Gehen Sie um mit Informationen über natürliche Personen? Dann sind Sie höchstwahrscheinlich vom neuen Bundesdatenschutzgesetz (BDSG) betroffen, vorausgesetzt, daß Sie Personenbezogene Daten in einer Datei speichern, verändern, löschen, aus einer Datei übermitteln oder daraus entnehmen. Sie haben eine solche Datei, wenn Sie über eine Sammlung von Personenbezogenen Daten verfügen, die nach bestimmten Merkmalen geordnet ist und sich nach anderen Merkmalen umordnen und auswerten läßt.
Fühlen Sie sich bis jetzt betroffen und verarbeiten Sie personenbezogene Daten ausschließlich für Sie selbst oder nicht automatisch, dann brauchen Sie nur technische und organisatorische Maßnahmen zur Datensicherung zu ergreifen, und haben sich sonst um das BDSG nicht zu kümmern. Genauso dürfen Sie sich verhalten, wenn Sie ein Unternehmen von Presse, Rundfunk und Fernsehen sind und die personenbezogenen Daten nur für Ihre eigenen publizistischen Zwecke verarbeiten.
ÖDV oder PDV oder GDV ?
Falls Sie sich jetzt immer noch zu den Betroffenen des BDSG zählen müssen, haben Sie noch genügend Zeit, mit dem Gesetz sich in aller Ruhe zu befassen, denn es tritt erst am 1. Januar 1978 in Kraft, Ihre Datensicherung (Anlage zu ° 6) brauchen Sie sogar erst bis zum 31. Dezember 1978 perfektioniert zu haben.
Sollten Sie an meiner folgenden ersten kleinen BDSG-Gebrauchsanweisung interessiert sein, dann beachten Sie bitte, ob Sie als öffentliche Stelle nach Bundesrecht personenbezogene Daten verarbeiten (ÖDV), ob Sie als nicht-öffentliche Stelle oder Person mit personenbezogenen Daten umgehen (PDV) oder als Nichtöffentlicher geschäftsmäßig personenbezogene Daten für fremde Zwecke verarbeiten (GDV). Die Vorschriften für ÖDV, PDV und GDV sind nämlich teilweise verschieden.
Von den oben genannten Ausnahmen abgesehen, darf sich jede Verarbeitung von personenbezogenen Daten künftig nur noch nach den Regeln des BDSG vollziehen. Nur wenn Sie sich auf eine Rechtsvorschrift beziehen können, die den Umgang mit personenbezogenen Daten anders regelt als das BDSG, oder wenn Sie im Besitze einer vorher eingeholten schriftlichen Extra-Erlaubnis des von Ihnen "verdateten" Menschen sind dürfen Sie vom BDSG abweichen und den vor den dort vorgesehenen Strafen oder Bußgeldern sicher sein. Vergessen Sie nicht Ihre personenbezogenen Daten vor dem Zugriff Unbefugter und vor Manipulation wirksam zu schützen. Der ° 6 des BDSG und die Anlage dazu Ende des Gesetzes hilft Ihnen die zu erreichenden Ziele zur Datensicherung erkennen. Sie müssen auch Personal, das mit personenbezogenen Daten umgeht,, über das neue Recht informieren und ihm klarmachen, daß es fortan zur Wahrung des Datengeheimnisses gesetzlich verpflichtet ist - auch nach dem Ausscheiden bei Ihnen.
Bundes-Datenschutzbeauftragter nur für die Bundesbehörden
Machen Sie als Bundesstelle ÖDV, dann wacht das Argusauge des Bundesbeauftragten für den Datenschutz über Sie, der ab 1978 alles sehen und betreten darf, was mit der Verarbeitung von personenbezogenen Daten zusammenhängt. Dem müssen Sie dann ihre Dateien auch melden, Art der personenbezogenen Daten und Verwendungszweck, betroffenen Personenkreis, regelmäßige Empfänger und was denen übermittelt wird. Dateien, die Anfang 1978 schon bestehen, müssen bis Ende 1978 amtlich bekanntgemacht werden, neue Dateien unverzüglich.
Eigener Betriebs-Beauftragter
Machen Sie PDV oder GDV, dann müssen Sie ab 1. Juli 1977 einen eigenen Beauftragten für Datenschutz bestellen - vorausgesetzt, daß bei der automatischen Verarbeitung von personenbezogenen Daten bei Ihnen mindestens fünf Leute ständig beschäftigt sind. Arbeiten Sie nicht automatisch, dann liegt diese Schwelle bei 20 Mitarbeitern. Dieser Betriebsbeauftragte muß fachkundig und zuverlässig sein und dem obersten Chef direkt unterstellt werden. Er darf für den Datenschutz in allem herumschnüffeln was mit der Verarbeitung von personenbezogenen Daten zusammenhängt. Sie können ihn nicht "zwiebeln", wenn er Fehler, Schlampigkeiten oder Illegalitäten entdeckt, sondern Sie müssen ihm helfen, das sofort abzustellen.
