Inhaltsverzeichnis (verbergen)

Datenschutzrecht
- Grundlegende Prinzipien des Datenschutzes
- Wichtige Begriffsdefinitionen

Datenschutzrecht

Grundlegende Prinzipien des Datenschutzes

Unabhängig von der Frage, welche Rechtsgrundlage im Einzelfall einschlägig ist, existieren einige datenschutzrechtliche Grundprinzipien, die in allen Gesetzen niedergelegt sind und die daher auch für sämtliche Datenverarbeitungen im Rahmen eines E-Campus von Bedeutung sind und beachtet werden müssen.

Grundsatz des Verbotes mit Erlaubnisvorbehalt

Das gesamte deutsche Datenschutzrecht ? basiert auf dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Hierbei handelt es sich um ein grundsätzliches Prinzip des deutschen Datenschutzrechts ?, das in allen einschlägigen Gesetzen niedergelegt ist (z.B. in § 4 Abs. 1 BDSG) und alle datenverarbeitenden Stellen bindet. Dieser Grundsatz wurde vom Bundesverfassungsgericht ? in seinem Volkszählungsurteil geprägt, in dem das Gericht ausgeführt hat, dass jeder Einzelne grundsätzlich selbst über die Preisgabe und über die Verwendung seiner persönlichen Daten bestimmen können muss (BVerfGE 65, 1, 43).

Damit ist festgelegt, dass die Erhebung, Speicherung, Verarbeitung und Weitergabe personenbezogener Daten grundsätzlich verboten ist. Nur in zwei Fällen ist die Vornahme solcher Handlungen erlaubt: - Entweder hat der Betroffene hierzu seine Einwilligung erklärt - oder aber das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift beinhalten eine Erlaubnis oder sogar eine Anordnung, personenbezogene Daten zu erheben, zu speichern, zu verarbeiten oder sie weiterzugeben (Vgl. Helfrich, in: Hoeren/Sieber, Loseblattsamml., Stand: Oktober 2007, Multimediarecht, 16.1 Rn. 33, 34).

Eine anderweitige freie Verwendung von Daten kann es somit grundsätzlich nicht geben.

Dieser Grundsatz ist somit für alle Datenerhebungen- und Verarbeitungen von persönlichen Daten, die im Rahmen einer E-University auftreten können, maßgeblich. Hieraus folgt, dass vor der Durchführung einer solchen Maßnahme entweder die Einwilligung der betroffenen Personen eingeholt werden muss oder aber dass überprüft werden muss, ob für die Maßnahme eine Rechtsvorschrift vorhanden ist, die die entsprechende Maßnahme erlaubt oder sogar vorschreibt. Andernfalls ist die spätere Datenerhebung oder -verarbeitung in jedem Fall rechtswidrig.

Erforderlichkeitsgrundsatz

Den Grundsätzen im Volkszählungsurteil folgend, müssen alle Stellen, die zur Erfüllung ihrer Aufgaben personenbezogene Daten sammeln (also auch die Universität), sich auf das zum Erreichen des angestrebten Zwecks erforderliche Minimum beschränken. Erforderlich ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich dann, wenn die Daten einerseits geeignet sind, um das Verarbeitungsziel zu erreichen, und sich andererseits das entsprechende Ziel nicht bzw. nicht ohne unverhältnismäßigen Aufwand auf andere Weise, d.h. insbesondere mit keinen oder mit weniger personenbezogenen Daten, erreichen lässt (Schaar, Datenschutz im Internet, 2002, Rn. 129). Angesichts der Schwere des Eingriffs in die Persönlichkeitssphäre des Einzelnen sind hierbei strenge Anforderungen an die Beurteilung der Erforderlichkeit zu stellen. Teilweise wird insoweit von Teilen der Literatur sogar gefordert, dass es der erhebenden Stelle geradezu unmöglich sein muss, ohne die entsprechenden Daten ihren Aufgaben nachzukommen (Sokol, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 13 Rn. 25f.).

Dieser Erforderlichkeitsgrundsatz ist zu unterscheiden von der in Teilen der Literatur (etwa bei Gola/Schomerus, BDSG. Kommentar, 9. Aufl. 2007, § 9 Rn. 7) ebenfalls als Grundsatz der Erforderlichkeit titulierten Pflicht der datenverarbeitenden Stellen gem. Art. 7 Abs. 1 BayDSG, alle technisch und organisatorisch notwendigen Maßnahmen zu treffen, um die Ausführung der Regelungen des BDSG zu garantieren.

