Berücksichtigungen einschlägiger wirtschaftsrechtlicher Vorschriften und Bestimmungen, insbesondre hinsichtlich der Produktverantwortung, der Produkthaftung sowie des Datenschutzes

In jüngerer Zeit hat sich in der juristische Lehre und Gesetzgebung, aber auch im Alltag und der Ungangssprache ein Begriff etabliert, der als Produktverantwortung bezeichnet wird.

Die in erster Linie unter Umweltgesichtspunkten neu verstandene Produktverantwortung beinhaltet einen möglichst umweltverträglichen, aber auch ungefährlichen Lebensweg eines Produktes “von der Wiege bis zur Bahre”.  Ein Produkt soll insofern weder in seiner Produktion, noch in seiner Verwendung noch in seiner späteren Entsorgung eine Gefahr darstellen, alle Aspekte sind also von vorneherein bei der Planung des Produkts zu berücksichtigen.

Theoretischer Ansatzpunkt ist dabei zunächst die Produktlinienanalyse. Die PLA ist die umfassendste Methode zur Beurteilung von Produkten und umfasst sämtliche Auswirkungen eines Produkts auf seinem Lebensweg von der Rohstoffbeschaffung über Herstellung, Verarbeitung, Transport, Verwendung bis zur Nachnutzung (Recycling) inkl. Entsorgung (Abfall).

Dabei wird die Bandbreite der Betrachtungen über die Bereiche Umwelt, Wirtschaft und Gesellschaft aufgespannt, wobei immer der Nutzenaspekt und die Auswahl von Alternativen von besonderer Bedeutung sein sollen. Die Einbeziehung von ökonomischen und gesellschaftlichen Aspekten unterscheidet diese Analyse von anderen verwendeten Verfahren, wie z.B. der Ökobilanz, die sich auf die Auswirkungen auf die Umwelt beschränken.

Wesentliche Elemente der Anwendung bei der Anwendung dieses Prinzips bei der Produktion als solches wurden in den vorangegangenen Kapiteln erörtert.  Die Umsetzung dieser Überlegungen nach der Nutzungszeit eines Produkts findet seine Verkörperung im Prinzip der sog. “Kreislaufabfallwirtschaft” und dem entsprechenden Gesetz, die Unsetzung des Prinzips während der “Lebensphase” ist dann Gegenstand der Regelungen zur Produkthaftung.

Wesentliche Bestimmungen des Produkthaftungsgesetzes (PHG)

 

Unter Produkthaftung versteht man die Haftung des Herstellers für Schäden, die aus und während der Zeit der Benutzung seiner Produkte resultieren. Die wesentlichen Inhalte der Produkthaftung sind im Produkthaftungsgesetz geregelt, welche neben die Gewährleistungsansprüche nach dem Bürgerlichen Gesetzbuch treten.

 

Die wichtigsten Unterschiede zwischen dieser Gewährleistung und der Produkthaftung sind dabei:

 

• Die Produkthaftung betrifft nicht das vertragliche Verhältnis zwischen Verkäufer und Käufer, sondern jedes Verhältnis zwischen Hersteller und Nutzer. Diese Verhältnisse sind oft deckungsgleich bzw. identisch, oft aber auch (Weiterverkauf!) sehr viel weitergehender
• Die Normen des Produkthaftungsgesetzes stellen zwingendes Gesetzesrecht dar, welches – anders als viele Vorschriften der Gewährleistung - grundsätzlich nicht abbedungen oder ausgeschlossen werden kann.
• Bei der Haftung handelt es sich um eine verschuldensunabhängige Gefährdungshaftung.

Nach § 1 Produkthaftungsgesetz haftet also jeder Hersteller für die Fehler seines Produktes, dieser Begriff ist grundsätzlich weit auszulegen. Nach § 4 Produkthaftungsgesetz haften nämlich:

-             der tatsächliche Hersteller des Endprodukts;

-             der Zulieferer eines Teilproduktes, sofern dieses tatsächlich fehlerhaft war;

-             der Importeur eines Produktes von außerhalb der EU;

-             der Händler, soweit er auf dem Produkt seinen Namen, sein Warenzeichen oder ein anderes

• unterscheidungskräftiges Kennzeichen anbringt;
• -             der Lieferant, wenn der Hersteller des Produktes nicht festgestellt werden kann.

