rechtssicher zu neuen kunden

Werbung
RECHTSSICHER ZU NEUEN KUNDEN
Gesetzliche Regelungen und ihre Auswirkungen
Grundlagen und Voraussetzungen
Was unzulässig ist
Korrektes Opt-in-Verfahren
Datenspeicherung, -verarbeitung, -nutzung
Korrekt auf allen Wegen
Wann es ohne Opt-in geht
Der Adressat hat die Wahl
beDirect ist ein Joint Venture von arvato und Creditreform
Das richtige Geschäftsgebaren
GRUNDLAGEN UND VORAUSSETZUNGEN
Erfolg im Direktmarketing hängt zu einem großen Teil von der zielgruppengerechten Ansprache der
Kunden und Interessenten ab. Das funktioniert nur dann, wenn exakte und umfassende personenbezogene Daten vorliegen. Diese spezifischen Informationen unterliegen je nach Werbeform unterschiedlichen Gesetzen. Was in der Telefonwerbung erlaubt ist und was nicht, regelt das Gesetz gegen
den unlauteren Wettbewerb (UWG). Es gilt auch für Fax, SMS und MMS.
Die geschäftliche Handlung
Die geschäftliche Handlung bezieht sich
nicht allein auf alles, was vor dem Vertragsabschluss stattfindet. Vielmehr schließt sie
auch den Vertragsschluss selbst mit ein. Sie
umfasst die Vertragsabwicklung und die
nachvertraglichen Rechte, beispielsweise
Reklamationen. (vgl. § 3 UWG)
Als unlauter und damit unzulässig werden
alle geschäftlichen Handlungen eingestuft,
die dazu geeignet sind, die Interessen von
Mitbewerbern, Verbrauchern oder sonstigen
Marktteilnehmern spürbar zu beeinträchtigen. Hierbei ist der Begriff „spürbar“ von besonderer Bedeutung. (vgl. § 3 Abs. 1 UWG)
2
Besondere fachliche Sorgfalt fordert das
Gesetz von Unternehmern im Umgang mit
Verbrauchern. Verletzt der Unternehmer
seine Sorgfaltspflicht und kann sich der Verbraucher auf Grund der vorliegenden Informationen nicht richtig geschäftlich entscheiden, ist das ebenfalls unzulässig.
(vgl. § 3 Abs. 2 UWG)
Die Blacklist
Die sogenannte Blacklist
(deutsch: schwarze Liste) stuft insgesamt
30 Geschäftshandlungen als unzulässig
ein. Die ersten 24 Punkte untersagen irreführende Handlungen. Die Nummern 25
bis 30 untersagen aggressives Geschäftsgebaren. (vgl. § 3 Abs. 3 UWG)
Ein Joint Venture von arvato und Creditreform
Verbot der Irreführung
Das Verbot der Irreführung bezieht sich auf
jedes geschäftliche Verhalten. Eine geschäftliche Handlung ist irreführend, wenn sie auf
unwahren Angaben oder sonstigen Angaben
beruht, die zur Täuschung geeignet sind.
(vgl. § 5 UWG)
Eine Irreführung wird auch durch Unterlassen
hervorgerufen. Damit ist vor allem das Vorenthalten von wesentlichen Informationen und
Tatsachen gemeint.
Ob das Verschweigen einer Tatsache irreführend ist, wird vor allem danach beurteilt,
inwieweit es die Entscheidungsfähigkeit des
Verbrauchers beeinträchtigen und dessen geschäftliche Entscheidung beeinflussen kann.
Dabei sind etwaige Beschränkungen des
Kommunikationsmittels zu berücksichtigen.
