BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

§ 4d Meldepflicht

§ 4d Absatz 1 bis 4 Text

(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.



(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat.

(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit den Betroffenen erforderlich ist.

(4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle
  1. zum Zweck der Übermittlung,
  2. zum Zweck der anonymisierten Übermittlung oder
  3. für Zwecke der Markt- oder Meinungsforschung

gespeichert werden.

Allgemeines

In § 4d werden die verbindlichen Regelungen der „Pflicht zur Meldung bei der Kontrollstelle“ (Art. 18) und der „Vorabkontrolle“ (Art. 20) der EU-Datenschutzrichtlinie umgesetzt. Die Meldepflicht erfüllt damit einerseits die Forderung nach einer Vorabkontrolle durch den Datenschutzbeauftragten (Abs.5) und dient andererseits der Aufgabenerfüllung der Aufsichtsbehörden gem. § 38 BDSG. Mit beiden Aufgabenbereichen verbunden ist die Führung der Verfahrensübersicht (§ 4g Abs. 2 und § 38 Abs. 2), deren maßgeblicher Inhalt nach § 4e sich jedoch nicht wesentlich unterscheidet.


Durch die Übertragung der Kontrolle auf den Datenschutzbeauftragten der verantwortlichen Stelle besteht die Meldepflicht für nicht-öffentliche Stellen, die keinen Datenschutzbeauftragten bestellt haben und unter die Bestimmungen aus Abs. 3 fallen geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung, der Übermittlung in anonymisierter Form oder der Markt- und Meinungsforschung speichern.

Mit der Meldeverpflichtung von Datenverarbeitern, deren Verwendung von Daten nicht dem eigenen inhaltlichen Interesse entspricht (z.B. Auskunfteien), berücksichtigt der Gesetzgeber mithin ein erhöhtes Gefährdungspotential für das Recht auf informationelle Selbstbestimmung.


Verfahren automatisierter Verarbeitungen

In der EU-Datenschutzrichtlinie Art. 18 Abs. 1 wird das Verfahren als

„eine vollständig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen“

bestimmt. Mit § 4d BDSG wurde die Definition „Verfahren automatisierter Verarbeitungen“ in nationales Recht übernommen. Entscheidendes Merkmal des Verfahrens ist demnach die gemeinsame Zweckbestimmung (sich wiederholender) einzelner Verarbeitungsschritte. Unterliegen die Verarbeitungsschritte oder Einzelverfahren in ihrem Ablauf - Erhebung, Speicherung, Nutzung, Löschung - demselben konkreten Zweck, entfällt die Meldepflicht für die einzelnen Verarbeitungen und die Meldung des „Verfahrens“ wird i.S. des § 4d als ausreichend angesehen. Finden dagegen von der Abfolge herausgelöste Verarbeitungen statt, besteht aus der Sicht auf die verfolgten Schutzziele die Meldepflicht auch für das einzelne Verfahren.

Beispiele für Verfahren automatisierter Verarbeitungen

  • Verwaltung von Mitglieder- oder Personalvertretungen
  • Telefondatenerfassung
  • Videoüberwachung
  • Kunden- und Lieferantenverwaltung (z.B. Online-Shop-Bestellungen)*
  • Kreditverwaltung eines Kreditinstitutes


Meldepflichtige Stellen

Abs. 1 legt die grundsätzliche Meldepflicht für die „Verfahren automatisierter Verarbeitungen“ aller verantwortlichen Stellen im nicht-öffentlichen und öffentlichen Bereich fest und bezieht damit auch die Stellen ein, die i.S. des § 39 „einem Berufs- oder besonderen Amtsgeheimnis unterliegen“ (z.B. Ärzte, Beratungsstellen, Rechtsanwälte). Verantwortliche Stellen, die öffentliche Aufgaben erledigen, unterliegen außerdem der Meldepflicht des jeweiligen Landesrechtes.

Die Meldepflicht für nicht-öffentliche Stellen besteht regelmäßig, wenn personenbezogene Daten nach § 29 bis § 30a verarbeitet werden. Gleichermaßen sind Unternehmen meldepflichtig, die keinen Datenschutzbeauftragten bestellt haben und deren Datenverarbeitung nicht auf der Einwilligung der Betroffenen beruht und nicht durch § 28 Abs. 1 Nr. 1 gerechtfertigt ist, sobald personenbezogene Daten im Eigeninteresse verarbeitet werden (z.B. kleine Gewerbeunternehmen oder Kleinunternehmen wie Apotheker, Architekten, Optiker).

Ausschlaggebend für die Meldepflicht ist allein die ständige Beschäftigung der Personen mit der Datenverarbeitung; die Art des Beschäftigungsverhältnisses spielt dabei keine Rolle, ebenso wenig eine nur gelegentliche, jedoch über einen längeren Zeitraum stattfindende Tätigkeit.


Eine Meldepflicht für nicht-öffentliche Stellen besteht, wenn

  • die verantwortliche Stelle personenbezogene Daten für eigene Geschäftszwecke verwendet und somit als Datenverarbeiter nach § 28 tätig wird - jedoch bestimmen Abs. 2 und Abs. 3 Ausnahmen von der Meldepflicht (siehe unten).

