BDSG a.F. Kommentare und Erläuterungen
§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke
Absatz 1 Text
(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,
- wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
- soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt oder
- wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.
Allgemeines
§ 28 ist unter den Vorschriften des BDSG, die den Umgang mit personenbezogenen Daten erlauben, diejenige mit dem größten Anwendungsbereich und der größten Tragweite. Während die rechtliche Fundamentalnorm des § 4 Abs. 1 den Umgang mit personenbezogenen Daten grundsätzlich verbietet, gibt § 28 den verantwortlichen Stellen einen ganz erheblichen Spielraum zurück, so dass die praktischen Notwendigkeiten des Geschäftslebens und anderer privat-rechtlicher Aktivitäten im nicht-öffentlichen Bereich weitgehend abgedeckt sind. Die Kritik, das im BDSG gewählte "Verbot mit Erlaubnisvorbehalt" widerspreche einer freiheitlichen Rechtsordnung, ist deshalb materiell nicht überzeugend.
Einschränkungen des Anwendungsbereichs
Der Anwendungsbereich des § 28 ist enorm breit, hat aber gleichwohl wichtige Einschränkungen. § 28 erfasst nicht
- öffentliche Stellen, mit den Rückausnahmen
- Wettbewerbsunternehmen in der Form öffentlicher Stellen des Bundes § 27 Abs. 1 Satz 2 Nr. a
- Beschäftigungsverhältnisse (§ 12 Abs. 4, allerdings neben § 32 nur am Rande
- einen weder automatisierten noch dateigebundenen Umgang mit personenbezogenen Daten mit der sehr weitreichenden Rückausnahme für
- Daten, die offensichtlich aus einer automatisierten Verarbeitung entnommen sind (§ 27 Abs. 2)
- einen Datenumgang für ausschließlich persönliche oder familiäre Tätigkeiten (§ 27 Abs. 1 Satz 2)
- geschäftsmäßige Erhebung und Speicherung zum Zwecke der Übermittlung (hier gilt stattdessen § 29)
- geschäftsmäßige Erhebung und Speicherung zum Zwecke der Übermittlung in anomymisierter Form (hier gilt stattdessen § 30)
- Datenumgang für Zwecke des Beschäftigungsverhältnisses (hier gilt stattdessen § 32)
- Datenumgang, für den der Datenschutz bereichsspezifisch geregelt ist, wie etwa durch
- das Telekommunikationsrecht (TKG, TMG)
- das Außenwirtschaftsrecht
- das Handelsrecht
- das Berufsrecht, etwa der
- Ärzte
- Rechtsanwälte
- Notare und
- Wirtschaftsprüfer
- das Steuerrecht und das Sozialrecht (besonders in Bezug auf Arbeitnehmer)
Aufbau der Vorschrift
Die sehr umfangreich geratene Vorschrift des § 28 hat folgenden Aufbau:
- Abs. 1 Zulässigkeit des Datenumgangs für den primären Zweck (Satz 1) und Pflicht zu dessen Festlegung (Satz 2)
- Abs. 2 Übermittlung und Nutzung für andere Zwecke
- Abs. 3 Verarbeitung und Nutzung für Zwecke der Werbung
- Abs. 3a Form der Einwilligung
- Abs. 3b Verbot der Koppelung von Einwilligung und Vertragsabschluss
- Abs. 4 Widerspruchsrecht bei Werbung und Markt- und Meinungsforschung
- Abs. 5 Zweckbindung beim Übermittlungsempfänger
- Abs. 6 bis 9 Umgang mit besonderen Daten nach § 3 Abs. 9.
Mittel für eigene Geschäftszwecke
§ 28 gilt nur für den Datenumgang "als Mittel für die Erfüllung eigener Geschäftszwecke" (Abs. 1 Satz 1). Der Sinn erschließt sich aus der Gegenüberstellung mit den §§ 29 und 30. Dort liegt der Geschäftszweck darin, den Informationsgehalt der personenbezogenen Daten den Kunden der verantwortlichen Stelle zugänglich zu machen (das Gesetz spricht von Übermitteln), während sie selbst für ihre Zwecke den Informationsgehalt nicht nutzt. Die Veräußerung von (dazu mehr oder weniger aufbereitetem) Informationsmaterial an Dritte ist der wesentliche Geschäftszweck. Bei der Erhebung, Verarbeitung und Nutzung als Mittel für eigene Geschäftszwecke bestehen diese nicht im Umgang mit Daten, sondern sind nicht-informatorischer, materieller Natur, wie etwa
- Produktion von Waren
- Handel mit Waren
- Erbringung von Dienstleistungen (die nicht in der Lieferung oder Aufbereitung personenbezogener Daten bestehen), wie etwa Finanzdienstleistungen, Beratungen, Vermietungen oder logistische Dienste
- Beschäftigung von Mitarbeitern.