(vgl. § 5 a UWG)
Als wesentliche Informationen im Sinne des
§ 5 a Abs. 3 UWG gelten:
• Alle wesentlichen Merkmale der Ware oder
Dienstleistung in dem dieser und dem ver wendeten Kommunikationsmittel angemes senen Umfang. (vgl. Nr. 1)
Die Identität und Anschrift des Unterneh mers, gegebenenfalls die Identität und An schrift des Unternehmers, für den er han-
delt. (vgl. Nr. 2)
Der Endpreis oder in Fällen, in denen ein
solcher Preis auf Grund der Beschaffenheit
der Ware oder Dienstleistung nicht im Vor aus berechnet werden kann, die Art der
Preisberechnung sowie gegebenenfalls alle
zusätzlichen Fracht-, Liefer- und Zustellkosten
oder in Fällen, in denen diese Kosten nicht im Voraus berechnet werden können, die
Tatsache, dass solche zusätzlichen Kosten
anfallen können. (vgl. Nr. 3)
Zahlungs-, Liefer- und Leistungsbedingun-
gen sowie Verfahren zum Umgang mit Be schwerden, soweit sie von Erfordernissen der
fachlichen Sorgfalt abweichen. (vgl. Nr. 4)
Das Bestehen eines Rechts zum Rücktritt
oder Widerruf. (vgl. Nr. 5)
•
•
•
•
Als wesentlich im Sinne des Absatzes 2 gelten
auch Informationen, die dem Verbraucher auf
Grund rechtlicher Vorschriften oder Richtlinien
nicht vorenthalten werden dürfen.
(vgl. § 5 a Abs. 4 UWG)
3
Wichtige Regelungen für das Direktmarketing
WAS UNZULÄSSIG IST
Beim Direktmarketing gibt es wie bei herkömmlicher Werbung eine Reihe von Regelungen und Vorschriften zu beachten. Besonders streng sind die Regelungen bei Werbung, die sich an Verbraucher
richtet.
Verhaltenskodizes
Gewinnspiele und Preisausschreiben
Als Missbrauch von Verhaltenskodizes und
damit als unzulässig gilt,
Es ist verboten,
• wenn ein Unternehmer fälschlicherweise
behauptet, zu den Unterzeichnern eines
Verhaltenskodexes zu gehören.
(vgl. § 3 Abs. 3 UWG Nr. 1)
wenn ein Unternehmer fälschlicherweise
behauptet, ein Verhaltenskodex sei von
einer öffentlichen oder anderen Stelle ge-
billigt. (vgl. § 3 Abs. 3 UWG. Nr. 3)
•
• den unzutreffenden Eindruck zu erwecken,
dass der Verbraucher seine Gewinnchancen
beim Glücksspiel erhöht, indem er eine
bestimmte Ware erwirbt oder eine Dienst leistung in Anspruch nimmt.
(vgl. § 3 Abs. 3 UWG Nr. 16)
den unzutreffenden Eindruck zu erwecken,
der Verbraucher habe bereits einen Preis
gewonnen, werde ihn gewinnen oder
einen bestimmten Vorteil erlangen. Das
gilt zum einen, wenn es einen solchen Preis
oder Vorteil gar nicht gibt. Zum anderen
darf der Anbieter die Vergabe des Preises
oder Vorteils auch nicht von der Zahlung
eines Geldbetrags oder der Übernahme
von Kosten abhängig machen.
(vgl. § 3 Abs. 3 UWG. Nr. 17)
einen Wettbewerb oder ein Preisausschrei ben anzubieten, wenn weder die in Aus sicht gestellten Preise noch ein angemes senes Äquivalent vergeben werden.
(vgl. § 3 Abs. 3 UWG. Nr. 20)
•
•
Ohne Werbung geht es nicht – auf das „Gewusstwie“ kommt es an.
Sonst drohen Strafen und Imageverlust.
