Bekanntmachung von Hinweisen des Innenministeriums (Nr. 30) zum Bundesdatenschutzgesetz für die private Wirtschaft und zum Bildschirmtext - Staatsvertrag vom 11. Dezember 1991; Az.: 2-0552.1/5. Die Veröffentlichung erfolgt im Anschluß an die Hinweise Nr. 29 zum alten Bundesdatenschutzgesetz im Staatsanzeiger für Baden-Württemberg Nr.1/2 vom 10. Januar 1990, Seite 6.
Am 1. Juni 1991 ist das neue Bundesdatenschutzgesetz - BDSG - vom 20. Dezember 1990 (BGBl. I S. 2954) in Kraft getreten. Das Gesetz regelt wie das alte Bundesdatenschutzgesetz vom 27. Januar 1977 die Verarbeitung personenbezogener Daten sowohl in der öffentlichen Verwaltung wie in der privaten Wirtschaft. Das neue Bundesdatenschutzgesetz gilt als allgemeines Datenschutzgesetz überall dort, wo keine bereichsspezifischen Regelungen eingreifen. Im nicht-öffentlichen Bereich faßt das neue Bundesdatenschutzgesetz die Vorschriften über die Datenverarbeitung für eigene und für fremde Zwecke im Dritten Abschnitt zusammen. Wichtige Änderungen für den nicht-öffentlichen Bereich sind vor allem:
Das Innenministerium als zuständige Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich in Baden-Württemberg (§ 1 Datenschutzzuständigkeitsverordnung vom 10. Januar 1978, GBl. S. 78) gibt für den nicht-öffentlichen Bereich folgende Hinweise:
Das neue BDSG gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen, soweit sie Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen (§ 1 Abs. 2 Nr. 3 BDSG; vgl. auch § 27 Abs. 1 BDSG). Es hat sich gezeigt, daß in bezug auf den Begriff der ”Geschäftsmäßigkeit” Unklarheiten und Unsicherheiten bestehen, insbesondere im Hinblick auf die Datenverarbeitung durch Vereine.
Nach Auffassung der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich hat der Begriff der "Geschäftsmäßigkeit” im neuen BDSG denselben Inhalt wie im bisherigen BDSG. Er erfaßt die auf Dauer oder auf Wiederholung angelegte Datenverarbeitung bzw. -nutzung. Nicht begriffsnotwendig ist, daß die Datenverarbeitung entgeltlich und auf die Erzielung von Einnahmen oder Gewinn gerichtet ist. Eine ”geschäftsmäßige” Datenverarbeitung kann daher auch vorliegen, wenn sie Mittel für die Erfüllung anderer als kommerzieller Zwecke ist. Vereine sind somit nicht deshalb von der Geltung des neuen BDSG ausgenommen, weil sie Daten nicht zur Erfüllung kommerzieller Zwecke verarbeiten.
Bei der Auslegung des Begriffs der ”Geschäftsmäßigkeit” ist zu berücksichtigen, daß nach dem Regierungsentwurf des BDSG das Gesetz nicht für ”natürliche Personen” gelten sollte, ”die personenbezogene Daten ausschließlich für private Zwecke und zum persönlichen Gebrauch verarbeiten oder nutzen”. In der Begründung des Regierungsentwurfs heißt es dazu, daß diese Regelung die technologische Entwicklung auf dem Gebiet der Datenverarbeitung berücksichtigt, die auch den häuslichen Gebrauch von Datenverarbeitungsanlagen ermöglicht.
Es ist nicht davon auszugehen, daß der Gesetzgeber hieran etwas ändern wollte, als er anstelle der Formulierung im Regierungsentwurf sich für die nunmehr Gesetz gewordene Formulierung entschieden hat. Die Datenverarbeitung, die ausschließlich für private Zwecke und zum persönlichen Gebrauch erfolgt, ist deshalb in keinem Fall als ”geschäftsmäßig” anzusehen. Die Beratungen im Gesetzgebungsverfahren, insbesondere im Innenausschuß des Deutschen Bundestages, lassen vielmehr den Schluß zu, daß der Gesetzgeber darüber hinaus auch solchen Formen der Verarbeitung und Nutzung personenbezogener Daten von der Geltung des BDSG ausnehmen wollte, die hinsichtlich der Art und des Umfangs der Datenverarbeitung der ”privaten Datenverarbeitung” vergleichbar sind. Es kann daher angenommen werden, daß das BDSG beispielsweise keine Anwendung findet, wenn jemand die Adressen aller am gleichen Ort wohnenden Angehörigen seines Jahrgangs verarbeitet, um diesen Personenkreis zu bestimmten Anlässen zu gemeinsamen Feiern einzuladen. Dagegen übersteigt die Datenverarbeitung von Vereinen sowohl hinsichtlich der Art wie vom Umfang her zumeist diesen Rahmen und ist mit der Datenverarbeitung zu ”ausschließlich privaten Zwecken und zum persönlichen Gebrauch” nicht vergleichbar. Deshalb findet das neue BDSG für Vereine in der Regel Anwendung.