Ein wesentliches Kernelement ist außerdem die gemeinsame Haftung, alle soeben aufgeführten Personen haften dem Geschädigten gegenüber solidarisch. Dies bedeutet, dass sich der Geschädigte den aus seiner Sicht Finanzkräftigsten heraussuchen und von diesem den gesamten Schaden ersetzt verlangen kann. Wurde der Schaden von einem Unternehmer vollständig ausgeglichen, so steht ihm im Innenverhältnis den anderen Unternehmen gegenüber ein Ausgleichsanspruch zu, § 5

Für die dann angeordnete Haftung für fehlerhafte Produkte gilt dann folgendes:

Als Produkt im Sinne des § 2 Produkthaftungsgesetz ist jede bewegliche Sache, auch wenn sie Teil einer anderen Sache ist, sowie Elektrizität. Seit dem 1. Dezember 2000 fallen unter den Produktbegriff außerdem sogar landwirtschaftliche Erzeugnisse sowie Jagderzeugnisse.

Ein Fehler liegt dann vor, wenn die unter Berücksichtigung aller Umstände berechtigten Sicherheitserwartungen des Verbrauchers nicht erfüllt werden. Fehlerhaft ist ein Produkt gem. § 3 Produkthaftungsgesetz also immer dann, wenn es nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände, insbesondere seiner Darbietung, des Gebrauchs, mit dem billigerweise gerechnet werden kann, des Zeitpunkts, in dem es in den Verkehr gebracht wurde, berechtigterweise erwartet werden kann.

Entstehen durch die Fehlerhaftigkeit dann Personenschäden, so sind sie sind vom Hersteller bis zu einer Höhe von 85 Mio. Euro zu ersetzen.

Entstehen hingegen Sachschäden, dann müssen diese nur ersetzt werden, soweit andere Sachen als das Produkt selbst beschädigt wurden.

Dies ist ebenfalls ein ganz wesentlicher Unterschied zur - vertraglichen Gewährleistung, bei der ausschließlich Schäden an der verkauften Sache selbst zu ersetzen sind

Die Haftung wird weiter auf Sachen beschränkt, die für den Privatgebrauch bestimmt sind und auch hauptsächlich für private Zwecke genutzt wurden. Der Geschädigte muss sich zudem mit 500 Euro selbst an der Beseitigung des Sachschadens beteiligen. Bei der Haftung für Sachschäden gibt es allerdings im Gegenzug dann auch keine finanzielle Obergrenze.

 

Notwendigkeit und Zielsetzung des Datenschutzes

 

I.  Begriffsbestimmungen

Datenschutz ist ein aus dem 20. Jahrhundert stammender Begriff, der den Schutz im Hinblick personenbezogener Daten vor Missbrauch beschreibt.

Datenschutz dient dem Schutz des Rechts auf informationelle Selbstbestimmung, das dem allgemeinen Persönlichkeitsrecht (Art. 1, 2 I des Grundgesetzes GG) entspringt. Dieses gewährt dem Bürger das Recht, grundsätzlich selbst über Preisgabe und Verwendung seiner Daten zu entscheiden. Datenschutz dient also nicht dem Schutz der Daten, sondern dem der dahinter stehenden Menschen.

Durch die elektronische Datenverarbeitung, das Internet und stets vollkommener werdende Technik - z. B. im Bereich der Videoberwachung - wächst die Bedeutung des Datenschutzes spätestens seit den 1970er Jahren stetig.

Der Begriff Daten ist der eingedeutschte Plural von lat. pl. data, sg. datum "Gegebenes" (vgl. Datum). Die Informatik und Datenverarbeitung benutzen Daten als (maschinen)-lesbare und -bearbeitbare Repräsentation von Information. Die Information wird dazu in Zeichen(ketten) codiert, deren Aufbau strengen Regeln folgt, der so genannten Syntax.

In rechtlicher Hinsicht ist der Begriff “Daten” allerdings definiert als (potenzielle) Information. Hierbei handelt es sich um “Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person” (§ 3 I BDSG). Man unterscheidet außerdem noch:

• strukturierte Daten (z.B. Datenbanken, XML)
• unstrukturierte Daten (z.B. Dokumente)
• Einen umfassenden und sehr strukturierten Überblick über alle Fragen des Datenschutzes mit vielen Quellen und weitergehenden Materialien findet man unter

 

http://www.datenschutz.de/

 

II. Rechtsquellen des Datenschutzes

 

1. Grundsätzliches zur Aufgabenverteilung

Die Behandlung von Daten ist erst seit vergleichsweise kurzer Zeit Gegenstand von gesetzgeberischen Aktivitäten, seit diese Zeit aber in verstärkter Weise

