BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Version vom 27. Mai 2018, 17:20 Uhr von Teclador (Diskussion | Beiträge) (Anpassung alte Fassung)
Zur Navigation springen Zur Suche springen

§ 3a Datenvermeidung und Datensparsamkeit

§ 3a Text

§ 3a   Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

Datenvermeidung und Datensparsamkeit (Satz 1)

Ziele

Satz 1 verpflichtet die verantwortliche Stelle, die Prozesse der Datenerhebung, -verarbeitung und -nutzung sowie die dafür genutzten Systeme so auszuwählen und zu gestalten, dass „so wenig personenbezogene Daten wie möglich“ verwendet werden. So wenig wie möglich bedeutet im Idealfall, auf personenbezogene Daten ganz zu verzichten. Der Akzent liegt auf "personenbezogen". Nicht die Verarbeitung von Daten generell, sondern von solchen mit Personenbezug ist zu minimieren. Als Mittel der Wahl stellt Satz 2 die Anonymisierung und Pseudonymisierung heraus. Weiterhin geht es um die Datenmenge. Betroffen sind hier die Anzahl der Datenarten bzw. -felder sowie deren die Detaillierung (Beschreibungstiefe). Gefordert ist insbesondere, auf besondere (sensitive) Daten (§ 3 Abs. 9) und andere Daten mit hoher Eingriffstiefe zu verzichten bzw. sie durch weniger kritische Angaben zu ersetzen.

Um den personenbezogenen Datenumgang zu reduzieren, muß die verantwortliche Stelle nicht ihre Geschäftszwecke oder Verwaltungsaufgaben selbst in Frage stellen. Im Übrigen hat sie aber alle Umstände ihrer Aktivitäten auf den Prüfstand zu stellen. Beispielsweise sind die Betriebsorganisation, die Qualifikation des Personals und alle Geschäftsabläufe unter dem Gesichtspunkt zu überprüfen, welche Veränderungen am meisten zur Datensparsamkeit beitragen können.

Die Datenverarbeitungsprozesse müssen so organisiert und die Datenverarbeitungssysteme so gestaltet sein, dass nur die für die Realisierung der Geschäftszwecke oder der Erfüllung der Aufgaben unbedingt benötigten Daten erhoben, verarbeitet oder genutzt werden. Eine Datenverarbeitung auf Vorrat zu unbestimmten Zwecken ist mit dem Grundsatz aus § 3a nicht vereinbar. Der Arbeitsablauf muss so organisiert sein, dass nur die im konkreten Fall benötigten Daten verarbeitet werden. Ein abstrakte Festlegung, dass Betroffene einer bestimmten Kategorie oder Daten einer bestimmten Art stets erfasst oder verarbeitet werden, ohne dass die Erforderlichkeit nach den konkreten Umständen des Einzelfalls geprüft wird, entspräche nicht § 3a.

Auswahl und Gestaltung von Datenverarbeitungssystemen

Die Verpflichtung nach Satz 1 bezieht sich zunächst auf die Auswahl und Gestaltung von Datenverarbeitungssystemen. Dazu gehören Hardware und Software. Die Frage der Auswahl stellt sich bezüglich aller Komponenten, die von der verantwortlichen Stelle entweder selbst eingesetzt werden oder oder im Rahmen ihrer Aktivitäten Dritten zur Nutzung angeboten werden oder werden können.

Die Gestaltung der Datenverarbeitungssysteme betrifft primär deren Entwicklung und Herstellung, im weiteren Sinne auch deren Konfiguration durch den Anwender. Bei Software sind datenschutzfreundliche Standardeinstellungen/Voreinstellungen geboten („privacy by default“). Alle weitergehenden Varianten sind als Opt-In-Lösung (Wahl durch aktive Bestellung oder Einwilligung) von den Betroffenen eigenverantwortlich zu wählen.

Der Auswahl muss eine Analyse der zu bearbeitenden Geschäftszwecke bzw. Aufgaben und der Arbeitsabläufe vorausgehen. Regelmäßig wird es sich empfehlen, alternative Lösungsmodelle darzustellen und durchzuspielen, damit eine qualifizierte Auswahl- und Gestaltungsentscheidung getroffen werden kann. Der Datenschutzbeauftragte ist daran zu beteiligen, auch soweit kein Fall einer obligatorischen Vorabkontrolle nach § 4d Abs. 5 gegeben ist.

Anonymisierung und Pseudonymisierung (Satz 2)

Satz 2 verpflichtet die verantwortlichen Stellen, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren. Damit wird die Zielvorgabe des Satz 1 konkretisiert. Die genannten Maßnahmen sind Regelbeispiele.

Die Verpflichtung steht unter einem doppelten Vorbehalt: Von Verfahren zur Anonymisierung oder Pseudonymisierung ist nur Gebrauch zu machen, soweit dies

  • nach dem Verwendungszweck möglich und
  • gemessen an dem angestrebten Schutzzweck verhältnismäßig ist .