Prinzip der Zweckbindung

Ein weiteres grundsätzliches Prinzip des deutschen Datenschutzes ist das Prinzip der Zweckbindung. Dieses bedeutet, dass die Verarbeitung personenbezogener Daten nur insoweit zulässig ist, als die Verarbeitung einem hinreichend bestimmten (Gola/Schomerus, BDSG. Kommentar, 9. Aufl. 2007, § 14 Rn. 9) Zweck dient, der entweder durch die einschlägige Rechtsgrundlage oder aber durch die Einwilligung des Betroffenen vorgegeben ist (Helfrich, in: Hoeren/Sieber, Loseblattsamml., Stand: Oktober 2007, Handbuch Multimediarecht, 16.1 Rn. 80). Dies soll einer anlassunabhängigen Vorratsdatenspeicherung vorbeugen und trägt dem Grundrecht auf informationelle Selbstbestimmung des Betroffenen aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG Rechnung (Wohlgemuth/Gerloff, Datenschutzrecht ?, 3. Aufl. 2005, S. 13). Daneben hat die Zweckbindung zur Folge, dass eine Weitergabe der Daten zwischen einzelnen Behörden ohne spezifische Rechtsgrundlage grundsätzlich unzulässig ist; die öffentliche Verwaltung bildet damit keine übergreifende Informationseinheit (Simitis, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, Einleitung Rn. 36). Auf Bundesebene findet der Grundsatz seine positivgesetzliche Niederlegung primär in § 14 Abs. 1 BDSG. Von diesem Prinzip existieren jedoch Ausnahmen (etwa in § 14 Abs. 2 BDSG), auf die an anderer Stelle noch genauer einzugehen sein wird.

Dieser Grundsatz ist z.B. auch in den Art. 17 Abs. 1 Nr. 2, 18 Abs. 1 BayDSG enthalten, die bestimmen, dass erhobene Daten nur zu dem Zweck verarbeitet, genutzt und weitergegeben werden dürfen, für den sie erhoben wurden.

Transparenzgrundsatz

Damit der Betroffene seine Rechte, die ihm das Datenschutzrecht ? gewährt, auch einsetzen kann, muss er darüber informiert werden, welche Daten über ihn gespeichert sind. Deshalb sind in den Gesetzen, die den Datenschutz regeln, verschiedene Maßnahmen enthalten, die die Transparenz für den Betroffenen herstellen. Hierzu gehören Hinweispflichten über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und Informationspflichten über die Identität der verantwortlichen Stelle (Schaar, Datenschutz im Internet, 2002, Rn. 134), beispielsweise in Art. 10, 16 Abs. 3 BayDSG.

Rechte des Betroffenen

Bei jeder Datenerhebung oder Datenspeicherung stehen dem Betroffenen verschiedene Rechte zu. Zunächst besteht nach den einschlägigen Gesetzen ein Auskunftsrecht des Betroffenen. Dessen allgemeine Ausprägung ist in Art. 10 BayDSG geregelt. Dieses Auskunftsrecht umfasst unter anderem einen Anspruch auf Informationen über die zu einer Person gespeicherten Daten, den Zweck und die Rechtsgrundlage ihrer Erhebung, Verarbeitung und Nutzung, ihre Herkunft und die Empfänger regelmäßiger Datenübermittlungen.

Zudem steht dem Betroffenen das Recht zu, bestimmte Daten berichtigen, löschen oder sperren zu lassen. Dieses Recht ist in Art. 11 und 12 BayDSG geregelt. Danach müssen personenbezogene Daten in den Fällen berichtigt werden, in denen sie unrichtig sind, sie müssen gelöscht werden, wenn ihre Speicherung unzulässig ist oder sie für die Erreichung des Verarbeitungszwecks nicht mehr erforderlich sind, und sie müssen gesperrt werden, wenn unter besonderen Voraussetzungen die Löschung nicht angemessen ist oder wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.

Wichtige Begriffsdefinitionen

Neben diesen Grundprinzipien des deutschen Datenschutzrechtes ? gibt es auch einige zentrale Begriffe, die in allen datenschutzrechtlichen Gesetzen verwendet werden und daher auch für alle Bereiche des Datenschutzes von Bedeutung sind.

Begriff der personenbezogenen Daten

Datenschutzrechtliche ? Vorschriften sind grundsätzlich nur dann einschlägig, wenn es sich um personenbezogene Daten handelt. Eine Legaldefinition dieses Begriffs ist in Art. 4 Abs. 1 BayDSG enthalten. Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem Betroffenen. Diese Definition gilt grundsätzlich für alle einschlägigen Rechtsquellen. Die bereichsspezifische Vorschrift § 11 Abs. 1 TMG greift hierfür auf die gleichlautende Regelung in § 3 Abs. 1 BDSG zurück. Für das Telekommunikationsrecht wird der Schutz in § 91 Abs. 1 S. 2 TKG auf bestimmte juristische Personen ausgeweitet.

Unter die Definition der personenbezogenen Daten fallen z.B. Angaben wie der Name der betroffenen Person, ihre Anschrift, ihr Geburtsdatum, ihr Familienstand, ihre Bankverbindung oder ihr Gesundheitszustand (Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 4.1 Rn. 18). Aus dieser Aufzählung wird ersichtlich, dass bei der Nutzung von Daten im Rahmen einer E-University eine Vielzahl von personenbezogenen Daten verarbeitet werden wird.