Aufgrund des föderativen Staatsaufbaus der Bundesrepublik Deutschland und mit Rücksicht auf die verfassungsrechtlichen Zuständigkeitsverteilungen ist die Kontrolle des Datenschutzes auf verschiedene Schultern verteilt. Es besteht derzeit in ganzes System von parallelen, aber auch konkurrierenden Datenschutzbestimmungen, dabei sind “parallel” solche Bestimmungen immer dann, wenn sie nebeneinander bestehen und unterschiedliche Regelungsbereiche aufweisen, demgegenüber “konkurrierend” Vorschriften immer dann sind, wenn beide Vorschriften – möglicherweise – denselben Bereich betreffen.

Die Aufgaben des Datenschutzes sind dabei grundsätzlich wie folgt aufgeteilt:

• - Den Datenschutz bei den Bundesbehörden und anderen öffentlichen Stellen des Bundes sowie bei Telekommunikations- und Postunternehmen kontrolliert der Bundesbeauftragte für den Datenschutz.
• - Den Datenschutz im Bereich der Verwaltungen der Länder und der Gemeinden kontrollieren Landesbeauftragte für den Datenschutz.
• - Den Datenschutz im privaten Bereich (Unternehmen, Verbände, Selbständige usw.) – außer bei Telekommunikations- und Postunternehmen – kontrollieren die Aufsichtsbehörden der Länder.
• Dabei richtet sich die örtliche Zuständigkeit nach dem Sitz des Unternehmens. Den Datenschutz im privaten Bereich (Unternehmen, Verbände, Selbständige usw.) – außer bei Telekommunikations- und Postunternehmen, für die der Bundesbeauftragte für den Datenschutz zuständig ist – kontrollieren die Datenschutzaufsichtsbehörden der Länder. Dabei richtet sich die örtliche Zuständigkeit nach dem Sitz des Unternehmens. In manchen Bundesländern, gibt es neben der beim Landesinnenminister angesiedelten Obersten Aufsichtsbehörde für den Datenschutz noch regional zuständige Aufsichtsbehörden, die bei den Regierungspräsidien bzw. Bezirksregierungen angesiedelt sind. Eine Reihe von Ländern, wie beispielsweise Brandenburg, hat die Kontrollaufgabe allein dem Innenminister übertragen. In jüngster Zeit werden die Aufgaben der Aufsichtsbehörden zunehmend von Landesdatenschutzbeauftragten mit übernommen (z.B. Berlin), wobei eine strikte Unterscheidung zwischen den beiden Funktionen als Landesbeauftragter für den Datenschutz im öffentlichen Bereich und als Aufsichtsbehörde für den nicht-öffentlichen Bereich zu treffen ist
• Folgerichtig speist sich der gesetzliche Datenschutz auch aus einer Vielzahl von Quellen.

2. Bundesgesetzgebung

In der Bundesrepublik Deutschland regelt das Bundesdatenschutzgesetz (BDSG), welches am 14. Januar 2002 revidiert wurde, die gesetzlichen Bestimmungen zum allgemeinen Datenschutz. Dort wird unterschieden zwischen Datenschutz von staatlichen und von privaten Stellen.

Eine Volltextversion des BDSG ist einsehbar unter

http://www.datenschutz-berlin.de/recht/de/bdsg/bdsg03.htm

 

3. Ländergesetzgebung

 

Außerdem verfügt jedes Bundesland über ein eigenes Datenschutzgesetz, in dem ebenfalls ein Datenschutzbeauftragter vorgesehen ist. Die Landesbeauftragten für den Datenschutz (LfD) sind zuständig für die Kontrolle des Datenschutzes bei den Behörden der Landesverwaltung und den sonstigen öffentlichen Stellen jeweils ihres Landes, wozu auch die Kommunalverwaltungen gehören. 

Alle Ländergesetze im Volltext sind abrufbar unter

 

http://www.datenschutz.de/recht/gesetze/

 

 

3. Europäische Union

Neben der nationalen deutschen Gesetzgebung existiert außerdem eine – sogar weitergehende – Richtlinie der EU, die sog. EU-Datenschutzrichtlinie Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Zu finden ist diese Richtlinie unter

http://www.ad.or.at/office/recht/eu.htm

 

In diesem Regelwerk kommt – wie auch im Titel der Richtlinie – der Grundgedanke zum Ausdruck, einen möglichst freien Datenverkehr innerhalb der EU dadurch zu sichern, dass das Datenschutzrecht der Mitgliedstaaten auf hohem Niveau vereinheitlicht wird.