Der Umgang mit personenbezogenen Daten ist hier kein eigener Zweck, sondern nur Vehikel, um die eigentlichen Geschäftszwecke verfolgen zu können. Der Umgang mit personenbezogenen Daten hat akzessorischen Charakter.
Welche Zwecke eine verantwortliche Stelle als "eigene Zwecke" verfolgen möchte, ist ihr selbst überlassen; das BDSG schränkt die Wahl der Geschäftszwecke nicht ein.
Ob § 28, § 29 oder § 30 anzuwenden ist, richtet sich nicht nach der (überwiegenden) Ausrichtung der verantwortlichen Stelle, sondern nach dem jeweiligen Verwendungszweck. Auch wenn der Geschäftszweck einer Stelle in der Verarbeitung für fremde Zwecke im Sinne der §§ 29 und 30 liegt, wie etwa bei einer Kreditauskunftei oder einem Marktforschungsunternehmen, handelt es sich bei der Verarbeitung von Personal- oder Kundendaten um Datenumgang für eigene Zwecke, auf die folgerichtig § 28 anzuwenden ist.
Ebenso ist es möglich, dass personenbezogene Daten zunächst eigenen Zwecken dienen, dann aber auch für fremde Zwecke im Sinne der §§ 29 und 30 verwendet werden sollen. Auch die umgekehrte Reihenfolge ist denkbar. In solchen Fällen ist die Zulässigkeit der Zweckänderung nach den Vorschriften zu beurteilen, die für die bisherige Verwendung maßgeblich sind. Nach einer (zulässigen) Zweckänderung ist der neue Zweck maßgeblich. Werden beide Zwecke parallel weiterverfolgt, so ist die Datenorganisation ist so zu gestalten, dass die unterschiedlichen datenschutzrechtlichen Anforderungen (etwa hinsichtlich der Verfahrensübersicht nach § 4g Abs. 2 und Zweckbestimmung und -bindung nach § 28 Abs. 1 Satz 2, § 28 Abs. 2, § 29 Abs. 1 Satz 2, § 30a Abs. 2) erfüllbar sind. Dies wird in der Regel eine völlige Trennung der Verfahren erfordern.
Beispiele
- Für ärztliche Verrechungsstellen gilt § 28, wenn sie Ansprüche im eigenen Namen geltend machen, jedoch die Vorschrift zur Auftragsdatenverarbeitung § 11, wenn sie im Namen der Ärzte handeln.
- Handelsauskunfteien unterliegen generell dem § 29, doch gilt § 28 wenn sie als Inkassobüros auftreten.
- Warenhäuser haben auf ihre Kundendaten nach § 28 anzuwenden, doch gilt § 29, wenn sie Adressdaten mittels „Listbroking“ anderen Unternehmen zur Verfügung stellen.
- Partnervermittlungen müssen, wenn sie beratend tätig sind § 28 beachten, anderenfalls § 29.
§ 28 und § 30 setzen ein geschäftsmäßiges Handeln voraus. Eine nur gelegentliche Verwendung von Daten für fremde Zwecke, die nicht den Charakter des Geschäftsmäßigen erreicht, ändert daher nichts an der alleinigen Anwendbarkeit des § 28.
Besonderheiten bei der Erhebung
Wann eine Erhebung vorliegt, ist im Kommentar zu § 3 Abs.3 ersichtlich.
Zweckorientierung
Daten dürfen nur für von der verantwortlichen Stelle bestimmte Zwecke erhoben werden. Deshalb kann eine Erhebung rechtmäßig erst erfolgen, nachdem der Zweck entsprechend Abs. 1 Satz 2 konkret festgelegt wurde. Die gesetzliche Formulierung "bei der Erhebung" ist entsprechend diesem logischen Zusammenhang im Sinne von "vor der Erhebung, spätestens im gleichen Zuge und so, dass der Umfang der Erhebung sich daran orientieren kann," zu verstehen. Der selbst gesetzte Zweck ist die Legitimationsgrundlage der Erhebung und daher für ihre Zulässigkeit ein verbindlicher Maßstab. Fehlt es an der Festlegung eines Zweckes oder ist dieser so allgemein bestimmt, dass er keinen konkreten Zweck umschreibt, so ist die Erhebung schon deshalb unzulässig.
Das Gesetz schließt nicht kategorisch aus, dass Daten gleichzeitig für mehr als einen Zweck erhoben werden. Es lässt - in begrenztem Umfang - auch eine Nutzung oder Übermittlung für andere Zwecke als den Erhebungszweck zu § 28 Abs. 2, Abs. 3 und Abs. 8. Diese gesetzlich eröffneten Zwecke dürfen aber nicht in die Zweckfestsetzung nach Abs. 1 Satz 2 einbezogen werden. Diese muss sich vielmehr an den aktuell tatsächlich verfolgten Zwecken orientieren.