Eine Person wird dann als bestimmt angesehen, wenn die über sie gespeicherten Informationen einen unmittelbaren Rückschluss auf ihre Identität zulassen (Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 4.1 Rn. 20). Für Daten, die im Rahmen eines E-Campus erhoben werden, gilt daher, dass sie nur dann bestimmt sind, wenn sie ohne zusätzliche Operationen einer Person zugeordnet werden können. In diesen Fällen steht damit fest, dass sich die fraglichen Daten auf diese Person, und nicht auf eine andere beziehen (Dammann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Rn. 21).

Demgegenüber ist eine Person bestimmbar, wenn sie durch entsprechendes Zusatzwissen zugeordnet werden können. Die Daten lassen dann zwar keine direkte Identifizierung der fraglichen Person zu, ein Personenbezug kann jedoch mit Hilfe weiterer Informationen hergestellt werden (Dammann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Rn. 22). So lassen beispielsweise IP-Adressen keinen direkten Rückschluss auf eine bestimmte Person zu, sie sind also nicht bestimmt. Jedoch wird vielfach von einer Bestimmbarkeit auszugehen sein. Dies ist jedenfalls bei so genannten statischen IP-Adressen anzunehmen. Aber auch bei dynamischen IP-Adressen ist die Verbindung zur betroffenen Person so eng, dass mit Hilfe von Zusatzwissen die Verbindung zu einer bestimmten Person in bestimmten Fallkonstellationen hergestellt werden kann (Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 4.1 Rn. 21). Daher ist das LG Berlin auch bei dynamischen IP-Adressen von einem Personenbezug ausgegangen (LG Berlin, Urt. v. 06.09.2007 23 S 3/07).

Zusammenfassend lässt sich sagen, dass alle Informationen, die über die betreffende Bezugsperson etwas aussagen, durch die Datenschutzgesetze geschützt werden (Dammann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Rn. 7). Dies gilt unabhängig davon, als wie privat die fraglichen Daten im Einzelfall einzustufen sind. Bagatelldaten, die zwar einen Personenbezug aufweisen, jedoch nicht schützenswert sind, existieren nach dem deutschen Datenschutzrecht ? nicht.

Begriff des Diensteanbieters

Der Begriff des Diensteanbieters ist von zentraler Bedeutung für die bereichsspezifischen Datenschutzvorschriften des TMG. Hierunter wird gemäß § 2 Nr. 1 TMG jede natürliche oder juristische Person verstanden, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Unerheblich ist dabei welchem Zweck die bezeichneten Tätigkeiten dienen, bzw. in welcher Organisation oder Art ihre Wahrnehmung erfolgt (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 2: § 2 TMG Begriffsbestimmungen, Rn. 5). Dabei will die Vorschrift möglichst alle in diesem Bereich verantwortlich Handelnden erfassen (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 2: § 2 TMG Begriffsbestimmungen, Rn. 5; Spindler, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 3 TDDSG Rn. 5).

Auch die Universität Passau, die auf ihren Internetseiten eine Vielfalt von Telemediendiensten bereithält, ist ein solcher Diensteanbieter.

Begriff des automatisierten Verfahrens

Im Rahmen der Datenverarbeitung bei einem E-Campus werden in einer großen Anzahl automatisierte Verfahren zur Verarbeitung von personenbezogenen Daten eingesetzt. Ein automatisiertes Verfahren liegt nämlich immer dann vor, wenn die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten mit Hilfe programmgesteuerter Anlagen erfolgt (vgl. hierzu § 3 Abs. 2 BDSG). Hierunter fällt somit die gesamte Datenverarbeitung durch Computer, so dass hierdurch ein Großteil der an einer E-University anfallenden Datenverarbeitungsvorgänge von diesem Begriff erfasst wird. Der Einsatz eines automatisierten Verfahrens bedarf gem. Art. 26 Abs. 1 S. 1 BayDSG der vorherigen schriftlichen Freigabe. Diese Freigabe erfolgt gem. Art. 26 Abs. 3 BayDSG durch den jeweiligen behördlichen Datenschutzbeauftragten (also im konkreten Fall durch den Beauftragten für den Datenschutz an der Universität Passau). Die datenschutzrechtliche Freigabe hat verschiedene Angaben (z.B. die örtliche und sachliche Zuständigkeit der speichernden Stelle, die Bezeichnung des Verfahrens und die Art der gespeicherten Daten) zu enthalten, die in Art. 26 Abs. 2 BayDSG genannt werden.

Anonymisierung und Pseudonymisierung von Daten

Keine personenbezogenen Daten liegen mehr vor, wenn die Daten zuvor anonymisiert wurden. Für solche Daten gelten keine besonderen datenschutzrechtlichen Anforderungen mehr, so dass sie ohne weitere Einschränkungen im Rahmen einer E-University verwendet werden können. Nach der Definition in Art. 4 Abs. 8 BayDSG bzw. in § 3 Abs. 6 BDSG, auf den das TMG zurückgreift, ist Anonymisieren das derartige Verändern personenbezogener Daten, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Eine Reanonymisierung der Daten muss demnach unter normalen Bedingungen unmöglich sein, was im Wege einer Einzelfallentscheidung nach objektiven Gesichtspunkten beurteilt werden muss (Gola/Schomerus, BDSG , Kommentar, 9. Aufl. 2007, § 3 Rn. 44). In Bezug auf anonyme Daten ist weiterhin von Bedeutung, dass der Begriff der personenbezogenen Daten relativ ist und nicht absolut verwendet werden darf. Dies bedeutet, dass ein eigentlich anonymes Datum für eine Person, die über das erforderliche Zusatzwissen zur Reanonymisierung verfügt, personenbezogen ist, während es sich für Personen, denen dieses Zusatzwissen fehlt, um anonyme Daten handelt Gola/Schomerus, BDSG . Kommentar, 9. Aufl. 2007, § 3 Rn. 44.