 

Regelungsgegenstand dieser Linie ist aber vor allem die Klärung, welches nationale Datenschutzrecht bei grenzüberschreitenden Fragestellungen jeweils maßgeblich sein soll.

Nach dieser EU-Datenverarbeitungsrichtlinie wird für diese Frage, welches Recht Anwendung findet,  Bezug auf die Niederlassung genommen (Art. 4 Abs. 1). Eine Niederlassung in diesem Sinne setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Auf die Rechtsform kommt es nicht an. Dies führt letztlich dazu, dass deutsches Datenschutzrecht anwendbar sein wird, wenn ein deutsches Unternehmen im Ausland Daten verarbeiten lässt oder ein ausländisches Unternehmen gleiches über deutsche Terminals tut. Fremdem Recht unterfallen hingegen Unternehmen mit Sitz außerhalb der EU, die nur dort Daten verarbeiten oder etwa ein Vertriebsbeauftragter, der mit seinem Laptop auf der Durchreise tätig ist.

 

Die Anwendung der deutschen datenschutzrechtlichen Regeln ist danach grundsätzlich außerdem unabhängig von privaten Rechtswahlklauseln (vgl. Art. 34 EGBGB). Sie ergibt sich aus der Reichweite der jeweiligen Gesetze. Da diese aber den räumlichen Anwendungsbereich bislang nicht explizit festlegen, herrscht allerdings noch Uneinigkeit. Einerseits könnte es auf den Sitz bzw. die Niederlassung der Daten verteilenden Stelle ankommen. Nach anderer Ansicht ist Bezugspunkt allein der Ort der Datenverarbeitung. In den meisten Fällen wird es auf diese Unterscheidung nicht ankommen, da sich der Ort der Datenverarbeitung zumeist am Sitz befinden wird.

 

Die Entscheidung in dieser Frage wird sicherlich in den nächsten noch die europäischen Gerichte beschäftigen.

 

II. Datenschutzbeauftragte

Der Datenschutzbeauftragte ist eine Person, die – nach dem jeweiligen Gesetz für Bund oder Land - beauftragt wurde, sich um die Einhaltung des Datenschutzes zu kümmern.

Für Deutschland ist der Datenschutzbeauftragte in § 4f und § 4g des Bundesdatenschutzgesetzes (BDSG) verankert.

Demnach sind öffentliche Stellen (z.B. Behörden) und nicht-öffentliche Stellen (z.B. Firmen, Verein) verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn diese personenbezogen Daten erheben oder verarbeiten (z.B. Arbeitnehmerdaten in der Personalabteilung, Kundendaten).

Allerdings benötigt nur jede private Stelle (z.B. Firma), in der fünf oder mehr Arbeitnehmer mit der Bearbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten, bei nicht-öffentlichen Stellen setzt diese Verpflichtung also erst ein, wenn mindestens fünf Personen mit dieser Verarbeitung beschäftigt sind - wenn die Verarbeitung nicht automatisiert erfolgt, also z.B. ohne PCs. In diesem Fall greift die Vorschrift erst ab 20 Beschäftigten.

Der Datenschutzbeauftragte hat die Pflicht, in seiner Behörde oder seinem Betrieb auf die Einhaltung der Datenschutzbestimmungen zu achten. Dabei soll er insbesondere die ordnungsgemäße Anwendung der Computer und Computerprogramme überwachen. Außerdem obliegt ihm die Schulung der Mitarbeiter, um sie für die Belange des Datenschutzes zu sensibilisieren.

Der Datenschutzbeauftragte ist in seinem Gebiet weisungsfrei und unabhängig von Vorgesetzten. Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden. Der Datenschutzbeauftragte ist schriftlich zu bestellen. Um wirklich unabhängig zu sein, kann keine Person aus der Geschäftsleitung diese Funktion übernehmen.

Der Verstoß gegen die gesetzlichen Vorschriften ist eine Ordnungswidrigkeit und kann mit bis zu 25.000 Euro geahndet werden.

Der Datenschutzbeauftragte des Bundes unterhält eine beachtenswerte Informationsplattform unter

http://www.bfd.bund.de/dsvonaz/

 

 

III. Personenbezogene Daten und ihre Schutzwürdigkeit

 

1. Grundsatz: Verbot mit Erlaubnisvorbehalt

Die deutschen Datenschutzgesetze unterscheiden zwar hinsichtlich Ihres Regelungsbereiches, aber kaum bzw. gar nicht hinsichtlich Ihres Inhalts. Am Beispiel des BDSG sei im Folgenden die Systematik des Gesetzes erläutert.