Dies ist nicht so zu verstehen, dass solche Maßnahmen normalerweise nicht geboten sind. Vielmehr erläutert die Gesetzesbegründung, dass „das Mitführen der vollen Identität der Betroffenen“ schon „während der eigentlichen Datenverarbeitungsvorgänge reduziert“ werden soll.

Nach der Legaldefinition des § 3 Abs. 6 werden bei einer Anonymisierung die personenbezogenen Daten so verändert, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großem Aufwand einer bestimmten oder bestimmbaren Person zugeordnet werden können. Damit entfällt der Personenbezug.

Bei der Pseudonymisierung (Legaldefinition in § 3 Abs. 6a) werden der Name oder andere Identifikationsmerkmale durch ein Kennzeichen ersetzt, damit die Bestimmung des Betroffenen ausgeschlossen oder wesentlich erschwert ist.

Vorbehalt des Möglichen

Die Pflicht zur Anonymisierung oder Pseudonymisierung nach Satz 2 steht unter dem Vorbehalt des Möglichen. Dieses beurteilt sich nach dem jeweiligen Verwendungszweck der Daten. Eine Anonymisierung oder Pseudonymisierung ist damit nur dann verzichtbar, wenn andernfalls das mit der Verarbeitung verfolgte Ziel nicht erreicht werden kann. Dies kann der Fall sein, wenn in einem bestimmten Verarbeitungsschritt die volle Identifizierung des Betroffenen unabdingbar ist.

Vorbehalt der Verhältnismäßigkeit des Aufwandes

Eine Maßnahme ist nicht geboten, wenn sie einen im Verhältnis zum angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. In die Prüfung der Verhältnismäßigkeit sind alle Umstände des Einzelfalls einzubeziehen, wie etwa die Art der Daten und ihre Sensitivität und der konkrete Verwendungszweck. Die Abwägung ist mit derjenigen nach § 9 Satz 2 vergleichbar.

Zum Aufwand zählen die Kosten, die für die die Einführung und den laufenden Betrieb der Verfahren zur Anonymisierung oder Pseudonymisierung anfallen Diese umfassen auch einen gegebenenfalls notwendigen zusätzlichen Personalbedarf. Dem ist der Nutzen gegenüber zu stellen, wozu auch eine Stärkung des Kundenvertrauens und die daraus resultierenden Wettbewerbsvorteile zu rechnen sind.

Der Einsatz standardmäßig verfügbarer Anonymisierung- und Pseudonymisierungsverfahren ist regelmäßig angemessen. Steht ohnehin der Einsatz eines neuen DV-Systems an, ist der Mehraufwand meist deutlich geringer. Die Ziele der Datenvermeidung und -sparsamkeit sind in der Ausschreibung darzustellen. Wird dies versäumt, wird sich die verantwortliche Stelle kaum auf einen unverhältnismäßigen Aufwand berufen können.

Kontrolle und Durchsetzung

§ 3a enthält eine rechtliche Verpflichtung der verantwortlichen Stelle. Ein Verstoß führt jedoch nicht zur materiellen Rechtswidrigkeit der entsprechenden Datenverarbeitung, wenn diese als solche im Einklang mit den Regelungen zur Zulässigkeit des Datenumgangs (§ 4 Abs. 1) steht. Der Gesetzgeber hat auch versäumt, bei Verstößen Sanktionen vorzusehen. Die Aufsichtsbehörden können nach § 38 Abs. 5 zwar "Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen". Mängel bei der Auswahl und Gestaltung von Datenverarbeitungssystemen und andere Formen der Nichtbefolgung des § 3a sind damit nicht erfasst. Die Aufsichtsbehörden können also nur beratend einwirken. Auch den Betroffenen stehen wegen einer Missachtung des § 3a keine Rechte zu.

Demgegenüber fällt § 3a unzweifelhaft in das Aufgabengebiet des Datenschutzbeauftragten. Denn er "wirkt auf die Einhaltung dieses Gesetzes ... hin" (§ 4g Abs. 1). Angesichts der Machtlosigkeit der Aufsichtsbehörde ist allerdings auch der Datenschutzbeauftragte in einer schwierigen Position.

Im Rahmen der Kontrolle der öffentlichen Stellen des Bundes durch die BfDI spielen die erwähnten Defizite keine Rolle. Sie kann nach § 25 Abs. 1 "Verstöße gegen die Vorschriften dieses Gesetzes ... oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten" beanstanden und damit die verantwortliche Stelle zwingen, sich zu rechtfertigen. Zudem kann sie die Angelegenheit dem Parlament und der Öffentlichkeit zur Kenntnis bringen und damit Druck in Richtung Gesetzesbeachtung ausüben.


 § 3a BDSG a.F. Kommentar Teil 1
 § 3a BDSG a.F. Kommentar Teil 2
 § 3a BDSG a.F. Kommentar Beispiele

Online-Kommentare

← § 3a BDSG a.F. Kommentare   § 3a BDSG a.F. Kommentar →

← § 3 BDSG a.F. Kommentare   


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.