3 BDSG a.F. Kommentar Absatz 8: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen

3 BDSG a.F. Kommentar Absatz 8 (Quelltext anzeigen)

Version vom 19. Juli 2012, 02:11 Uhr

1.180 Bytes entfernt ,  19. Juli 2012
K
Vorlagen eingefügt
K (Links korrigiert)
K (Vorlagen eingefügt)
Zeile 1: Zeile 1:
Kommentare und Erläuterungen zu [[§3 BDSG|§ 3 Weitere Begriffsbestimmungen]]
{{komm_header|3}}
{{komm_abstext||8|(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.  
==Absatz 8 Text==
}}
<blockquote style="background-color:#f0f0f4;border:1px dotted #000;padding:5px;margin:20px;">
(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.  
</blockquote>


==Empfänger und Dritte==
==Empfänger und Dritte==
Zeile 20: Zeile 17:
==Empfänger (Abs. 8 Satz 1)==
==Empfänger (Abs. 8 Satz 1)==


Empfänger ist nach dem Gesetz '''jede Person oder Stelle, die Daten erhält'''. Die Regelung ist außerordentlich weit. Zwar betrifft der Begriff "Stelle" nur die in [[§2_BDSG|§&nbsp;2]] definierten öffentliche und nicht-öffentliche Stellen, so dass stelleninterne Vorgänge davon nicht erfasst werden. Jedoch genügt auch, dass eine "Person" die Daten erhält. Erhalten bedeutet Gelegenheit zur Kenntnisnahme oder Nutzung zu bekommen. Hier sind alle in der Definition des Übermittelns ([[§3_BDSG|§&nbsp;3&nbsp;Abs.&nbsp;4]]&nbsp;Nr.&nbsp;3) genannten Varianten zutreffend, also insbesondere Übergabe, Übertragung und Zugriff. Damit ist schlechthin jeder Datenfluss an eine Person erfasst. Dazu gehört auch der bei arbeitsteiliger Organisation ebenso unverzichtbare wie selbstverständliche Datenfluss in der Hierarchie, zwischen beteiligten Organisationseinheiten, innerhalb von Arbeitsteams und zwischen dem [[Beschäftigte]]n und seinen Vertretern sowie Vorgängern und Nachfolgern auf seinem Arbeitsplatz.  
Empfänger ist nach dem Gesetz '''jede Person oder Stelle, die Daten erhält'''. Die Regelung ist außerordentlich weit. Zwar betrifft der Begriff "Stelle" nur die in {{bdsgl|2}} definierten öffentliche und nicht-öffentliche Stellen, so dass stelleninterne Vorgänge davon nicht erfasst werden. Jedoch genügt auch, dass eine "Person" die Daten erhält. Erhalten bedeutet Gelegenheit zur Kenntnisnahme oder Nutzung zu bekommen. Hier sind alle in der Definition des Übermittelns ({{bdsgl|3|4||3}}) genannten Varianten zutreffend, also insbesondere Übergabe, Übertragung und Zugriff. Damit ist schlechthin jeder Datenfluss an eine Person erfasst. Dazu gehört auch der bei arbeitsteiliger Organisation ebenso unverzichtbare wie selbstverständliche Datenfluss in der Hierarchie, zwischen beteiligten Organisationseinheiten, innerhalb von Arbeitsteams und zwischen dem [[Beschäftigte]]n und seinen Vertretern sowie Vorgängern und Nachfolgern auf seinem Arbeitsplatz.  