Die Anwendbarkeit von Datenschutzregeln setzt immer die Verarbeitung von personenbezogenen Daten voraus. Werden zwar solche Angaben verarbeitet (gespeichert, übermittelt, erhoben, genutzt), ist die dahinter stehende Person aber nicht – oder nur mit unverhältnismäßigem Aufwand – identifizierbar, ist dieses Erfordernis nicht erfüllt.

 

Praktisch alle Datenschutzgesetze enthalten als grundsätzliche Regelung ein präventives Verbot mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist demnach verboten, sofern sie nicht ausdrücklich per Gesetz erlaubt oder vom Betroffenen gestattet wird.

 

Als Konsequenz dieser Grundregel sind dann im Folgenden verschieden Ansprüche des Betroffenen geregelt:

 

2. Einzelrechte

Betroffene (also: alle Personen, über die Daten bei öffentlichen oder nicht-öffentlichen Stellen gespeichert sind), haben nach dem Bundesdatenschutzgesetz darauf aufbauend folgende unabdingbare Rechte:

• Auskunft darüber, ob und welche personenbezogenen Daten über sie gespeichert sind
• Auskunft darüber, aus welchen Quellen diese Daten stammen und zu welchem Verwendungszweck sie gespeichert werden
• Berichtigung von falschen personenbezogenen Daten
• Übermittlung seiner Daten an Dritte zu untersagen
• Löschung seiner Daten
• Sperrung seiner Datensätze
• a) Auskunft

Wichtigstes Instrument ist dabei das Recht des Einzelnen auf Auskunft;  jedermann hat demnach grundsätzlich das Recht auf Auskunft über die zu seiner Person gespeicherten Daten einschließlich der Information über die Herkunft dieser Daten.

Dieses Auskunftsrecht erstreckt sich sehr weitgehend, so z.B. auch auf die Information über den Empfänger und die Art der Daten. Werden außerdem personenbezogenen Daten automatisiert verarbeitet, erstreckt sich der Auskunftsanspruch auch auf den logischen Aufbau der automatisierten Verarbeitung.

Das Auskunftsrecht kann nur in Ausnahmefällen versagt werden, z.B. bei Gefahr für die ordnungsgemäße Erfüllung der Aufgaben der Daten verarbeitenden Stelle. Werden personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, z.B. durch Kreditauskunfteien, kann der Betroffene über Herkunft und Empfänger der Daten immer dann Auskunft verlangen, wenn nicht ausnahmsweise das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt.

Der Antrag auf Auskunftserteilung kann bei jeder Stelle formlos gestellt werden. Die Erteilung der Auskunft durch öffentliche Stellen ist kostenlos, auch private Stellen erteilen die Auskunft grundsätzlich unentgeltlich. Ein Entgelt (“Gebühr”) kann lediglich dann verlangt werden, wenn die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert und wenn der Auskunftsersuchende die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken (also z.B. zur Vorlage bei einem Vermieter) nutzen kann.

b) Benachrichtigung

Nach § 33 Abs. 1 BDSG ist jede, entsprechend verantwortliche Stelle außerdem verpflichtet, den Betroffenen von einer Speicherung (Art der Daten, Zweck, Identität der Stelle) zu benachrichtigen, wenn personenbezogene Daten erstmals ohne Kenntnis des Betroffenen gespeichert werden.

Eine Benachrichtigung ist nur dann nicht erforderlich, wenn der Patient auf andere Weise von der Speicherung oder Übermittlung Kenntnis erlangt hat (§ 33 Abs. 2 Nr. 1 BDSG).

Dies kann der Fall sein, wenn die Speicherung aufgrund der allgemeinen gesetzlichen Regelungen erfolgt und insofern als bekannt zu gelten hat, etwa bei den gesetzlichen Krankenversicherungen, wo die Abrechnung gemäß den §§ 295, 301 SGB V erfolgt.  Eine Benachrichtigung in diesen Fällen nicht nötig. Erfolgt die Übermittlung auf Grund einer gesetzlichen Befugnis oder gar Verpflichtung, ohne dass der Patient damit rechnen kann, so muss eine Benachrichtigung nach § 33 BDSG bei einer Weitergabe an Private erfolgen.