Kontrolle durch Landesbehörde
Machen Sie PDV und sollte sich jemand, der sich begründet von Ihnen in seinen Rechten verletzt fühlt, oder Ihr Datenschutzbeauftragter hilfesuchend an die zuständige Landesaufsichtsbehörde wenden, darf sie zu Ihnen kommen und sich mit Ihnen auseinandersetzen. Machen Sie GDV, dann müssen Sie Ihr Geschäft ab 1978 binnen eines Monates anmelden und dabei die in ° 39, Absatz 2, verlangten Angaben Machen. Bei der GDV darf die Behörde auch ohne Anlaß kontrollieren.
Postkarte oder etwas anderes
Wenn Sie für PDV. ab 1978 erstmals über eine Person Daten speichern, müssen Sie diese Personen mit einer Postkarte davon in Kenntnis setzen, es sei denn, Sie sind sicher, daß diese Betroffenen - etwa bei der Datenerhebung - auf andere Weise davon erfahren. Bei GDV ist die Postkarte an den Betroffenen in jedem Fall ab 1978 fällig, und zwar mit der ersten Übermittlung an Dritte. Über die Speicherung von personenbezogenen Daten, die Sie für PDV oder GDV schon vor 1978 durchführten, müssen Sie den Betroffenen benachrichtigen, wenn Sie diese Daten nach dem 1. 1. 78 an Dritte übermitteln.
Auskunft gegen Rechnung
Der von Ihnen verdatete Mensch kann jederzeit Auskunft darüber verlangen, was Sie über ihn wissen, egal, ob Sie ÖDV, PDV oder GDV machen. Die Auskunft darf nur verweigert werden, wenn das übergeordnete Interessen Dritter oder die öffentliche Sicherheit und Ordnung gefährden würde. Für die mit der Auskunft unmittelbar entstehenden, Kosten dürfen Sie vom Auskunftersuchenden Geld in Höhe der für die Auskunft angefallenen Kosten verlangen - aber nicht, falls sich aus der Auskunft die Unrichtigkeit eine Datums ergibt oder der Betroffene Korrektur oder Löschansprüche geltend machen kann.
Löschen und Sperren
Für ÖDV, PDV und GDV gilt gleichermaßen: Unrichtige personenbezogene Daten müssen berichtigt, und unzulässig gespeicherte personenbezogene Daten müssen gelöscht werden. Mindestens die Sperrung ist fällig, wenn Sie für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist - auf Antrag des Betroffenen muß in solchen Fällen sogar gelöscht werden. Ist die Richtigkeit eines Datums umstritten, dann muß es gesperrt werden; bei PDV und GDV besteht sogar Löschzwang, falls es sich um Angaben über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten, religiöse oder politische Anschauungen handelt.
Speichern, Verändern oder Übermitteln innerhalb des öffentlichen Bereichs ist bei ÖDV an das Recht zur Kenntnis und die unverzichtbare Notwendigkeit der Kenntnis für die Aufgabenerfüllung gebunden. Wer als Privater von einer öffentlichen Stelle ein personenbezogenes Datum haben will, muß ein berechtigtes Interesse glaubhaft machen und bekommt es dann trotzdem nicht, wenn durch die Übermittlung schutzwürdige Belange des Betroffenen beeinträchtigt würden.
Allein für den Zweck des Vertrages
Speichern, Verändern und Übermitteln bei PDV ist im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gestattet - aber auch - zugunsten der Interessen der speichernden Stelle - wenn dadurch nicht schutzwürdige Belange des Betroffenen verletzt werden. Das letztere gilt auch für die Übermittlung im Interesse Dritter oder der Allgemeinheit. Erleichterte Prüfbedingungen auf die schutzwürdigen Belange bestehen nur für die wenigen in ° 24, Absatz 2, aufgeführten einfachen Identifikationsdaten, die deshalb aber dennoch reine freien Daten sind.
Schach dem Adreß-Handel
Bei GDV darf nur gespeichert, verändert und übermittelt werden, wenn schutzwürdige Belange des Betroffenen auf keinen Fall verletzt werden. Die Gründe für die Übermittlung müssen aufgezeichnet werden. Erleichterte Bedingungen für die Übermittlung bestehen bei GDV für listenmäßige Weitergabe von personengruppen unter Angabe von Name, Titel, akademischen Graden und Anschrift. Die personenbezogenen Daten der GDV sind in der Regel nach fünf Jahren zu sperren, auf Antrag des Betroffenen sogar zu löschen.