Die Benachrichtigung soll sicherstellen, daß der Betroffene Kenntnis davon erlangt, wo Daten über ihn gespeichert sind. Dies ist vor allem dort wichtig, wo der Betroffene nicht in vertraglichen oder geschäftlichen Beziehungen mit der speichernden Stelle steht und daher nicht damit rechnen kann, daß diese Daten über ihn speichert. Die Benachrichtigung soll - wie es in der Begründung des Regierungsentwurfs des BDSG heißt - für mehr Transparenz bei der Datenverarbeitung sorgen und dem Bürger die Ausübung seiner Rechte erleichtern. Deshalb ist der Betroffene im Rahmen der Benachrichtigung auch über die ”Art der Daten” zu unterrichten. Dabei muß er in der Lage versetzt werden, sich ein Bild von den über ihn gespeicherten Daten zu machen, um entscheiden zu können, ob er eine Auskunft gemäß § 34 BDSG beantragen soll.
Zweck der Benachrichtigung ist es nicht, die Auskunft über die zur Person des Betroffenen gespeicherten Daten zu ersetzen. Deshalb brauchen dem Betroffenen im Rahmen der Benachrichtigung keine Angaben zu den einzelnen Daten, sondern nur Angaben zur ”Art der Daten” gemacht zu werden. Dabei genügen allgemeine, nicht auf den individuellen Einzelfall bezogene Angaben, soweit sich aus ihnen die einzelnen Datenarten für den Betroffenen hinreichend konkret ergeben. Nicht ausreichend sind Angaben, die keine über den Geschäftszweck der speichernden Stelle hinausgehenden Informationen enthalten (wie z.B. die Angabe ”Daten, die zur Beurteilung der Bonität erforderlich sind”). Derart allgemein gehaltene Angaben sind nicht geeignet, den vom Gesetzgeber verfolgten Informationszweck zu erreichen. Sie müssen näher konkretisiert (”Vor- und Familiennamen, Geburtsdatum, gegenwärtige und frühere Anschriften, Angaben zur Beschäftigung”) oder anhand von Regelbeispielen erläutert werden.
Der Betroffene kann von der speichernden Stelle jetzt grundsätzlich auch Auskunft über Herkunft und Empfänger seiner Daten verlangen, soweit Angaben hierzu bei seinen Daten gespeichert sind. Hierdurch soll dem Betroffenen die Geltendmachung seiner Rechte gegenüber denjenigen Stellen erleichtert werden, von denen die Daten stammen oder an die sie übermittelt worden sind. In den Fällen, in denen personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert werden (z.B. Auskunfteien, Adreßhandel), kann der Betroffene Auskunft über Herkunft und Empfänger seiner Daten jedoch nur verlangen, wenn er ”begründete Zweifel” an der Richtigkeit der Daten geltend macht.
Der Aufsichtsbehörde ist bekannt, daß Betroffene, die eine derartige Auskunft verlangen, vielfach vermeiden wollen, zur Begründung ihres Auskunftsverlangens gegenüber der speichernden Stelle die richtigen Daten anzugeben. Sie beschränken sich darauf, die Richtigkeit der gespeicherten personenbezogenen Daten zu bestreiten. Die speichernde Stelle sperrt die Daten dann lediglich gemäß § 35 Abs. 4 BDSG, wenn sie weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen kann, gibt jedoch dem Betroffenen keine Auskunft über Herkunft und Empfänger der Daten.
Ein bloßes Bestreiten der Richtigkeit ist nach § 34 Abs. 1 Satz 3, Abs. 2 Satz 2 BDSG nicht ausreichend, um einen Anspruch auf Auskunft über Herkunft und Empfänger der Daten zu begründen. Das BDSG mutet dem Betroffenen zwar nicht zu, die richtigen Daten anzugeben und so der speichernden Stelle bisher unbekannte Informationen preiszugeben; es verlangt aber, daß er ”begründete Zweifel” an der Richtigkeit der Daten geltend macht. Der Betroffene muß deshalb über das bloße Bestreiten der Richtigkeit hinaus weitergehende Angaben machen, aus denen sich tatsächliche Anhaltspunkte für eine mögliche Unrichtigkeit ergeben.