Erfolgt die Übermittlung an eine öffentliche Stelle, so richtet sich die Benachrichtigungspflicht nach dem jeweils anwendbaren Recht. Insbesondere im allgemeinen Datenschutzrecht der Länder gibt es dem § 33 BDSG entsprechende Benachrichtigungspflichten (z.B. § 26 Abs. 3 LDSG SH).

b) Datenkorrektur (Berichtigung, Gegendarstellung)

Nach § 35 Abs. 1 BDSG (vgl. auch § 20 Abs. 1 BDSG) sind ferner personenbezogene Daten, die unrichtig sind, zu berichtigen.

Zu berücksichtigen ist aber § 35 Abs. 6 BDSG: Erfolgt eine Datenspeicherung zu Dokumentationszwecken, so besteht kein Anspruch auf Berichtigung (bzw. auf Sperrung oder Löschung).

Ein Anspruch auf Korrektur besteht außerdem bei objektiv nicht haltbaren oder bei ehrverletzenden Angaben. Bei falschen, aber dokumentationspflichtigen Daten muss auf Verlangen des Betroffenen für die gesamte Dauer der Speicherung eine Gegendarstellung des Patienten beigefügt werden. Werden dann Daten übermittelt, darf dies nicht ohne diese Gegendarstellung erfolgen (§ 35 Abs. 6 S. 2, 3 BDSG).

c) Datensperrung

Sperren ist "das Kennzeichnen personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken" (§ 3 Abs. 4 S. 2 Nr. 4 BDSG). Diese Kennzeichnung kann bei elektronischer Datenverarbeitung technisch z.B. durch Ausblendung erfolgen oder durch eine inhaltliche Ergänzung des Datenfeldes. Bei konventioneller Datenspeicherung ist eine eindeutig erkennbare Markierung notwendig, aus der hervorgeht, dass die Daten grundsätzlich nicht genutzt werden dürfen.

Der Betroffene hat einen Anspruch auf Datensperrung, wenn Daten aus persönlichkeitsrechtlichen Gründen gelöscht werden müssten (dazu unten), die Löschung aber nicht möglich ist, z.B. weil gesetzliche oder sonstige rechtliche Aufbewahrungsfristen entgegenstehen, weil die Löschung schutzwürdige Betroffeneninteressen beeinträchtigen würde oder diese einen unverhältnismäßig großen Aufwand verursachen würde (§ 35 Abs. 3 BDSG, vgl. § 20 Abs. 3 BDSG).

Daten sind außerdem zu sperren, soweit der Betroffene ihre Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (sog. Non-Liquet-Fälle, § 35 Abs. 4 BDSG, vgl. § 20 Abs. 4 BDSG). Dieser Grundsatz schließt aber nicht aus, dass die verantwortliche Stelle auf Grund besonderer gesetzlicher Rechtfertigung die Daten verarbeiten darf.

Die Nutzung der gesperrten Daten ist ohne Einwilligung des Betroffenen ansonsten nur zulässig zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder bei Unerlässlichkeit aus sonstigen im überwiegenden Interesse liegenden Gründen (§ 35 Abs. 8 BDSG, vgl. § 20 Abs. 7 BDSG).

d) Datenlöschung bzw. Aktenvernichtung

Löschen ist "das Unkenntlichmachen gespeicherter personenbezogener Daten" (§ 3 Abs. 4 S. 2 Nr. 5 BDSG, § 2 abs. 2 Nr. 5 LDSG SH). Die Löschung kann dadurch erfolgen, dass der Datenträger mitsamt den darauf enthaltenen Daten zerstört wird, z.B. durch Schreddern von konventionellen Akten oder Festplatten. Eine andere Möglichkeit besteht darin, die Lesbarkeit auszuschließen, ohne den Datenträger zu vernichten, z.B. durch Schwärzen eines Schriftstücks oder durch Überschreiben einer Diskette.

Alle gespeicherten Daten sind nach § 35 Abs. 2 Nr. 1 BDSG (vgl. § 20 Abs. 2 Nr. 1 BDSG) zu löschen, wenn ihre Speicherung unzulässig ist. Die Unzulässigkeit kann darauf beruhen, dass die Erhebung beim Betroffenen oder die Übermittlung von einem Dritten mit dem Datenschutzrecht nicht vereinbar war, sei es z.B., dass keine wirksame Einwilligungserklärung vorlag.