Eine Pseudonymisierung von Daten liegt gem. § 3 Abs. 6a BDSG dann vor, wenn der Name und andere Identifikationsmerkmale einer Person durch ein Kennzeichen ersetzt werden zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Zu beachten ist, dass ein Pseudonymisieren oder ein Handeln unter einem Pseudonym nicht zwingend auch Anonymität bedeutet (Gola/Schomerus, BDSG . Kommentar, 9. Aufl. 2007, § 3 Rn. 46). Denn die verantwortliche Stelle verfügt u.U. über eine Referenzdatei, mit der das Pseudonym aufgelöst werden kann.

Ein Beispiel hierfür sind die Matrikelnummern der Studierenden. Mittels der Referenzdatei, die erfasst, welchem Studierenden welche Matrikelnummer zugeteilt wurde, oder bei einer erforderlichen Angabe von Namen und Matrikelnummer, z.B. bei einer Klausuranmeldung, können die Matrikelnummern den betreffenden Personen zugeordnet werden und sind damit bestimmbare Daten. Gegenüber Personen, die nicht über ein solches Zusatzwissen verfügen, stellen sie hingegen pseudonymisierte Daten dar.

Bestandsdaten, Nutzungsdaten, Verkehrsdaten, Abrechnungsdaten und Inhaltsdaten

Bei der Frage, welche personenbezogenen Daten im Einzelfall gespeichert werden dürfen, wird für den Bereich des Telemediendatenschutzes zwischen verschiedenen Gruppen von Daten differenziert, für die verschiedene Vorschriften gelten. Hier gilt es Bestandsdaten, Verkehrsdaten, Nutzungsdaten, Abrechnungsdaten und Inhaltsdaten zu unterscheiden.

Bestandsdaten sind gemäß §§ 14 Abs. 1 TMG, 3 Nr. 3 TKG solche personenbezogenen Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses mit dem Nutzer über die Nutzung der Dienste erforderlich sind. Sie bilden also gleichsam die Grundlage der vertraglichen Beziehung. Solche Bestandsdaten sind einem Nutzer meist auf Dauer zugeordnet, also beispielsweise sein Name, seine Anschrift, E-Mail-Adresse, Telefonnummer, seine Kenn- und Passwörter und die Leistungsmerkmale des verwendeten Nutzersystems (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 5 TDDSG Rn. 3).

Unter Nutzungsdaten werden nach § 15 Abs. 1 S. 1 TMG diejenigen personenbezogenen Daten verstanden, die erforderlich sind, um die Inanspruchnahme von Tele- bzw. Mediendienste zu ermöglichen und abzurechnen. Solche sind nach S. 2 der jeweiligen Vorschrift insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemediendienst. Abrechnungsdaten sind demgegenüber gemäß § 15 Abs. 4 TMG die für die Abrechnung erforderlichen Nutzungsdaten.

Der Begriff der Inhaltsdaten ist gesetzlich nicht definiert. Hiermit werden diejenigen Daten bezeichnet, die zwischen Anbieter und Nutzer ausgetauscht werden, um die durch den Dienst begründeten Leistungs- und Rechtsverhältnisse zu erfüllen (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 6 TDDSG Rn. 2). Es ist umstritten, ob und wie ihre Verwendung datenschutzrechtlich geregelt ist. Es wird sowohl vertreten, dass sie dem TMG (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 6 TDDSG Rn. 18). unterfallen, als auch, dass sie den allgemeinen Datenschutzgesetzen (hier dem BayDSG) zuzurechnen sind (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 7.9 Rn. 37).

Die Bezeichnung Verkehrsdaten wird nur im Telekommunikationsrecht verwendet. Es sind dies Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden (§ 3 Nr. 30 TKG). Hierunter fallen gemäß § 96 Abs. 1 TKG unter anderem die Nummer oder Kennung der beteiligten Anschlüsse, personenbezogene Berechtigungskennungen, die Standortdaten von mobilen Anschlüssen, Beginn und Ende der Verbindung, die übermittelten Datenmengen, die vom Nutzer in Anspruch genommenen Telekommunikations-dienste und die Endpunkte von festgeschalteten Verbindungen.

