Datenschutz

Anonymisieren und Pseudonomysieren

Nach  § 3 Abs. 6 und 6 a BDSG ist Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Pseudonomysieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Verantwortliche Stelle, Empfänger und Dritte

Nach § 3 Abs. 7 und Abs. 8 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch Andere im Auftrag vornehmen lässt.

Empfänger ist jede Person oder Stelle, die Daten erhält.

Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritter ist nicht der Betroffene selbst. Dritte sind auch nicht Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(Das „im Auftrag kann man dann anklicken und dann kommt man auf eine andere Seite und die nennt sich:

Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

Die verantwortliche Stelle für den Datenschutz muss nicht alle Verpflichtungen nach dem Datenschutzgesetz selbst durchführen. Sie kann sich bestimmter Auftragsverhältnisse bedienen, um z. B. die gebotene Löschung von Daten durch ein Unternehmen durchführen zu lassen, das auf Aktenvernichtung oder Löschung von Computerdaten spezialisiert ist.

Nach § 11 Abs. 1 BDSG bleibt in diesem Fall der Auftraggeber für die Einhaltung der Vorschriften des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Der Auftraggeber hat den Auftragnehmer auch unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen und hat einen gesetzlich festgelegten Mindestinhalt, der sich aus § 11 Abs. 2 BDSG im Einzelnen ergibt.

Zwingende Maßnahmen des Datenschutzes nach § 9 BDSG

Nach § 9 BDSG haben alle verantwortlichen Stellen, also auch jedes Unternehmen, das selbst oder im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften aus dem Bundesdatenschutzgesetz zu gewährleisten.

Nach Satz 2 sind jedoch solche Maßnahmen nicht erforderlich, die in keinem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen.

Das Bundesdatenschutzgesetz enthält in der Anlage zu § 9 Mindestanforderungen, die die Unternehmen zu gewährleisten haben. Die Anlage enthält die so genannten „8 Gebote des Datenschutzes“.

„8 Gebote des Datenschutzes“

In der Anlage zu § 9 Satz 1 BDSG sind die so genannten 8 Gebote des Datenschutzes enthalten. Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

Anlage (zu § 9 Satz 1 BDSG):

    1.  Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
         Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

    2.  zu verhindern, daß Datenverarbeitungssysteme von Unbefugten genutzt werden
         können (Zugangskontrolle),

    3.  zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
         Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten
         zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung
         und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt
         werden können (Zugriffskontrolle),

    4.  zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung
         oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht
         unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass
         überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung
         personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
         (Weitergabekontrolle),

    5.  zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und
         von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
         verändert oder entfernt worden sind (Eingabekontrolle),

    6.  zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
         nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
         (Auftragskontrolle),

    7.  zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder
         Verlust geschützt sind (Verfügbarkeitskontrolle),

    8.  zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
         verarbeitet werden können.
         Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von
         dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

zuletzt bearbeitet: 24.03.2010/Rechtsanwalt Thomas Berger (Fachanwalt für Arbeitsrecht)


Beratung

Rechtsanwalt Thomas Berger berät Sie gerne zu Ihrem persönlichen Fall. Die Beratung ist kostenpflichtig.

Sie können aber kostenlos und unverbindlich Kontakt mit uns aufnehmen. Wir
informieren Sie gerne vorab über die Höhe der zu erwartenden Kosten.

Berger Groß Höhmann & Partner Rechtsanwälte
Danziger Str. 56 / Ecke Kollwitzstraße
10435 Berlin / Prenzlauer Berg

Rechtsanwalt Thomas Berger, Fachanwalt für Arbeitsrecht
Telefon: 030 / 440 330 - 26
Telefax: 030 / 440 330 - 22
E-Mail: berger(at)bghp.de

Bürozeiten:
Mo.-Fr.: 9 Uhr bis 13 Uhr und 14 Uhr bis 18 Uhr

RSS abonieren Drucken Per Email empfehlen