BDSG 2018 – § 46 – online-Kommentar

§ 46 Begriffsbestimmungen

Es bezeichnen die Begriffe:

  1. „personenbezogene Daten” alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
  2. „Verarbeitung” jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
  3. „Einschränkung der Verarbeitung” die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
  4. „Profiling” jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
  5. „Pseudonymisierung” die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;
  6. „Dateisystem” jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
  7. „Verantwortlicher” die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
  8. „Auftragsverarbeiter” eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
  9. „Empfänger” eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
  10. „Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden;
  11. „genetische Daten” personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;
  12. „biometrische Daten” mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
  13. „Gesundheitsdaten” personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
  14. „besondere Kategorien personenbezogener Daten”

a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,

b) genetische Daten,

c) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

d) Gesundheitsdaten und

e) Daten zum Sexualleben oder zur sexuellen Orientierung;

15. „Aufsichtsbehörde” eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle;

16. „internationale Organisation” eine völkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;

17. „Einwilligung” jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Kommentar

§ 46 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.

 

Die zur Umsetzung der Richtlinie (EU) 2016/680 eingeführten Begriffsbestimmungen gemäß § 46 sind ungewöhnlich verortet, denn sie gelten dem Wortlaut nach (vgl. § 45) allein für den dritten Teil (§§ 45 bis 84) und nicht für die anderen Teile des Gesetzes, ohne dass für diese Teile andere Begriffsbestimmungen erkennbar wären. Es stellt sich daher die Frage, ob die Begriffsbestimmungen für die anderen Teile des Gesetzes nicht gelten sollen. Auf die Begriffsbestimmungen nach Art. 4 DSGVO kann für die Anwendung des BDSG 2018 nicht ohne Weiteres zurückgegriffen werden, denn diese gelten für die DSGVO. Da die Begriffsbestimmungen ganz grundlegende Bedeutung besitzen, z. B. „Verarbeitung“ (Nummer 2) und „Einwilligung“ (Nummer 17), entsteht für den unbefangenen Leser des Gesetzes der Eindruck, dass die Regelungen des dritten Abschnittes für Verarbeitungsvorgänge generell gelten. Das ist aber nicht der Fall, vielmehr gelten die §§ 45 bis 84 ausschließlich für die in § 45 genannten Zwecke und die dort genannten Stellen.

Das Gesetz gibt ebenso wenig wie die Entwurfsbegründung (BT Drs. 18/11325) eine Antwort auf die Frage, ob die Begriffsbestimmungen auch für die anderen Teile des Gesetzes gelten oder ob sie ausschließlich und speziell für die im 3. Teil geregelten Verarbeitungen zu Zwecken der Strafverfolgung etc. Anwendung finden sollen. Gründe für eine ausschließliche Anwendung auf den dritten Teil sind nicht ersichtlich. Insbesondere ist nicht erkennbar, dass spezifische Belange der Strafverfolgung oder Gefahrenabwehr ein anderes Begriffsverständnis erfordern. Es ist deshalb davon auszugehen, dass die Begriffe grundsätzlich einheitlich für das gesamte BDSGV 2018 gelten.

Nummern 1 bis 9 sind gleichlautend mit Art. 4 Nummern 1 bis 9 DSGVO.

Nummer 10 entspricht Art. 4 Nummer 12 DSGVO.

Nummern 11 bis 13 entsprechen Art. 4 Nummern 13 bis 15 DSGVO.

Nummer 14 enthält die Definition „besonderer Kategorien personenbezogener Daten“ (Art. 9 Absatz 1 DSGVO; Art. 10 Richtlinie (EU) 2016/680).

Nummer 15 verweist auf Art. 41 der Richtlinie (EU) 2016/680 und entspricht Art. 4 Nummer 21 DSGVO mit der Maßgabe, dass von den Mitgliedstaaten eingerichtete Aufsichtsbehörden gemeint sind.

Nummer 16 entspricht Art. 4 Nummer 26 DSGVO.

Nummer 17 bezieht sich auf die in § 51 thematisierte Einwilligung unter Übernahme der Definition aus der Verordnung (EU) 2016/679.

zurück zum BDSG 2018