarbeiter ist verpflichtet, dem Vertragspartner auf Anforderung die aktuellen Datenschutzbestimmungen in Textform (§ 126 b BGB) zukommen zu lassen. Bei einem Telemedium müssen die Datenschutzbestimmungen für den Nutzer jederzeit abrufbar sein.

(5) Wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen eines Vertragsverhältnisses erfolgt, ist der Datenverarbeiter verpflichtet, den Betroffenen von allen wesentlichen Änderungen der Datenschutzbestimmungen zu unterrichten (Änderungsrecht). Der Betroffene ist berechtigt, Änderungen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Satz 1 zu widersprechen, wenn die schutzwürdigen Interessen des Betroffenen die Interessen des Datenverarbeiters an der Änderung überwiegen. Bei der Unterrichtung des Betroffenen über Änderungen der Datenschutzbestimmungen gemäß Satz 1 ist der Datenverarbeiter verpflichtet, auf das Widerspruchsrecht gemäß Satz 2 hinzuweisen.

(6) Ein Datenverarbeiter ist zur Übermittlung von personenbezogenen Informationen an Dritte nur berechtigt, wenn die Datenschutzbestimmungen eine solche Übermittlung vorsehen oder wenn der Betroffene in die Übermittlung eingewilligt hat. Ein Änderungsrecht besteht nicht.

§ 4 Einwilligung

(1) Der Datenverarbeiter darf sensible Information nur mit vorheriger Zustimmung (Einwilligung) des Betroffenen oder auf Basis einer gesetzlichen Grundlage erheben, verarbeiten, übermitteln und nutzen.

(2) Die Einwilligung bedarf einer gesonderten Erklärung  des Nutzers. Sie ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung, Übermittlung oder Nutzung hinzuweisen.

(3) Die Einwilligung kann elektronisch erklärt werden, wenn der Datenverarbeiter sicherstellt, dass

a.  der Nutzer seine Einwilligung ausdrücklich und bewusst erteilt hat,

b.  die Einwilligung protokolliert wird,

c.  der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

d.  der Nutzer die Einwilligung jederzeit aus wichtigem Grund mit Wirkung für die Zukunft widerrufen kann.

(4) Der Datenverarbeiter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 3 Buchstabe d hinzuweisen. § 3 Absatz 4 Satz 2 gilt entsprechend.

(5) Die Auswertung des Nutzerverhaltens, insbesondere durch die Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f), bedarf der Einwilligung des Betroffenen, sofern die Auswertung Aussagen über der Intimsphäre enthalten kann. Die Absätze 2 bis 4 gelten entsprechend.

 

§ 5 Verbote

(1) Wenn ein Datenverarbeiter personenbezogene Informationen zu den Zwecken gemäß § 3 Absatz 2 erhebt, verarbeitet oder nutzt, ist ihm die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen erlaubt, soweit die Datenschutzbestimmungen den Betroffenen über die Erhebung, Verarbeitung oder Nutzung informieren. Jede Erhebung, Verarbeitung oder Nutzung, die über die Datenschutzbestimmungen hinausgeht, ist dem Datenverarbeiter untersagt.

(2) Die Übermittlung personenbezogener Informationen ist untersagt, wenn die Voraussetzungen des § 3 Abs. 6 nicht erfüllt sind.

(3) Die Erhebung, Verarbeitung, Übermittlung oder Nutzung sensibler Informationen ist untersagt, wenn der Betroffene nicht wirksam eingewilligt hat (§ 4 Absatz 2 bis 4). Entsprechendes gilt für die Bildung von Bewegungsprofilen oder Nutzerprofilen, sofern die Auswertung Aussagen über die Intimsphäre des Betroffenen enthalten kann (§ 4 Absatz 5).

(4) Dritte dürfen personenbezogene Informationen erheben. Handelt es sich allerdings um Angaben, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben –  ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, wenn schutzwürdigen Interessen des Betroffenen der Verarbeitung, Übermittlung und Nutzung entgegenstehen. Wenn der Betroffene von seinem Widerspruchsrecht Gebrauch gemacht hat, ist dem Dritten die Verarbeitung, Übermittlung und Nutzung untersagt.