Der für die Erhebung festgelegte Zweck muss mit der "Zweckbestimmung der Erhebung" inhaltlich übereinstimmen, über den Betroffene bei der Erhebung nach § 4 Abs. 3 Satz 1 Nr. 2 zu unterrichten sind.
Form der Zweckfestlegung
Das Gesetz verlangt für die Zweckfestlegung keine spezielle Form. Die Festlegungen müssen aber inhaltlich in die Verfahrensübersicht nach § 4g Abs. 2 eingehen. Sie müssen darüber hinaus für die Aufsichtsbehörde prüfbar sein. Eine ordnungsgemäße Dokumentation, die auch das Datum, etwaige spätere Fortschreibungen und die verantwortliche Person erkennen lässt, ist daher unerlässlich.
Weitere Anforderungen
Neben den Anforderungen, die § 28 Abs. 1 an die Zulässigkeit der Erhebung stellt, ist die Verpflichtung nach § 4 Abs. 1 Satz 1 zu beachten, Daten beim Betroffenen (und nicht bei Dritten) zu erheben, soweit dort nicht eine Ausnahme zugelassen ist. Bei der Erhebung ist der Betroffene über bestimmte datenschutzrelevante Begleitumstände der Erhebung zu unterrichten § 4 Abs. 3.
Die Erhebung darf ihrem Umfang nach auch nicht den Grundsätzen der Datenvermeidung und Datensparsamkeit (vgl. auch Kommentar § 3a) zuwiderlaufen.
Beispiel
Bei „Selbstauskünften“ von Mietbewerbern muss die Erhebung an der spezifischen Situation des Mieters orientiert sein. Es kann nicht verlangt werden, dass der Bewerber seine persönlichen Lebensverhältnisse vollständig offen legt.
Zulässigkeitstatbestände für Erhebung, Verarbeitung und Nutzung (Abs. 1 Satz 1)
Die
- Erhebung (§ 3 Abs. 3),
- Verarbeitung mit den Unterfällen
- Speicherung (§ 3 Abs. 4 Nr. 1)
- Veränderung (§ 3 Abs. 4 Nr. 2)
- Übermittlung (§ 3 Abs. 4 Nr. 3) und
- Nutzung (§ 3 Abs. 4 Nr. 5)
personenbezogener Daten für eigene Geschäftszwecke ist zulässig, sofern eine der drei in § 28 Abs. 1 Satz 1 genannten Bedingungen erfüllt ist:
- sie ist erforderlich, um ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis mit dem Betroffenen zu begründen, durchzuführen oder zu beenden (Nr. 1)
- sie dient berechtigten Interessen der verantwortlichen Stelle und es besteht kein Grund zur Annahme, dass gegen vorrangige Belange der Betroffenen verstoßen wird (Nr. 2) oder
- sie hat Daten zum Gegenstand, die allgemein zugänglich sind, oder von der verantwortlichen Stelle veröffentlicht werden dürfen, sofern nicht „offensichtlich“ überwiegende schutzwürdige Interessen der Betroffenen gegen eine Verwendung sprechen (Nr. 3).
Diese Erlaubnisvorschriften stehen der verantwortlichen Stelle gleichermaßen zur Verfügung. Eine Rangordnung, etwa im Sinne einer Subsidiarität, ist nicht zu beachten. Sie können für ein Verfahren oder einen Geschäftsablauf auch in Kombination herangezogen werden. Eine Einwilligung des Betroffenen oder das Bestehen eines Vertrags mit ihm kann allerdings den Umfang zulässiger Erhebung begrenzen und insofern die Möglichkeit beschränken, daneben noch auf "berechtigte Interessen" zurück zu greifen.
Rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis (Nr. 1)
Der Begriff Schuldverhältnis oder rechtsgeschäftsähnliches Schuldverhältnis umfasst
- Vertragsverhältnisse bzw. Verträge
- vorvertragliche (Anbahnungs-) und nachvertragliche (Abwicklungs-) Verhältnisse (oder "Vertrauensverhältnisse")
- Abwicklungsverhältnisse bei nichtigem Vertrag
- Mitgliedschaft in Vereinen oder Genossenschaften
- Geschäftsführung ohne Auftrag
- Gefälligkeitsverhältnisse
Welcher Datenumgang jeweils für die Begründung, Durchführung oder Beendigung erforderlich ist, richtet sich sowohl nach dem Typ des Schuldverhältnisses, als auch nach Vereinbarungen und Umständen des Einzelfalls. In jedem Fall muss ein klarer Sachzusammenhang zwischen dem beabsichtigten Datenumgang und dem konkreten Zweck des rechtsgeschäftlichen Schuldverhältnisses bestehen. Dieser Zweck ergibt sich entweder aus den Vereinbarungen der Beteiligten oder dem Charakter des Schuldverhältnisses.