4
Ein Joint Venture von arvato und Creditreform
Gratis-Angebote
Undurchsichtige Verkaufsförderung
Niemand darf eine Ware oder Dienstleistung als „gratis“, „umsonst“, „kostenfrei“
oder ähnlich anbieten, wenn hierfür in Wirklichkeit Kosten zu tragen sind. Dies gilt nicht
für Kosten, die im Zusammenhang mit dem
Eingehen auf das Waren- oder Dienstleistungsangebot, für die Abholung und Lieferung der Ware sowie für die Inanspruchnahme der Dienstleistung unvermeidbar
sind. (vgl. § 3 Abs. 3 UWG. Nr. 21)
Aktionen, die den Verkauf fördern, müssen
transparent sein. Unlauter handelt,
• wer bei Maßnahmen zur Verkaufsförde
rung, beispielsweise Preisnachlässen, Zu-
gaben oder Geschenken, die Bedingungen
für die Inanspruchnahme nicht klar und
eindeutig angibt. (vgl. § 4 UWG Nr. 4)
wer bei Preisausschreiben oder Gewinn spielen mit Werbecharakter die Teilnahme bedingungen nicht klar und eindeutig
angibt. (vgl. § 4 UWG Nr. 5)
•
An Kinder gerichtete Werbung
Es ist nicht zulässig, in Werbung Kinder aufzufordern, die beworbene Ware zu erwerben oder die beworbene Dienstleistung in
Anspruch zu nehmen. Kinder dürfen auch
nicht aufgefordert werden, ihre Eltern oder
andere Erwachsene dazu zu veranlassen.
(vgl. § 3 Abs. 3 UWG Nr. 28)
Verdeckte Werbung
Kopplung
Es ist verboten, die Teilnahme von Verbrauchern an Preisausschreiben und Gewinnspielen davon abhängig zu machen, ob sie eine
Ware kaufen beziehungsweise eine Dienstleistung in Anspruch nehmen. Es sei denn,
das Preisausschreiben/Gewinnspiel ist naturgemäß mit dieser Ware oder der Dienstleistung verbunden. (vgl. § 4 UWG . Nr. 6)
Als unlautere Handlung gilt, den Werbecharakter von geschäftlichen Handlungen
zu verschleiern. (vgl. § 4 UWG Nr. 3)
5
Wenn die Erlaubnis gefragt ist
KORREKTES OPT-IN-VERFAHREN
Bestimmte Werbeformen – etwa Werbeanrufe bei Verbrauchern oder Telefaxwerbung – sowie die
Datenspeicherung für personalisierte Werbung bedürfen einer ausdrücklichen Erlaubnis des Adressaten. Dieses sogenannte Opt-in kann sowohl schriftlich als auch mündlich oder elektronisch eingeholt werden.
Je nach Werbeform ist es in zwei verschiedenen Gesetzen geregelt: für Telefon, Fax und
elektronische Werbung im UWG; für Printwerbung im BDSG.
Mündliche Erklärung
Bei einer mündlichen Erklärung muss der
Verantwortliche oder das Unternehmen eine
Bestätigung abgeben. Findet das Opt-in über
ein Voice-File statt, also eine akustische Aufnahme, so muss der Betreffende zunächst der
Aufnahme zustimmen.
Die Beweislast dafür, dass diese Einwilligung
vorliegt, liegt bei dem Werbetreibenden.
Bei einer elektronisch abgegebenen Erklärung ist diese zu protokollieren.
Opt
in
6
Ein Joint Venture von arvato und Creditreform
Schriftliche Einwilligung
Ausnahmen für das Opt-in-Verfahren
Für die schriftliche Einwilligung sind folgende
Bedingungen zu erfüllen:
Bestandskunden
• Die Klausel darf nicht überraschend, das
Allgemein zugängliche Verzeichnisse
heißt nicht versteckt sein, sondern muss
hervorgehoben werden.
Die Zustimmung muss freiwillig sein.
Die Erklärung muss transparent, das heißt
informierend und verständlich formuliert
sein.
Sie darf keine Generaleinwilligung sein.
Werbegegenstand, Werbemedium und
Werbeberechtigter müssen erkennbar
sein.
In der Regel erfordert die Einwilligung
die Unterschrift.