Großansicht Aktuelle Änderungen Login Historie Druckansicht
Navigation Hauptseite Forum Kategorien Übersicht FAQs User Login Registrieren Sonstiges Rechtlicher Hinweis Datenschutzerklärung Impressum Kontakt TriadSkin powered by	Elrex Datenschutzrecht-Grundlegende Prinzipien Inhaltsverzeichnis (verbergen) Datenschutzrecht Grundlegende Prinzipien des Datenschutzes Wichtige Begriffsdefinitionen Datenschutzrecht Grundlegende Prinzipien des Datenschutzes Unabhängig von der Frage, welche Rechtsgrundlage im Einzelfall einschlägig ist, existieren einige datenschutzrechtliche Grundprinzipien, die in allen Gesetzen niedergelegt sind und die daher auch für sämtliche Datenverarbeitungen im Rahmen eines E-Campus von Bedeutung sind und beachtet werden müssen. Grundsatz des Verbotes mit Erlaubnisvorbehalt Das gesamte deutsche Datenschutzrecht ? basiert auf dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Hierbei handelt es sich um ein grundsätzliches Prinzip des deutschen Datenschutzrechts ?, das in allen einschlägigen Gesetzen niedergelegt ist (z.B. in § 4 Abs. 1 BDSG) und alle datenverarbeitenden Stellen bindet. Dieser Grundsatz wurde vom Bundesverfassungsgericht ? in seinem Volkszählungsurteil geprägt, in dem das Gericht ausgeführt hat, dass jeder Einzelne grundsätzlich selbst über die Preisgabe und über die Verwendung seiner persönlichen Daten bestimmen können muss (BVerfGE 65, 1, 43). Damit ist festgelegt, dass die Erhebung, Speicherung, Verarbeitung und Weitergabe personenbezogener Daten grundsätzlich verboten ist. Nur in zwei Fällen ist die Vornahme solcher Handlungen erlaubt: - Entweder hat der Betroffene hierzu seine Einwilligung erklärt - oder aber das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift beinhalten eine Erlaubnis oder sogar eine Anordnung, personenbezogene Daten zu erheben, zu speichern, zu verarbeiten oder sie weiterzugeben (Vgl. Helfrich, in: Hoeren/Sieber, Loseblattsamml., Stand: Oktober 2007, Multimediarecht, 16.1 Rn. 33, 34). Eine anderweitige freie Verwendung von Daten kann es somit grundsätzlich nicht geben. Dieser Grundsatz ist somit für alle Datenerhebungen- und Verarbeitungen von persönlichen Daten, die im Rahmen einer E-University auftreten können, maßgeblich. Hieraus folgt, dass vor der Durchführung einer solchen Maßnahme entweder die Einwilligung der betroffenen Personen eingeholt werden muss oder aber dass überprüft werden muss, ob für die Maßnahme eine Rechtsvorschrift vorhanden ist, die die entsprechende Maßnahme erlaubt oder sogar vorschreibt. Andernfalls ist die spätere Datenerhebung oder -verarbeitung in jedem Fall rechtswidrig. Erforderlichkeitsgrundsatz Den Grundsätzen im Volkszählungsurteil folgend, müssen alle Stellen, die zur Erfüllung ihrer Aufgaben personenbezogene Daten sammeln (also auch die Universität), sich auf das zum Erreichen des angestrebten Zwecks erforderliche Minimum beschränken. Erforderlich ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich dann, wenn die Daten einerseits geeignet sind, um das Verarbeitungsziel zu erreichen, und sich andererseits das entsprechende Ziel nicht bzw. nicht ohne unverhältnismäßigen Aufwand auf andere Weise, d.h. insbesondere mit keinen oder mit weniger personenbezogenen Daten, erreichen lässt (Schaar, Datenschutz im Internet, 2002, Rn. 129). Angesichts der Schwere des Eingriffs in die Persönlichkeitssphäre des Einzelnen sind hierbei strenge Anforderungen an die Beurteilung der Erforderlichkeit zu stellen. Teilweise wird insoweit von Teilen der Literatur sogar gefordert, dass es der erhebenden Stelle geradezu unmöglich sein muss, ohne die entsprechenden Daten ihren Aufgaben nachzukommen (Sokol, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 13 Rn. 25f.). Dieser Erforderlichkeitsgrundsatz ist zu unterscheiden von der in Teilen der Literatur (etwa bei Gola/Schomerus, BDSG. Kommentar, 9. Aufl. 2007, § 9 Rn. 7) ebenfalls als Grundsatz der Erforderlichkeit titulierten Pflicht der datenverarbeitenden Stellen gem. Art. 7 Abs. 1 BayDSG, alle technisch und organisatorisch notwendigen Maßnahmen zu treffen, um die Ausführung der Regelungen des BDSG zu garantieren. Prinzip der Zweckbindung Ein weiteres grundsätzliches Prinzip des deutschen Datenschutzes ist das Prinzip der Zweckbindung. Dieses bedeutet, dass die Verarbeitung personenbezogener Daten nur insoweit zulässig ist, als die Verarbeitung einem hinreichend bestimmten (Gola/Schomerus, BDSG. Kommentar, 9. Aufl. 2007, § 14 Rn. 9) Zweck dient, der entweder durch die einschlägige Rechtsgrundlage oder aber durch die Einwilligung des Betroffenen vorgegeben ist (Helfrich, in: Hoeren/Sieber, Loseblattsamml., Stand: Oktober 2007, Handbuch Multimediarecht, 16.1 Rn. 80). Dies soll einer anlassunabhängigen Vorratsdatenspeicherung vorbeugen und trägt dem Grundrecht auf informationelle Selbstbestimmung des Betroffenen aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG Rechnung (Wohlgemuth/Gerloff, Datenschutzrecht ?, 3. Aufl. 2005, S. 13). Daneben hat die Zweckbindung zur Folge, dass eine Weitergabe der Daten zwischen einzelnen Behörden ohne spezifische Rechtsgrundlage grundsätzlich unzulässig ist; die öffentliche Verwaltung bildet damit keine übergreifende Informationseinheit (Simitis, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, Einleitung Rn. 36). Auf Bundesebene findet der Grundsatz seine positivgesetzliche Niederlegung primär in § 14 Abs. 1 BDSG. Von diesem Prinzip existieren jedoch Ausnahmen (etwa in § 14 Abs. 2 BDSG), auf die an anderer Stelle noch genauer einzugehen sein wird. Dieser Grundsatz ist z.B. auch in den Art. 17 Abs. 1 Nr. 2, 18 Abs. 1 BayDSG enthalten, die bestimmen, dass erhobene Daten nur zu dem Zweck verarbeitet, genutzt und weitergegeben werden dürfen, für den sie erhoben wurden. Transparenzgrundsatz Damit der Betroffene seine Rechte, die ihm das Datenschutzrecht ? gewährt, auch einsetzen kann, muss er darüber informiert werden, welche Daten über ihn gespeichert sind. Deshalb sind in den Gesetzen, die den Datenschutz regeln, verschiedene Maßnahmen enthalten, die die Transparenz für den Betroffenen herstellen. Hierzu gehören Hinweispflichten über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und Informationspflichten über die Identität der verantwortlichen Stelle (Schaar, Datenschutz im Internet, 2002, Rn. 134), beispielsweise in Art. 10, 16 Abs. 3 BayDSG. Rechte des Betroffenen Bei jeder Datenerhebung oder Datenspeicherung stehen dem Betroffenen verschiedene Rechte zu. Zunächst besteht nach den einschlägigen Gesetzen ein Auskunftsrecht des Betroffenen. Dessen allgemeine Ausprägung ist in Art. 10 BayDSG geregelt. Dieses Auskunftsrecht umfasst unter anderem einen Anspruch auf Informationen über die zu einer Person gespeicherten Daten, den Zweck und die Rechtsgrundlage ihrer Erhebung, Verarbeitung und Nutzung, ihre Herkunft und die Empfänger regelmäßiger Datenübermittlungen. Zudem steht dem Betroffenen das Recht zu, bestimmte Daten berichtigen, löschen oder sperren zu lassen. Dieses Recht ist in Art. 11 und 12 BayDSG geregelt. Danach müssen personenbezogene Daten in den Fällen berichtigt werden, in denen sie unrichtig sind, sie müssen gelöscht werden, wenn ihre Speicherung unzulässig ist oder sie für die Erreichung des Verarbeitungszwecks nicht mehr erforderlich sind, und sie müssen gesperrt werden, wenn unter besonderen Voraussetzungen die Löschung nicht angemessen ist oder wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Wichtige Begriffsdefinitionen Neben diesen Grundprinzipien des deutschen Datenschutzrechtes ? gibt es auch einige zentrale Begriffe, die in allen datenschutzrechtlichen Gesetzen verwendet werden und daher auch für alle Bereiche des Datenschutzes von Bedeutung sind. Begriff der personenbezogenen Daten Datenschutzrechtliche ? Vorschriften sind grundsätzlich nur dann einschlägig, wenn es sich um personenbezogene Daten handelt. Eine Legaldefinition dieses Begriffs ist in Art. 4 Abs. 1 BayDSG enthalten. Danach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem Betroffenen. Diese Definition gilt grundsätzlich für alle einschlägigen Rechtsquellen. Die bereichsspezifische Vorschrift § 11 Abs. 1 TMG greift hierfür auf die gleichlautende Regelung in § 3 Abs. 1 BDSG zurück. Für das Telekommunikationsrecht wird der Schutz in § 91 Abs. 1 S. 2 TKG auf bestimmte juristische Personen ausgeweitet. Unter die Definition der personenbezogenen Daten fallen z.B. Angaben wie der Name der betroffenen Person, ihre Anschrift, ihr Geburtsdatum, ihr Familienstand, ihre Bankverbindung oder ihr Gesundheitszustand (Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 4.1 Rn. 18). Aus dieser Aufzählung wird ersichtlich, dass bei der Nutzung von Daten im Rahmen einer E-University eine Vielzahl von personenbezogenen Daten verarbeitet werden wird. Eine Person wird dann als bestimmt angesehen, wenn die über sie gespeicherten Informationen einen unmittelbaren Rückschluss auf ihre Identität zulassen (Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 4.1 Rn. 20). Für Daten, die im Rahmen eines E-Campus erhoben werden, gilt daher, dass sie nur dann bestimmt sind, wenn sie ohne zusätzliche Operationen einer Person zugeordnet werden