Nach § 35 Abs. 2 Nr. 3 BDSG (vgl. § 20 Abs. 2 Nr. 2 BDSG) muss eine Löschung aber auch erfolgen, sobald die Kenntnis der Daten für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist.

Die fehlende Erforderlichkeit der weiteren Datenspeicherung ergibt sich jedoch nicht schon durch die Beendigung einer weiteren Nutzung. Zu beachten sind nämlich diejenigen Fälle, in denen diese Daten aus gesetzlichen Dokumentationsgründen aufbewahrt werden müssen.

• Beispiele:
• Nach § 32 Abs. 2 Strahlenschutzverordnung und § 28 Abs. 4 Nr. 1 RöntgVO sind Aufzeichnungen über die Behandlung mit radioaktiven Stoffen sowie über Röntgenbehandlungen 30 Jahre (bei Untersuchung nur 10 Jahre) nach der letzten Behandlung aufzubewahren. Nach § 10 Abs. 3 MBO-Ä gilt entsprechendes z.B. bei ärztlichen Behandlungen für Patientendaten. 
• Abrechnungsdaten werden nicht mehr benötigt, wenn sie für finanzrechtliche Zwecke - Abrechnung nach SGB V, Dokumentationspflichten nach Handelsgesetzbuch bzw. Steuerrecht - nicht mehr aufbewahrt werden müssen.

Forschungsgründe für sich allein können allerdings eine personenbezogene Aufbewahrung von Unterlagen grundsätzlich nicht rechtfertigen. Hier bedarf es entweder einer ausdrücklichen Einwilligung des Patienten oder einer Anonymisierung bzw. Pseudonymisierung der Datensätze.

Sind Daten sowohl elektronisch wie auch konventionell gespeichert, so besteht eine Aufbewahrungsnotwendigkeit nur bzgl. des Mediums, mit dem der Dokumentationspflicht genügt werden soll. Dies dürfte heute noch weitgehend die konventionelle (Papier-) Akte sein. Elektronische Speicherungen können und sollten früher gelöscht werden, zumal sich durch redundante Speicherungen die Missbrauchsrisiken erhöhen; dies gilt wegen des leichten Zugriffs- und Auswertungsmöglichkeiten insbesondere bei elektronischen Datenspeicherungen.

e) Widerspruch/Einwand

Nach § 35 Abs. 5 BDSG (vgl. § 20 Abs. 5 BDSG) hat jedermann weiterhin das Recht, unter Hinweis auf persönliche Gründe gegen die Verarbeitung seiner Daten einen Widerspruch bzw. Einwand zu erheben.

Voraussetzung ist das Vorliegen eines besonderen schutzwürdigen Interesses, welches das Interesse an der Datenverarbeitung überwiegt.  In derartigen Fällen hat der Betroffene dann die Möglichkeit, wegen der besonderen persönlichen Gründe gegen eine vorgesehene Datenerhebung oder Datennutzung Widerspruch einzulegen. Die verantwortliche Stelle muss darüber entscheiden, ob im konkreten Einzelfall das Betroffeneninteresse das Verarbeitungsinteresse überwiegt.

Erfolgt ein Widerspruch (Einwand) nach einer für sich genommenen dokumentationspflichtigen Datenbearbeitung, so rechtfertigt der Widerspruch nicht die Datenlöschung. Erweist sich der Widerspruch als begründet, so muss statt einer Löschung eine Sperrung der Daten erfolgen (§ 35 Abs. 3 Nr. 1 BDSG, vgl. § 20 Abs. 3 Nr. 1 BDSG).

f) Schadensersatzanspruch

Wird dem Betroffenen durch eine unzulässige Verarbeitung seiner Daten ein Schaden zugefügt, so ist die Daten verarbeitende Stelle diesem gegenüber zum Schadensersatz verpflichtet. Diese Ersatzpflicht entfällt nur, wenn die Daten verarbeitende Stelle nachweisen kann, dass sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat (§ 7 BDSG). Während im privaten Bereich ein Anspruch mit einer Art Beweislastumkehr besteht, gilt im öffentlichen Bereich weitergehend eine verschuldensunabhängige Ersatzpflicht (vgl. § 8 BDSG, § 30 LDSG SH). Ist ein Verschulden der Mitarbeiter der verantwortlichen Stelle nachweisbar, so kommt zusätzlich ein Anspruch nach § 823 BGB in Betracht.