Die Gesetzesregelungen, die auf die Empfänger abstellen, dienen der Information der [[Betroffener|Betroffenen]] in vier Fällen:
Die Gesetzesregelungen, die auf die Empfänger abstellen, dienen der Information der [[Betroffener|Betroffenen]] in vier Fällen:
* bei der Erhebung von Daten beim Betroffenen ([[§4_BDSG|§&nbsp;4&nbsp;Abs.&nbsp;3]]&nbsp;Nr.&nbsp;3),
* bei der Erhebung von Daten beim Betroffenen ({{bdsgl|4|3||3}}),
* bei der Meldung automatisierter Verfahren ([[§4a_BDSG|§&nbsp;4a&nbsp;Abs.&nbsp;1]]&nbsp;Nr.&nbsp;6),
* bei der Meldung automatisierter Verfahren ({{bdsgl|4a|1||6}}),
* bei der Benachrichtigung des Betroffenen ([[§19a_BDSG|§&nbsp;19a&nbsp;Abs.&nbsp;1]]&nbsp;Satz&nbsp;2, [[§33_BDSG|§&nbsp;33&nbsp;Abs.&nbsp;1]]&nbsp;Satz&nbsp;3) und
* bei der Benachrichtigung des Betroffenen ({{bdsgl|19|1|2}}, {{bdsgl|33|1|3}}) und
* bei der Auskunft an den Betroffenen ([[§19_BDSG|§&nbsp;19&nbsp;Abs.&nbsp;1]]&nbsp;Satz&nbsp;2, [[§34_BDSG|§&nbsp;34&nbsp;Abs.&nbsp;1]]&nbsp;Satz&nbsp;1&nbsp;Nr.&nbsp;2)
* bei der Auskunft an den Betroffenen ({{bdsg|19|1|2}}, {{bdsgl|34|1|1|2}})




Zeile 40: Zeile 37:




Dritter ist, von den ausdrücklichen Ausnahmen abgesehen, „jede Person oder Stelle außerhalb der verantwortlichen Stelle“. Der Ausdruck „jede Person oder Stelle“ ist gleichbedeutend mit „jeder“. Auf die Zugehörigkeit zum öffentlichen oder privaten Bereich, auf die Rechtsformen und auf den Sitz bzw. Wohnsitz kommt es nicht an. Auch Ausländer sind einbegriffen. Auch ob die Betreffenden bekannt oder bestimmbar sind, spielt keine Rolle; eine öffentliche Bekanntgabe, ob durch Medien, in öffentlicher Versammlung, durch Aushang oder per Internet, erfolgt an Dritte. Unerheblich ist auch, ob die Person oder Stelle Normadressat nach [[§1_BDSG|§&nbsp;1&nbsp;Abs.&nbsp;2]] ist.  
Dritter ist, von den ausdrücklichen Ausnahmen abgesehen, „jede Person oder Stelle außerhalb der verantwortlichen Stelle“. Der Ausdruck „jede Person oder Stelle“ ist gleichbedeutend mit „jeder“. Auf die Zugehörigkeit zum öffentlichen oder privaten Bereich, auf die Rechtsformen und auf den Sitz bzw. Wohnsitz kommt es nicht an. Auch Ausländer sind einbegriffen. Auch ob die Betreffenden bekannt oder bestimmbar sind, spielt keine Rolle; eine öffentliche Bekanntgabe, ob durch Medien, in öffentlicher Versammlung, durch Aushang oder per Internet, erfolgt an Dritte. Unerheblich ist auch, ob die Person oder Stelle Normadressat nach {{bdsgl|1|2}} ist.  




Zeile 69: Zeile 66:
'''Rechtlich selbstständige Einrichtungen''' sind auch dann Dritte, wenn sie organisatorisch, räumlich oder personell mit der verantwortlichen Stelle verbunden sind. Das gilt beispielsweise für '''Betriebskrankenkassen''', und zwar auch dann, wenn sie ausschließlich durch Mitarbeiter des Betriebes in Personalunion geführt werden. Dagegen sind '''Betriebsärzte''' im Hinblick auf ihre Stellung nach dem Arbeitssicherstellungsgesetz nicht Dritte. Dasselbe gilt für '''Fachkräfte für Arbeitssicherheit''' und für den '''Vertrauensmann der Schwerbehinderten'''.
'''Rechtlich selbstständige Einrichtungen''' sind auch dann Dritte, wenn sie organisatorisch, räumlich oder personell mit der verantwortlichen Stelle verbunden sind. Das gilt beispielsweise für '''Betriebskrankenkassen''', und zwar auch dann, wenn sie ausschließlich durch Mitarbeiter des Betriebes in Personalunion geführt werden. Dagegen sind '''Betriebsärzte''' im Hinblick auf ihre Stellung nach dem Arbeitssicherstellungsgesetz nicht Dritte. Dasselbe gilt für '''Fachkräfte für Arbeitssicherheit''' und für den '''Vertrauensmann der Schwerbehinderten'''.


