Personenbezogene Daten

1. Allgemein

Der Schutzbereich des BDSG sowie der VO 2016/679 (Datenschutz-Grundverordnung - DSGVO) erstreckt sich auf die Verarbeitung personenbezogener Daten:

• Personenbezogene Daten sind gemäß § 46 Nr. 1 BDSG "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann."

• Verarbeitung ist gemäß § 46 Nr. 1 BDSG "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."

Auch bei von einem Privatdetektiv im Rahmen einer Arbeitnehmerüberwachung erhobene Daten einschließlich Kamera- und Videoaufzeichnungen handelt es sich um personenbezogene Daten (BAG 19.02.2015 - 8 AZR 1007/13).

Personen, die bei Behörden oder in Unternehmen mit der Bearbeitung von personenbezogenen Daten befasst sind, sind zur Geheimhaltung der Daten verpflichtet. Die Rechte des Betroffenen können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

2. Verarbeitung personenbezogener Daten

Gemäß § 2 BDSG ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

Die Vorschrift enthält eine allgemeine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch öffentliche Stellen.

Die Regelung nimmt den zuvor in §§ 13 und 14 BDSG a.F. enthaltenen Regelungsgehalt auf, unterscheidet aber nicht mehr zwischen den Phasen der Erhebung, Speicherung, Veränderung und Nutzung, sondern verwendet, dem Grundgedanken der VO 2016/679 und der RL 2016/680 folgend, allgemein den umfassenden Begriff der Verarbeitung.

In § 47 BDSG sind allgemeine Grundsätze für die Verarbeitung personenbezogener Daten geregelt. Die Vorschrift dient der Umsetzung von Art. 4 Abs. RL 2016/680 und führt einige allgemeine Verarbeitungsgrundsätze, die in Teilen an späterer Stelle noch einmal aufgenommen werden, an zentraler Stelle zusammen.

Durchführungsbestimmungen für die Verarbeitung personenbezogener Daten zu Zwecken gemäß Art 2 der VO 2016/325 sind in den §§ 22 ff. BDSG geregelt, so z.B. die Verarbeitung von personenbezogenen Daten besonderer Kategorien (Gesundheitsdaten) oder besondere Verarbeitungsituationen (Beschäftigtendatenschutz).

3. Einwilligung

In § 51 BDSG finden sich die Voraussetzungen für eine wirksame Einwilligung.

4. Rechte der betroffenen Personen

Die Rechte der betroffenen Personen sind in den §§ 32 ff. BDSG geregelt:

• § 32 BDSG: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

• § 33 BDSG: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

• § 34 BDSG: Auskunftsrecht der betroffenen Person:

  Auskunft über die zu seiner Person gespeicherten Daten und die Herkunft dieser Daten hinsichtlich der Leistung und des Verhaltens:

  "Der Kläger hat einen Anspruch auf Auskunftserteilung der personenbezogenen Leistungs- und Verhaltensdaten. Bei personenbezogenen Leistungs- und Verhaltensdaten handelt es sich um eine bestimmte Kategorie von personenbezogenen Daten im Sinne von Art. 15 Abs. 1 Hs. 2 b) DSGVO i.V.m. Art 4 Nr. 1 DSGVO. Der Auskunftsberechtigte ist nach Erwägungsgrund 63 S. 7 zur DS-GVO berechtigt, zu erklären, auf welche Informationen oder auf welche Verarbeitungsvorgänge sich das Auskunftsersuchen bezieht. Hiervon machte der Kläger Gebrauch und schränkte insoweit seinen zunächst umfassend bestehenden Auskunftsanspruch auf personenbezogene Leistungs- und Verhaltensdaten ein. Der Anspruch auf Herausgabe einer Kopie der Daten ergibt sich aus Art. 15 Abs. 3 Satz 1 DSGVO" (LAG Baden-Württemberg 20.12.2018 - 17 Sa 11/18).

  Anspruch auf Überlassung von Kopien des E-Mail-Verkehrs sowie der E-Mails, die den Arbeitnehmer namentlich erwähnen:

  Das BAG hat den Anspruch eines Arbeitnehmers gegen seinen Arbeitgeber auf die Überlassung sämtlicher Kopien seines E-Mail-Verkehrs sowie der E-Mails, die ihn namentlich erwähnen, abgelehnt:

  "Ein Klageantrag auf Überlassung einer Kopie von E-Mails ist nicht hinreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO, wenn die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, nicht so genau bezeichnet sind, dass im Vollstreckungsverfahren unzweifelhaft ist, auf welche E-Mails sich die Verurteilung bezieht. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden." (siehe Pressemitteilung zum Urteil BAG 27.04.2021 - 2 AZR 342/20).

• § 35 BDSG: Recht auf Löschung

• § 36 BDSG: Widerspruchsrecht

• § 37 BDSG: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

5. Verletzungen des Schutzes personenbezogener Daten

In den §§ 65, 66 BDSG sind seit dem 25.05.2018 die Meldung von Verletzungen des Schutzes personenbezogener Daten an den Bundesbeauftragten sowie die Benachrichtigung der betroffenen Personen bei Verletzungen des Schutzes personenbezogener Daten geregelt.