Keine Rolle spielen einseitige (nicht verabredete) Absichten oder Motive der verantwortlichen Stelle, wie etwa
- die Absicht, zunächst kleinere Geschäfte abzuschließen, um den Vertragspartner zu testen
- die Strategie, sich über den Geschäftspartner Möglichkeiten zur Akquisition bei weiteren Kreisen zu erlangen
- die Absicht, dem Partner durch genauere Kenntnis seiner Verhältnisse gezielt weitere Waren oder Dienste anbieten zu können
- über den Vertrag hinausgehende Regelungen in Allgemeinen Geschäftsbedingungen
- weitergehende Anforderungen zwecks "vollständiger Dokumentation" oder um eingesetzte Software nach deren Anforderungen "richtig" einsetzen zu können.
Der zulässige Datenumgang folgt jeweils aus dem einzelnen Vertrag, auch wenn mit einem Betroffenen Verträge unterschiedlicher Natur bestehen. Die Nutzung von Daten des einen Vertrags zu Zwecken eines andersartigen weiteren Vertrages kommt nur in Betracht, wenn die Verträge miteinander verknüpft sind und die jeweiligen Vertragszwecke es rechtfertigen. Hat etwa ein Bankangestellter sein Konto bei seinem Arbeitgeber oder beziehen Verkäufer Waren von ihrem Arbeitgeber, ohne dass beide Beziehungen vertraglich verknüpft sind, so ist eine vertragsübergreifende Verwendung der Daten nur unter besonderen Umständen erlaubt.
Zu den erforderlichen Daten könne auch Daten Dritter gehören, so etwa
- Angaben über (mit-)versicherte Personen
- Angaben über Leistungsempfänger oder anspruchsberechtigte Dritte
- Angaben über Kontoinhaber bei Zahlungsvorgängen (Empfänger, Lastschriftempfänger)
- Angaben über Geschehensbeteiligte bei der Meldung von Schadensfällen an eine Versicherung
- Angaben über das familiäre Umfeld bei der ärztlichen Behandlung
- Angaben über Kunden, Geschäftspartner und andere Dritte, die einem Rechtsanwalt, Steuerberater oder einem vergleichbaren Dienstleister als notwendige Voraussetzung für die Erbringung seiner Dienste übergeben werden
Die verantwortliche Stelle benötigt für den Umgang mit Daten solcher in einen Vertrag einbezogenen Personen nicht deren Einwilligung; dem Gesetz genügt das Schuldverhältnis als Grundlage der Zulässigkeit.
Beispiele
- Die Erhebung, Speicherung und ggf. die Aktualisierung von Daten zur Kreditwürdigkeit eines Geschäftspartners ist durch das Schuldverhältnis nur im Umfang abgedeckt, wie es im konkreten Fall zu seiner Aufnahme und Abwicklung erforderlich ist. Eine weitergehende Einholung oder Erteilung von Auskünften zur Bonität kann allenfalls auf der Grundlage berechtigter Interessen (Nr. 2) oder, wenn diese nicht überwiegen, einer Einwilligung nach § 4 Abs. 1 erfolgen. Dies gilt insbesondere für Meldungen an die Schufa, auch wenn sie (implizit) in der Form von Anfragen erfolgen.
- Die mit einem Versicherungsvertrag verbundene Übernahme von Risiken erlaubt dem Versicherer, gefahrenrelevante Umstände im Rahmen der Vertragsvorbereitung zu ermitteln; dabei muss dieser sich aber beim Datenumfang strikt an dem jeweiligen Versicherungstypus und seiner konkreten Ausgestaltung orientieren.
- Die Übermittlung von Daten an einen Rückversicherer liegt außerhalb des Vertragszwecks, wird jedoch regelmäßig im berechtigten Interesse des Versicherers im Sinne der Nr. 2 liegen.
Bei Anbahnungs- und Abwicklungsverhältnissen ist deren zeitliche Begrenzung zu beachten. Sind Vertragsverhandlungen endgültig gescheitert, so ist das Schuldverhältnis beendet. Eine weitere Aufbewahrung auf der Basis berechtigter Interessen kann aber im Hinblick auf mögliche rechtliche Auseinandersetzungen noch fortbestehen, etwa solange noch Ersatzansprüche wegen Diskriminierung erhoben werden könnten. Die Aussicht, später erneut zu verhandeln, reicht nicht aus, um eine Weiterverwendung der Angaben zu rechtfertigen.
→ § 28 BDSG a.F. Kommentar Absatz 1 Teil 1
→ § 28 BDSG a.F. Kommentar Absatz 1 Teil 2
→ § 28 BDSG a.F. Kommentar Absatz 1 Teil 3
Online-Kommentare
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.