Eine Person, die Funktionen sowohl innerhalb als auch außerhalb der verantwortlichen Stelle, d.h. als Dritte oder Beschäftigte eines Dritten, wahrnimmt, darf die Funktionskreise nicht verwischen. Daten, die ihr als Angehöriger der verantwortlichen Stelle zugänglich sind, darf sie nach dem Zweckbindungsgrundsatz nicht im Rahmen der anderen Funktionen nutzen ([[§4b_BDSG|§&nbsp;4b&nbsp;Abs.&nbsp;6]], [[§5_BDSG|§&nbsp;5]], [[§15_BDSG|§&nbsp;15&nbsp;Abs.&nbsp;3]], [[§16_BDSG|§&nbsp;16&nbsp;Abs.&nbsp;4]], [[§28_BDSG|§&nbsp;28&nbsp;Abs.&nbsp;5]], [[§29_BDSG|§&nbsp;29&nbsp;Abs.&nbsp;4]], [[§39_BDSG|§&nbsp;39]] und [[§40_BDSG|§&nbsp;40]]).
Eine Person, die Funktionen sowohl innerhalb als auch außerhalb der verantwortlichen Stelle, d.h. als Dritte oder Beschäftigte eines Dritten, wahrnimmt, darf die Funktionskreise nicht verwischen. Daten, die ihr als Angehöriger der verantwortlichen Stelle zugänglich sind, darf sie nach dem Zweckbindungsgrundsatz nicht im Rahmen der anderen Funktionen nutzen ({{bdsgl|4b|6}}, {{bdsgl|5}}, {{bdsgl|15|3}}, {{bdsgl|16|4}}, {{bdsgl|28|5}}, {{bdsgl|29|4}}, {{bdsgl|39}} und {{bdsgl|40}}).




Zeile 75: Zeile 72:




Der '''Datenschutzbeauftragte''' ([[§4f_BDSG|§&nbsp;4f]]) ist ein Organ der internen Kontrolle der verantwortlichen Stelle. Er ist daher (in seiner Funktion) ebenfalls kein Dritter. Dies gilt auch für einen externen Beauftragten. Für ihn gilt das Verbot der Funktionsvermischung.  
Der '''Datenschutzbeauftragte''' ({{bdsgl|4f}}) ist ein Organ der internen Kontrolle der verantwortlichen Stelle. Er ist daher (in seiner Funktion) ebenfalls kein Dritter. Dies gilt auch für einen externen Beauftragten. Für ihn gilt das Verbot der Funktionsvermischung.  




Die Datenschutzaufsichtsbehörde ([[§38_BDSG|§&nbsp;38]]) ist im Verhältnis zu einer der Aufsicht unterliegenden Stelle stets Dritter.
Die Datenschutzaufsichtsbehörde ({{bdsgl|38}}) ist im Verhältnis zu einer der Aufsicht unterliegenden Stelle stets Dritter.


===Organe der Mitbestimmung und andere Einrichtungen===
===Organe der Mitbestimmung und andere Einrichtungen===


Die '''Organe der betrieblichen Mitbestimmung''' sowie der '''Personalvertretung''' (einschließlich Gesamtbetriebsrat, Jugendvertretung, Wirtschaftsausschuss und Wahlvorstand) sind keine Personenvereinigung nach §&nbsp;1&nbsp;Abs.&nbsp;2, sondern unselbstständiger Teil der verantwortlichen Stelle. Solange ihnen personenbezogene Daten im Hinblick auf ihre gesetzlichen Aufgaben zugänglich gemacht werden, greifen daher die Übermittlungsregeln des [[BDSG]] nicht ein; maßgeblich sind allein die Vorschriften des Arbeits- bzw. Personalvertretungsrechts. Auch soweit der Betriebs-/Personalrat selbst Daten speichert oder sonst verarbeitet, ist er nicht als ''eigenständige'' verantwortliche Stelle anzusehen. Der besonderen Stellung der Betriebs- und Personalräte ist dadurch Rechnung zu tragen, dass Auskunfts- und andere Kontrollansprüche der Betroffenen direkt an das Vertretungsorgan zu richten und unmittelbar von diesem zu beantworten sind, dass diese direkt mit der zuständigen Datenschutzkontrollinstanz verkehren können und dass der nach [[§35_BDSG|§&nbsp;35]] zu bestellende Datenschutzbeauftragte von seiner Verschwiegenheitspflicht gegenüber der Unternehmensleitung gezielt Gebrauch macht.  
Die '''Organe der betrieblichen Mitbestimmung''' sowie der '''Personalvertretung''' (einschließlich Gesamtbetriebsrat, Jugendvertretung, Wirtschaftsausschuss und Wahlvorstand) sind keine Personenvereinigung nach {{bdsg|1|2}}, sondern unselbstständiger Teil der verantwortlichen Stelle. Solange ihnen personenbezogene Daten im Hinblick auf ihre gesetzlichen Aufgaben zugänglich gemacht werden, greifen daher die Übermittlungsregeln des [[BDSG]] nicht ein; maßgeblich sind allein die Vorschriften des Arbeits- bzw. Personalvertretungsrechts. Auch soweit der Betriebs-/Personalrat selbst Daten speichert oder sonst verarbeitet, ist er nicht als ''eigenständige'' verantwortliche Stelle anzusehen. Der besonderen Stellung der Betriebs- und Personalräte ist dadurch Rechnung zu tragen, dass Auskunfts- und andere Kontrollansprüche der Betroffenen direkt an das Vertretungsorgan zu richten und unmittelbar von diesem zu beantworten sind, dass diese direkt mit der zuständigen Datenschutzkontrollinstanz verkehren können und dass der nach {{bdsgl|35}} zu bestellende Datenschutzbeauftragte von seiner Verschwiegenheitspflicht gegenüber der Unternehmensleitung gezielt Gebrauch macht.  