Mit der VO 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58 wurde eine Pflicht der Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste eingeführt zur Benachrichtigung der zuständigen nationalen Behörde und in bestimmten Fällen auch die von Verletzungen des Schutzes personenbezogener Daten betroffenen Teilnehmer und Personen.

Das Verhältnis der Vorschriften zueinander ist in Art. 95 VO 2016/679 (DSGVO) geregelt: Danach erlegt die DSGVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Verletzungen des Schutzes personenbezogener Daten werden in Artikel 2 Buchstabe i RL 2002/58 definiert als Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert wurden.

Bei der Beurteilung, ob sich eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich nachteilig auf die personenbezogenen Daten oder die Privatsphäre eines Teilnehmers oder einer Person auswirken wird, sollten nach den Erwägungsgründen der Verordnung vor allem Art und Inhalt der personenbezogenen Daten berücksichtigt werden. Dies gilt insbesondere für Daten, die finanzielle Informationen wie Kreditkartendaten oder Einzelheiten über Bankkonten enthalten, für besondere Datenkategorien, die in Artikel 8 Absatz 1 der Richtlinie 95/46 genannt werden, sowie für bestimmte Daten im besonderen Zusammenhang mit der Erbringung von Telefon- und Internetdienstleistungen, z.B. E-Mail-Daten, Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe und Aufstellungen von Einzelverbindungen.

6. Durch Suchmaschinen genannte personenbezogene Daten

Der EuGH hat mit der Entscheidung EuGH 13.05.2014 - C 131/12 zur Pflicht von Suchmaschinen zum Löschen von personenbezogenen Daten Stellung genommen:

Der Vorgang, personenbezogene Daten auf eine Internetseite zu stellen, ist als eine Verarbeitung personenbezogener Daten anzusehen. Dies gilt auch für Suchmaschinen: Indem er das Internet automatisch, kontinuierlich und systematisch auf die dort veröffentlichten Informationen durchforstet, "erhebt" der Suchmaschinenbetreiber mithin personenbezogene Daten, die er dann mit seinen Indexierprogrammen "ausliest", "speichert" und "organisiert", auf seinen Servern "aufbewahrt" und gegebenenfalls in Form von Ergebnislisten an seine Nutzer "weitergibt" und diesen "bereitstellt".

Dabei müssen jedoch nicht alle personenbezogenen Daten unmittelbar gelöscht werden. Über die Löschung ist jeweils im Einzelfall nach einer Interessenabwägung zu entscheiden.

7. Übermittlung von personenbezogenen Daten aus den Akten zivilgerichtlicher Verfahren an private Dritte und an andere Gerichte oder an Behörden

Die Übermittlung von personenbezogenen Daten aus den Akten zivilgerichtlicher Verfahren an private Dritte und an andere Gerichte oder an Behörden, die im Wege der Erteilung von Auskünften, der Einsicht in die Akten oder der Übersendung von Akten oder Aktenteilen erfolgt, und der hiergegen eröffnete Rechtsschutz sind nicht einheitlich sowie an verschiedenen Stellen geregelt:

• Die Einsicht privater Dritter in die Akten eines laufenden Verfahrens regelt § 299 Abs. 2 ZPO.

  Gegen die Übermittlung von Daten aus abgeschlossenen Verfahren ist der Rechtsweg nach §§ 23 ff. EGGVG eröffnet, worauf die angegriffene Entscheidung des Oberlandesgerichts selbst hinweist. Gleiches gilt, wenn der Gerichtsvorstand nach § 299 Abs. 2 ZPO privaten Dritten Akteneinsicht gestattet.

• Eine Übermittlung personenbezogener Daten durch Gerichte der ordentlichen Gerichtsbarkeit an öffentliche Stellen regeln, wenn sie von Amts wegen erfolgt, die §§ 12 ff. EGGVG. Subsidiäre Rechtsgrundlagen für die Datenübermittlung öffentlicher Stellen enthalten auch die Datenschutzgesetze des Bundes und der Länder.

  Für die Fälle der Übermittlung von Amts wegen nach §§ 12 ff. EGGVG erklärt § 22 EGGVG unter bestimmten Voraussetzungen ebenfalls den Rechtsweg nach §§ 23 ff. EGGVG für eröffnet.

Allen zitierten Vorschriften ist jedoch gemein, dass für die Überprüfung der Rechtmäßigkeit einer Übermittlung direkt - oder vermittelt über §§ 12 ff. EGGVG - im Verfahren nach §§ 23 ff. EGGVG der Rechtsweg zum Oberlandesgericht eröffnet wird, sofern kein anderer Rechtsweg zur Verfügung steht (BVerfG 02.12.2014 - 1 BvR 3106/09).