Business-to-Business
Spenden
Transparente Übermittlung
Transparente Nutzung
(vgl. § 28 Abs. 3 a/b BDSG)
7
Auf diese Daten können Sie bauen
DATENSPEICHERUNG, -VERARBEITUNG UND -NUTZUNG
Für diese Zwecke dürfen Sie speichern
Listenmäßige Verarbeitung und Nutzung
Alle Regelungen zu persönlichen Daten
(einschließlich der Adressdaten) enthält das
Bundesdatenschutzgesetz (BDSG).
Personenbezogene Daten dürfen verarbeitet
und genutzt werden, soweit sie in Listen oder
zusammengefasst vorliegen, so genannte
Listendaten. Grundsätzlich muss hierfür eine
Einwilligung vorliegen. Allerdings gibt es von
diesem Grundsatz zahlreiche Ausnahmen,
die nachfolgend erläutert werden.
Die Datenspeicherung für eigene Geschäftszwecke ist erlaubt …
• zur Abwicklung eines Vertrags mit dem
Kunden.
zur Wahrung berechtigter Interessen der
verantwortlichen Stelle.
für allgemein zugängliche Daten.
•
•
Ebenfalls zulässig ist eine Speicherung der
Daten …
• zur Wahrung der berechtigten Interessen
eines Dritten.
zur Abwehr von Gefahren für die öffent liche Sicherheit und zur Verfolgung von
Straftaten.
bei wissenschaftlichen Forschungs vorhaben.
(vgl. § 28 Abs. 1 BDSG)
•
•
8
Folgende Merkmale über eine Person dürfen
demnach listenmäßig verarbeitet oder genutzt werden:
• Name
• Titel
• Akademischer Grad
• Anschrift
• Geburtsjahr
• Zugehörigkeit zu einer Personengruppe
• Berufs-, Branchen- und Geschäftsbezeichnung
Achtung
Eine Verarbeitung oder Nutzung
etwa von Geburtsdatum, E-Mail-Adresse
und Telefonnummer ist in diesem Zusammenhang nicht erlaubt.
Ein Joint Venture von arvato und Creditreform
Daten von geschäftsmäßigen Anbietern
Daten für Markt- und Meinungsforschung
Die eben genannten Regelungen gelten auch
für Werbung durch geschäftsmäßige Anbieter
und für Daten aus dem Adressenhandel.
Eine eigenständige Regelung sieht das Bundesdatenschutzgesetz für die Markt- und
Meinungsforschung vor. Die geschäftsmäßige Datenerhebung und Datenspeicherung
ist zulässig, wenn kein schutzwürdiges Interesse des Betroffenen angenommen werden
kann oder die Daten aus allgemein zugänglichen Quellen stammen.
Daten dürfen erhoben, gespeichert, genutzt
und verändert werden,
• wenn es um eine Interessenabwägung geht.
• wenn sie aus allgemein zugänglichen Ver-
zeichnissen stammen.
wenn die Berechtigung zur Veröffentlichung
vorliegt.
•
Die Daten dürfen weitergegeben werden bei
dargelegtem und dokumentiertem Interesse.
Dazu gehört die Aufzeichnungspflicht des
Dritten. Der Übermittelnde ist verpflichtet, die
Einhaltung stichprobenartig zu prüfen. Darüber hinaus gelten in allen Fällen auch hier
die Regelungen für die Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke.
(vgl. § 28 Abs. 1 Satz 2 und Abs. 3 bis 3 d BDSG)
Die Daten dürfen nur für das Forschungsvorhaben verwendet werden, für das sie
erhoben wurden. Für eine weitere Verwendung, also eine Zweitverwertung, sind sie
zu anonymisieren.
Zudem steckt das Gesetz sehr enge Grenzen
für die weitere Auswertung und Speicherung
der Daten. So schreibt es vor, dass die Daten
auch ohne Zweitverwertung anonymisiert
werden müssen, sobald das Vorhaben es zulässt.