Zeile 96: Zeile 93:
===Betroffener===
===Betroffener===


Der [[Betroffener|Betroffene]] (Definition in [[§3_BDSG|§&nbsp;3&nbsp;Abs.&nbsp;1]]) ist vom Begriff des Dritten ausdrücklich ausgenommen.
Der [[Betroffener|Betroffene]] (Definition in {{bdsgl|3|1}}) ist vom Begriff des Dritten ausdrücklich ausgenommen.


===Beauftragte===
===Beauftragte===
Zeile 103: Zeile 100:




Die Regelung zielt darauf ab, die Weitergabe von Daten im Rahmen eines [[Auftragsverarbeitung]]sverhältnisses ganz allgemein von der Anwendbarkeit der Zulässigkeitsvorschriften freizustellen. Dies setzt voraus, dass auch die Vorschriften über die Zulässigkeit der Nutzung, welche hier begrifflich vorliegt, nicht angewendet werden. Der Gesetzgeber hat anlässlich der Einbeziehung der Nutzung in die Zulässigkeitsregelungen versäumt, eine generelle Ausnahme vom Verbot des [[§4_BDSG|§&nbsp;4&nbsp;Abs.&nbsp;1]] anzuordnen. Dies ist als planwidrige Lücke anzusehen, die durch eine sinngemäße Anwendung der in Abs.&nbsp;8&nbsp;Satz&nbsp;3 enthaltenen Privilegierung zu schließen ist.  
Die Regelung zielt darauf ab, die Weitergabe von Daten im Rahmen eines [[Auftragsverarbeitung]]sverhältnisses ganz allgemein von der Anwendbarkeit der Zulässigkeitsvorschriften freizustellen. Dies setzt voraus, dass auch die Vorschriften über die Zulässigkeit der Nutzung, welche hier begrifflich vorliegt, nicht angewendet werden. Der Gesetzgeber hat anlässlich der Einbeziehung der Nutzung in die Zulässigkeitsregelungen versäumt, eine generelle Ausnahme vom Verbot des {{bdsg|4|1}} anzuordnen. Dies ist als planwidrige Lücke anzusehen, die durch eine sinngemäße Anwendung der in Abs.&nbsp;8&nbsp;Satz&nbsp;3 enthaltenen Privilegierung zu schließen ist.  




Näheres zum Begriff „Auftrag“ siehe Erläuterungen zu [[§11_BDSG|§&nbsp;11]]. Auch soweit die Auftragsregelungen wegen gleichartiger Interessenlage entsprechend anzuwenden sind (z.B. Postdienstleister), ist der Auftragnehmer nicht als Dritter einzustufen.
Näheres zum Begriff „Auftrag“ siehe Erläuterungen zu {{bdsgl|11}}. Auch soweit die Auftragsregelungen wegen gleichartiger Interessenlage entsprechend anzuwenden sind (z.B. Postdienstleister), ist der Auftragnehmer nicht als Dritter einzustufen.