(5) Dritten ist die Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen, die sie nicht selbst erhoben haben, untersagt, wenn sie die Informationen unrechtmäßig – insbesondere unter Verstoß gegen § 3 Abs. 6 – erlangt haben.

(6) Art. 5 GG bleibt unberührt.

§ 6 Schadensersatz

(1) Fügt ein Datenverarbeiter dem Betroffenen durch eine nach diesem Gesetz unzulässige oder unrichtige Erhebung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Informationen einen Schaden zu, ist er dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, wenn der Datenverarbeiter nachweist, dass er seine Verpflichtung zu datenschutzkonformen Verfahren eingehalten hat (§ 7 Abs. 1 Satz 2).

(2) Verstößt ein Datenverarbeiter gegen das Verbot gemäß § 5 Absatz 2 findet § 97 Absatz 2 Satz 2 und 3 UrhG auf die Bemessung des Schadensersatzes entsprechende Anwendung.

(3) Der Betroffenen kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine Entschädigung in Geld verlangen, wenn und soweit dies der Billigkeit entspricht.

§ 7 Ausgestaltung von Verfahren

(1) Bei der Entwicklung, Gestaltung, Änderung und Erweiterung von Verfahren, die ein Datenverarbeiter nutzt oder nutzen möchte, hat der Datenverarbeiter in jedem Stadium zu beachten, dass Persönlichkeitsrechte des Einzelnen gefährdet werden können, wenn personenbezogene Informationen erhoben, verarbeitet, übermittelt und genutzt werden. Der Datenverarbeiter ist daher zur Einhaltung der nachfolgenden Richtlinien verpflichtet, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

 

(2) Die Verfahren sind an dem Ziel auszurichten, so wenig personenbezogene Informationen wie möglich zu erheben, zu verarbeiten oder zu nutzen.

(3) Die Verfahren sind so auszugestalten, dass personenbezogene Informationen automatisch gelöscht werden, wenn sie für den Verwendungszweck nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Archivierung und Nutzung ausschließlich zu Beweiszwecken ist zulässig.

(4) Die Sicherheit der Verfahren ist am Stand der Technik auszurichten. Insbesondere sind personenbezogene Informationen gegen den unbefugten Zugriff Dritter nach dem Stand der Technik zu schützen.

(5) Angaben, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben –  ein aussagekräftiges Bild der Persönlichkeit ermöglichen, bedürfen eines erhöhten Schutzes.. Dies ist insbesondere bei der Gestaltung von Administratoren- und anderen Zugriffsrechten  zu berücksichtigen.

(6) Bei der Gestaltung von Datenschutzbestimmungen (§ 3) oder vorformulierten Einwilligungen (§ 4) sowie von sonstigen Informationen von Betroffenen über die Erhebung, Verarbeitung und Nutzung mit personenbezogener Informationen sind Standards zu berücksichtigen, die sich in der Praxis entwickelt haben und die Gewohnheiten der Betroffenen prägen.

(7) Die Erhebung und die Übermittlung von personenbezogenen Informationen sind rückverfolgbar zu gestalten. Dies gilt auch für sämtliche Versionsstände der Datenschutzbestimmungen (§ 3).

 

(8) Bei der Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f) sind die Verfahren so zu gestalten, dass dem Betroffenen technische Mittel zur Verfügung stehen, mit deren Hilfe er die Bildung von Profilen dauerhaft oder vorübergehend verhindern kann.

(9) Dem Betroffenen sind angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe er fehlerhafte personenbezogene Informationen erkennen und berichtigen kann.

§ 8 Verantwortlicher für den Persönlichkeitsschutz

Unternehmen, die personenbezogene Informationen verarbeiten und damit in der Regel mindestens 20 Personen beschäftigen, haben einen Verantwortlichen für den Persönlichkeitsschutz zu bestellen. Der Verantwortliche für den Persönlichkeitsschutz ist für die Entgegennahme und Beantwortung von Beschwerden der Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung personenbezogener Informationen zuständig. Er kann zugleich Beauftragter für den Datenschutz (§ 4 f BDSG) sein.