können. In diesen Fällen steht damit fest, dass sich die fraglichen Daten auf diese Person, und nicht auf eine andere beziehen (Dammann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Rn. 21). Demgegenüber ist eine Person bestimmbar, wenn sie durch entsprechendes Zusatzwissen zugeordnet werden können. Die Daten lassen dann zwar keine direkte Identifizierung der fraglichen Person zu, ein Personenbezug kann jedoch mit Hilfe weiterer Informationen hergestellt werden (Dammann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Rn. 22). So lassen beispielsweise IP-Adressen keinen direkten Rückschluss auf eine bestimmte Person zu, sie sind also nicht bestimmt. Jedoch wird vielfach von einer Bestimmbarkeit auszugehen sein. Dies ist jedenfalls bei so genannten statischen IP-Adressen anzunehmen. Aber auch bei dynamischen IP-Adressen ist die Verbindung zur betroffenen Person so eng, dass mit Hilfe von Zusatzwissen die Verbindung zu einer bestimmten Person in bestimmten Fallkonstellationen hergestellt werden kann (Tinnefeld, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 4.1 Rn. 21). Daher ist das LG Berlin auch bei dynamischen IP-Adressen von einem Personenbezug ausgegangen (LG Berlin, Urt. v. 06.09.2007 23 S 3/07). Zusammenfassend lässt sich sagen, dass alle Informationen, die über die betreffende Bezugsperson etwas aussagen, durch die Datenschutzgesetze geschützt werden (Dammann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 3 Rn. 7). Dies gilt unabhängig davon, als wie privat die fraglichen Daten im Einzelfall einzustufen sind. Bagatelldaten, die zwar einen Personenbezug aufweisen, jedoch nicht schützenswert sind, existieren nach dem deutschen Datenschutzrecht ? nicht. Begriff des Diensteanbieters Der Begriff des Diensteanbieters ist von zentraler Bedeutung für die bereichsspezifischen Datenschutzvorschriften des TMG. Hierunter wird gemäß § 2 Nr. 1 TMG jede natürliche oder juristische Person verstanden, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Unerheblich ist dabei welchem Zweck die bezeichneten Tätigkeiten dienen, bzw. in welcher Organisation oder Art ihre Wahrnehmung erfolgt (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 2: § 2 TMG Begriffsbestimmungen, Rn. 5). Dabei will die Vorschrift möglichst alle in diesem Bereich verantwortlich Handelnden erfassen (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 2: § 2 TMG Begriffsbestimmungen, Rn. 5; Spindler, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 3 TDDSG Rn. 5). Auch die Universität Passau, die auf ihren Internetseiten eine Vielfalt von Telemediendiensten bereithält, ist ein solcher Diensteanbieter. Begriff des automatisierten Verfahrens Im Rahmen der Datenverarbeitung bei einem E-Campus werden in einer großen Anzahl automatisierte Verfahren zur Verarbeitung von personenbezogenen Daten eingesetzt. Ein automatisiertes Verfahren liegt nämlich immer dann vor, wenn die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten mit Hilfe programmgesteuerter Anlagen erfolgt (vgl. hierzu § 3 Abs. 2 BDSG). Hierunter fällt somit die gesamte Datenverarbeitung durch Computer, so dass hierdurch ein Großteil der an einer E-University anfallenden Datenverarbeitungsvorgänge von diesem Begriff erfasst wird. Der Einsatz eines automatisierten Verfahrens bedarf gem. Art. 26 Abs. 1 S. 1 BayDSG der vorherigen schriftlichen Freigabe. Diese Freigabe erfolgt gem. Art. 26 Abs. 3 BayDSG durch den jeweiligen behördlichen Datenschutzbeauftragten (also im konkreten Fall durch den Beauftragten für den Datenschutz an der Universität Passau). Die datenschutzrechtliche Freigabe hat verschiedene Angaben (z.B. die örtliche und sachliche Zuständigkeit der speichernden Stelle, die Bezeichnung des Verfahrens und die Art der gespeicherten Daten) zu enthalten, die in Art. 26 Abs. 2 BayDSG genannt werden. Anonymisierung und Pseudonymisierung von Daten Keine personenbezogenen Daten liegen mehr vor, wenn die Daten zuvor anonymisiert wurden. Für solche Daten gelten keine besonderen datenschutzrechtlichen Anforderungen mehr, so dass sie ohne weitere Einschränkungen im Rahmen einer E-University verwendet werden können. Nach der Definition in Art. 4 Abs. 8 BayDSG bzw. in § 3 Abs. 6 BDSG, auf den das TMG zurückgreift, ist Anonymisieren das derartige Verändern personenbezogener Daten, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Eine Reanonymisierung der Daten muss demnach unter normalen Bedingungen unmöglich sein, was im Wege einer Einzelfallentscheidung nach objektiven Gesichtspunkten beurteilt werden muss (Gola/Schomerus, BDSG , Kommentar, 9. Aufl. 