Zeile 132: Zeile 129:




Die EU-Datenschutzrichtlinie verlangt nicht, die Weitergabe von Daten zur Auftragsverarbeitung, oder -nutzung in ein Drittland vom Übermittlungsbegriff (und damit von den Übermittlungsregelungen) auszunehmen. Auch eine Einstufung als Nicht-Dritter im Wege einer analogen Anwendung des [[§3_BDSG|§&nbsp;3&nbsp;Abs.&nbsp;8]]&nbsp;Nr.&nbsp;3 ist nicht begründet. Es genügt, den unterschiedlichen. Gefährdungssituationen bei der Anwendung der Zulässigkeitsvorschriften Rechnung zu tragen. Dabei ist auch auf europäische Lösungen der Drittlandproblematik einzugehen, wie etwa die Anerkennung des Datenschutzes eines Drittlandes als angemessen oder die Verwendung anerkannter [[Standardvertragsklauseln]] oder Konzernregelungen.
Die EU-Datenschutzrichtlinie verlangt nicht, die Weitergabe von Daten zur Auftragsverarbeitung, oder -nutzung in ein Drittland vom Übermittlungsbegriff (und damit von den Übermittlungsregelungen) auszunehmen. Auch eine Einstufung als Nicht-Dritter im Wege einer analogen Anwendung des {{bdsg|3|8||3}} ist nicht begründet. Es genügt, den unterschiedlichen. Gefährdungssituationen bei der Anwendung der Zulässigkeitsvorschriften Rechnung zu tragen. Dabei ist auch auf europäische Lösungen der Drittlandproblematik einzugehen, wie etwa die Anerkennung des Datenschutzes eines Drittlandes als angemessen oder die Verwendung anerkannter [[Standardvertragsklauseln]] oder Konzernregelungen.




Zeile 144: Zeile 141:
Aus der Sonderregelung für die Datenerhebung, -verarbeitung und -nutzung im Auftrag kann geschlossen werden, dass Außenstehende in anderen Fällen auch dann Dritte bleiben, wenn sie, z.B. im Rahmen eines Werk- oder Geschäftsbesorgungsvertrages, für die verantwortliche Stelle tätig sind. Auch die Erteilung von Vollmachten hat keinen Einfluss auf die Stellung als Dritter. Es wäre mit dem Schutzzweck des Gesetzes unvereinbar, wenn ein Außenstehender nach Belieben „internalisiert“ werden könnte. Ein selbstständiger Handelsvertreter (§ 84 HGB) ist daher (im Gegensatz zu einem Angestellten) Dritter. Anders ist es nur, soweit er ausnahmsweise Daten im Auftrag verarbeitet.
Aus der Sonderregelung für die Datenerhebung, -verarbeitung und -nutzung im Auftrag kann geschlossen werden, dass Außenstehende in anderen Fällen auch dann Dritte bleiben, wenn sie, z.B. im Rahmen eines Werk- oder Geschäftsbesorgungsvertrages, für die verantwortliche Stelle tätig sind. Auch die Erteilung von Vollmachten hat keinen Einfluss auf die Stellung als Dritter. Es wäre mit dem Schutzzweck des Gesetzes unvereinbar, wenn ein Außenstehender nach Belieben „internalisiert“ werden könnte. Ein selbstständiger Handelsvertreter (§ 84 HGB) ist daher (im Gegensatz zu einem Angestellten) Dritter. Anders ist es nur, soweit er ausnahmsweise Daten im Auftrag verarbeitet.


{{komm_nextsite|3|8}}
'''&rarr;''' [[3 BDSG Kommentar Absatz 8 Beispiele|§3 BDSG Kommentar Absatz 8 Beispiele]]
{{komm_nav|3|8}}
 
{{komm_footer|3}}
==[[:Kategorie:Online-Kommentare|Online-Kommentare]]==
[[3 BDSG Kommentar Absatz 7|§3 BDSG Kommentar Absatz 7]] | [[3 BDSG Kommentar Absatz 9|§3 BDSG Kommentar Absatz 9]]<br/>
[[2 BDSG Kommentar Absatz 1|§2 BDSG Kommentar]]
-----
[[Bundesdatenschutzgesetz]]
[[Kategorie:3 BDSG Kommentare]]
Teclador
Bürokraten, Oversighter
2.817

Bearbeitungen

Abgerufen von „https://datenschutz-wiki.de/Spezial:Mobiler_Unterschied/523

Navigationsmenü