Zunächst sollte sich der Betroffene soweit es einen betrieblichen bzw. behördlichen Datenschutzbeauftragten gibt, an diesen wenden (§§ 4f, 4g BDSG, insbes. § 4f Abs. 5 S. 2 BDSG). Dieser ist wegen seiner Fachkenntnis in der Regel am ehesten in der Lage, kostenfrei und unbürokratisch eine einvernehmliche Lösung bzw. Klärung herbeizuführen. Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird (§ 4f Abs. 4 BDSG).

Gelingt eine Klärung durch die verantwortliche Stelle selbst nicht, so kann ebenso unentgeltlich die Datenschutzkontrollbehörde angerufen werden.

Dies sind (s. o.) im nicht-öffentlichen Bereich die Aufsichtsbehörden der Länder nach § 38 BDSG; im öffentlichen Bereich erfolgt die Datenschutzkontrolle durchgängig durch die staatlichen Datenschutzbeauftragten (§§ 21, 24 BDSG).

• Keine eigenen Ermittlungsmöglichkeiten, jedoch eine Vielzahl von rechtlichen Handlungsmöglichkeiten bis hin zur Befugnis als Verband zu klagen, haben die Verbraucherzentralen. Diese sind seit kurzem bundesweit im Verbraucherzentrale Bundesverband e.V. (vzbv) zusammengeschlossen.

• g) Strafanzeige

Verstöße gegen das Datenschutzrecht sind außerdem soweit sie vorsätzlich oder zumindest fahrlässig begangen wurden, oft auch als Ordnungswidrigkeit (§ 43 BDSG) oder Straftat (§ 44 BDSG) zu bestrafen.

Sämtliche Straftatbestände sind als Antragsdelikte ausgestaltet (§ 44 Abs. 2 BDSG, § 205 StGB); d.h. die Tat wird nur auf einen entsprechenden Strafantrag hin verfolgt. Der Antrag kann immer auch durch den Betroffenen gestellt werden.

• Zu beachten ist jedoch:
• Ein solcher Antrag des Patienten muss nach § 77b StGB innerhalb einer Frist von drei Monaten nach Kenntniserlangung von den strafrechtlich relevanten Umständen gestellt werden.
• Wird die Staatsanwaltschaft nicht tätig oder wird von ihr - entgegen der Überzeugung des Patienten - das Verfahren nach den §§ 170 Abs. 2, 153 StPO eingestellt, so besteht die Möglichkeit, die Datenschutzkontrollbehörde zu unterrichten und zu bitten, tätig zu werden. Diese hat seit 2001 gegenüber der Staatsanwaltschaft ein eigenständiges Strafantragsrecht bei Datenschutzverstößen (§ 44 Abs. 2 S. 2 BDSG).

2. Datenschutz im Internet

Ein bedeutendes Problem für den Datenschutz bzw. die Sicherheit bei der Erhebung und Übertragung von Daten ist die wachsende wirtschaftliche und kulturelle Bedeutung des Internets.

Das Netz birgt nicht nur eine aufgrund der technischen Möglichkeiten erhöhte Gefahr der unberechtigten Datenweitergabe. Die erhöhte Anzahl innerhalb kurzer Zeit möglicher Zugriffe auf für sich genommen unwesentliche personenbezogene Daten erlaubt zudem die Erstellung immer genauerer Persönlichkeitsprofile. Bedenklich erscheint insbesondere die Möglichkeit der Erstellung von Autoren- oder Surfprofilen, die das Verhalten eines Users im Internet auswerten.

Dies gründet darauf, dass der Benutzer bei der Nutzung des Netzes eine Datenspur hinterlässt, die verfolgbar ist. Er kann über seine Nutzungs- und Abrechnungsdaten lokalisiert und identifiziert werden. Aus diesem Grunde wurden im Teledienstedatenschutzgesetz (TDDSG) Schutznormen für die Nutzungs- und Abrechnungsdaten geschaffen (insbesondere §§ 5, 6 TDDSG). Weitere u.U. einschlägige Datenschutznormen finden sich bereits in § 89 1KG, in der TDSV und dem 3 DSG.

Von den datenschutzrechtlichen Problemen streng zu trennen sind Fragen der Datensicherheit, die Verschlüsselung, Vertraulichkeit und Zuverlässigkeit des Datenverkehrs betreffend. Die Gefahren des Verlustes von Vertraulichkeit, Integrität und Verfügbarkeit betreffen nicht die datenschutzrechtlichen Regelungen und sind auch nicht hier zu lösen.

Rechtsanwalt Ulf Richter, Bielefeld.