2007, § 3 Rn. 44). In Bezug auf anonyme Daten ist weiterhin von Bedeutung, dass der Begriff der personenbezogenen Daten relativ ist und nicht absolut verwendet werden darf. Dies bedeutet, dass ein eigentlich anonymes Datum für eine Person, die über das erforderliche Zusatzwissen zur Reanonymisierung verfügt, personenbezogen ist, während es sich für Personen, denen dieses Zusatzwissen fehlt, um anonyme Daten handelt Gola/Schomerus, BDSG . Kommentar, 9. Aufl. 2007, § 3 Rn. 44. Eine Pseudonymisierung von Daten liegt gem. § 3 Abs. 6a BDSG dann vor, wenn der Name und andere Identifikationsmerkmale einer Person durch ein Kennzeichen ersetzt werden zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Zu beachten ist, dass ein Pseudonymisieren oder ein Handeln unter einem Pseudonym nicht zwingend auch Anonymität bedeutet (Gola/Schomerus, BDSG . Kommentar, 9. Aufl. 2007, § 3 Rn. 46). Denn die verantwortliche Stelle verfügt u.U. über eine Referenzdatei, mit der das Pseudonym aufgelöst werden kann. Ein Beispiel hierfür sind die Matrikelnummern der Studierenden. Mittels der Referenzdatei, die erfasst, welchem Studierenden welche Matrikelnummer zugeteilt wurde, oder bei einer erforderlichen Angabe von Namen und Matrikelnummer, z.B. bei einer Klausuranmeldung, können die Matrikelnummern den betreffenden Personen zugeordnet werden und sind damit bestimmbare Daten. Gegenüber Personen, die nicht über ein solches Zusatzwissen verfügen, stellen sie hingegen pseudonymisierte Daten dar. Bestandsdaten, Nutzungsdaten, Verkehrsdaten, Abrechnungsdaten und Inhaltsdaten Bei der Frage, welche personenbezogenen Daten im Einzelfall gespeichert werden dürfen, wird für den Bereich des Telemediendatenschutzes zwischen verschiedenen Gruppen von Daten differenziert, für die verschiedene Vorschriften gelten. Hier gilt es Bestandsdaten, Verkehrsdaten, Nutzungsdaten, Abrechnungsdaten und Inhaltsdaten zu unterscheiden. Bestandsdaten sind gemäß §§ 14 Abs. 1 TMG, 3 Nr. 3 TKG solche personenbezogenen Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses mit dem Nutzer über die Nutzung der Dienste erforderlich sind. Sie bilden also gleichsam die Grundlage der vertraglichen Beziehung. Solche Bestandsdaten sind einem Nutzer meist auf Dauer zugeordnet, also beispielsweise sein Name, seine Anschrift, E-Mail-Adresse, Telefonnummer, seine Kenn- und Passwörter und die Leistungsmerkmale des verwendeten Nutzersystems (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 5 TDDSG Rn. 3). Unter Nutzungsdaten werden nach § 15 Abs. 1 S. 1 TMG diejenigen personenbezogenen Daten verstanden, die erforderlich sind, um die Inanspruchnahme von Tele- bzw. Mediendienste zu ermöglichen und abzurechnen. Solche sind nach S. 2 der jeweiligen Vorschrift insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemediendienst. Abrechnungsdaten sind demgegenüber gemäß § 15 Abs. 4 TMG die für die Abrechnung erforderlichen Nutzungsdaten. Der Begriff der Inhaltsdaten ist gesetzlich nicht definiert. Hiermit werden diejenigen Daten bezeichnet, die zwischen Anbieter und Nutzer ausgetauscht werden, um die durch den Dienst begründeten Leistungs- und Rechtsverhältnisse zu erfüllen (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 6 TDDSG Rn. 2). Es ist umstritten, ob und wie ihre Verwendung datenschutzrechtlich geregelt ist. Es wird sowohl vertreten, dass sie dem TMG (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 6 TDDSG Rn. 18). unterfallen, als auch, dass sie den allgemeinen Datenschutzgesetzen (hier dem BayDSG) zuzurechnen sind (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 7.9 Rn. 37). Die Bezeichnung Verkehrsdaten wird nur im Telekommunikationsrecht verwendet. Es sind dies Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden (§ 3 Nr. 30 TKG). Hierunter fallen gemäß § 96 Abs. 1 TKG unter anderem die Nummer oder Kennung der beteiligten Anschlüsse, personenbezogene Berechtigungskennungen, die Standortdaten von mobilen Anschlüssen, Beginn und Ende der Verbindung, die übermittelten Datenmengen, die vom Nutzer in Anspruch genommenen Telekommunikations-dienste und die Endpunkte von festgeschalteten Verbindungen. Quelltext anzeigen Inhalt der Gruppe Zuletzt geändert am 17.07.2007 11:45 Uhr von Admin Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.	Die Suche in eLRex ist jetzt noch einfacher gestaltet und zeigt Ergebnisse zu Schlagwörtern direkt an. Hier können Sie sich das Video zur einfachen Suche mit eLRex ansehen.

Datenschutzrecht-Grundlegende Prinzipien

Datenschutzrecht

Grundlegende Prinzipien des Datenschutzes

Wichtige Begriffsdefinitionen