  • die verantwortliche Stelle personenbezogene Daten zum Zwecke der Übermittlung oder zum Zwecke der anonymisierten Übermittlung speichert (§ 29 bis § 30a). In diesen Fällen unterliegt die Stelle durch die Regelung in Abs. 4 ausnahmslos der Meldepflicht. Davon erfasst werden folglich nach Abs. 4 Nr. 1 bis 3
    • Unternehmen wie Auskunfteien, Kreditschutzorganisationen, Warn- und Informationsdienste, die nach § 29 geschäftsmäßig Daten „zum Zweck Übermittlung“ erheben und speichern,
    • Unternehmen, die gem. § 30 geschäftsmäßig personenbezogene Daten „zum Zweck der Übermittlung in anonymisierter Form“ erheben und speichern oder
    • Unternehmen, insbesondere Markt- und Meinungsforschungsinstitute, die geschäftsmäßig Daten gem. § 30a erheben und speichern.


Für die Erfüllung der Meldepflicht persönlich verantwortlich sind entsprechend der in § 43 Abs. 1 Nr. 1 geregelten Ordnungswidrigkeit Inhaber, Vorstände, Geschäftsführer oder „sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter“ (§ 4e Abs. 1 Nr. 2) der verantwortlichen Stelle.

Meldung vor Inbetriebnahme

Die vorab zu prüfende Zulässigkeit der Verfahren erfordert die Meldung „vor ihrer Inbetriebnahme“, gleichermaßen eine Veränderung oder Beendigung bereits implementierter Verfahren (§ 4e Satz 2).

Das BDSG schreibt keine verbindliche Form der Meldung vor. Im Allgemeinen hat sich die Schriftform (Formular) oder auch die Übersendung eines Datenträgers bewährt. Näheres (siehe auch Merkblatt zur Meldepflicht) sollte mit der zuständigen Aufsichtsbehörde geklärt werden.


Nicht meldepflichtige Stellen

Keine Meldepflicht besteht

  • für nicht-öffentliche Stellen, die einen betrieblichen Datenschutzbeauftragten nach § 4f Abs. 1 bestellt hat (Abs. 2)
  • wenn bei der die verantwortliche Stelle weniger als zehn Personen ständig mit der Verwendung personenbezogener Daten beschäftigt sind (Abs. 3). Voraussetzung für diese Ausnahme ist die Einwilligung der Betroffenen oder die automatisierte Datenverarbeitung zur Vertragserfüllung.
    Ebenso entfällt die Meldepflicht für nicht-öffentliche Stellen, deren Mitarbeiteranzahl zwar unter der geforderten Mindestanzahl liegt, die jedoch durch die Verarbeitung von Daten nach § 3 Abs. 9 einer Vorabkontrolle verpflichtet sind (Abs. 5) und einen Datenschutzbeauftragten nach § 4f Abs. 1 Satz 6 bestellen müssen. Der Grundsatz der Meldepflicht bei der Verwendung personenbezogener Daten durch mehr als neun Personen bleibt davon unberührt.
  • für Auftragsdatenverarbeiter oder andere Stellen, die i.S.d. § 11 nicht für die Verarbeitung personenbezogener Daten verantwortlich, mithin als Verarbeiter fremder Geschäftszwecke zu beurteilen sind.
    Dazu zählen beispielsweise
    • Service-Rechenzentren
    • privat-ärztliche Verrechnungsstellen
    • einem Konzern angehörende Unternehmen, die für andere Gesellschaften des Konzerns Aufgaben der Datenverarbeitung erledigen
    • Datenträgervernichter oder -entsorger
    • Mikroverfilmer oder -konvertierer
    Die Befreiung von der Meldepflicht gilt jedoch nur im Rahmen der Auftragsdatenverarbeitung; eine eigenverantwortliche automatisierte Verarbeitung ist davon nicht erfasst.
  • für öffentliche Stellen des Bundes, da sie nach § 4f Abs. 1 Satz 1 grundsätzlich zur Bestellung eines behördlichen Datenschutzbeauftragten verpflichtet sind.


Zuständige Aufsichtsbehörde

Abs. 1 benennt zwei Stellen, an die eine Meldung zu erfolgen hat:

Für nicht-öffentliche Stellen besteht die Meldepflicht an die zuständige Aufsichtsbehörde im Sinne des § 38, deren Zuständigkeit durch den Hauptsitz der verantwortlichen Stelle bestimmt wird (Übersicht der Aufsichtsbehörden für in der Bundesrepublik ansässige nicht-öffentliche verantwortliche Stellen).


Postunternehmen gem. § 2 Abs. 1 und Telekommunikationsunternehmen sind gegenüber der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) meldepflichtig. Unter Telekommunikationsunternehmen nach Abs. 1 fallen die Stellen, die als Diensteanbieter Daten von natürlichen Personen für die geschäftsmäßige Erbringung von Telekommunikationsdiensten verwenden (§ 3 Abs. 6 TKG). Sie sind gem. § 115 Abs. 4 TKG der Kontrolle durch die BfDI unterworfen.


Die Aufsichtsbehörde prüft gem. § 38 Abs. 1 die Rechtmäßigkeit und Vollständigkeit der Meldung und führt nach § 38 Abs. 2 Satz 1 ein Register mit den Angaben meldepflichtiger automatisierter Verarbeitungen. Sie ist bei fehlenden oder unvollständigen Angaben berechtigt, eine Nachmeldung einzufordern und ebenso bei Versäumnissen ein Bußgeldverfahren einzuleiten. Eine inhaltliche Prüfung der vorgesehenen oder zu ändernden Verfahren nimmt die Aufsichtsbehörde nicht vor; die Aufnahme der Angaben in das Register ist mithin keiner Rechtmäßigkeit des Verfahrens gleichzusetzen.


Weitere Infos

Merkblatt zur Meldepflicht

Verfahrensverzeichnisse und Meldepflichten

Online-Kommentare

§ 4d BDSG Kommentar Absatz 5 bis 6 →
← § 4c BDSG Kommentare   § 4e BDSG Kommentar →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.