Bis dahin sind bestimmte Merkmale gesondert
zu speichern. Nur zwecks eines Forschungsvorhabens dürfen sie mit persönlichen oder
sachlichen Einzelangaben zu einer bestimmten
Person zusammengeführt werden.
(vgl. § 30 a BDSG)
9
Immer nur mit Zustimmung
KORREKT AUF ALLEN WEGEN
Besonders im Bereich der Telefonwerbung und vor allem im B2C-Bereich schützen die Gesetze den
Verbraucher umfassend. Das bedeutet für Werbetreibende, dass sie sehr genau hinschauen müssen,
wen sie in welcher Form ansprechen dürfen. Im Zweifel sind sie verpflichtet nachzuweisen, dass sie
über eine Einwilligung des Betroffenen verfügen.
10
Telefonwerbung B-to-C
Telefonwerbung B-to-B
Verbraucher dürfen nicht unzumutbar belästigt werden. Eine solche Belästigung ist beispielsweise schon ein Anruf gegen ihren Willen.
Das Verbot der unzumutbaren Belästigung
bildet im UWG einen eigenen Tatbestand. Sie
liegt vor, wenn der Empfänger der Werbung
diese erkennbar nicht wünscht.
(vgl. § 7, Abs. 1 UWG)
Im Business-to-Business-Bereich ist Telefonwerbung bei konkludenter oder mutmaßlicher
Einwilligung erlaubt. Eine solche mutmaßliche
Einwilligung oder ein vermutetes Interesse
können aus dem Interessenbereich oder den
geschäftlichen Tätigkeiten des Adressaten abgeleitet werden. (vgl. § 7, Abs. 2 Nr. 2 UWG)
Darüber hinaus ist es nicht zulässig, Verbraucher anzurufen, die keine Kunden sind. Es sei
denn, sie haben vorher ausdrücklich oder stillschweigend eingewilligt. Es ist also grundsätzlich ein Opt-in erforderlich (s. Seiten 178/179).
Rufnummernanzeige
Im Telekommunikationsgesetz (TKG) ist das
Verbot anonymer Werbeanrufe festgehalten.
Sowohl im Kontakt zu Verbrauchern als auch
zu Firmenkunden ist die Rufnummernunterdrückung verboten. Dabei muss die angezeigte
Nummer nicht notwendig die des Auftraggebers sein. Die Anschlusskennung eines CallCenters ist ebenfalls ausreichend.
(vgl. § 102 TKG)
Ein Joint Venture von arvato und Creditreform
Telefaxwerbung
E-Mail, SMS & Co.
Werbung, die über ein Telefax übermittelt
wird, bedarf immer der Zustimmung des
Empfängers. Das gilt sowohl für den Kontakt
zu Verbrauchern als auch für Faxe an Unternehmen.
Unter dem Begriff elektronische Post fasst
der Gesetzgeber E-Mails, SMS (Nachrichten
via Short Message Service) und MMS (Nachrichten via Multimedia Messaging Service)
zusammen.
Der Adressat muss also der Zusendung ausdrücklich zugestimmt oder um ein Angebot
gebeten haben. Liegt kein Opt-in vor, handelt der Absender der Werbung rechtswidrig.
(vgl. § 7 Abs. 2 Nr. 3 UWG)
Auch hier gilt das Prinzip der unzumutbaren
Belästigung. Für die Kontaktaufnahme muss
eine gesonderte Einwilligung in die Zusendung von Werbung mittels elektronischer
Post vorliegen. Liegt dieses Opt-in nicht vor,
handelt der Absender rechtswidrig. Das gilt
sowohl für den Verbraucherbereich als auch
für geschäftliche Kontakte. Das bedeutet:
Auch im B2B-Bereich ist eine konkludente
beziehungsweise mutmaßliche Einwilligung
nicht ausreichend. (vgl. § 7 Abs. 2 Nr. 3 UWG)
Nichts geht mehr ohne Newsletter – im UWG unter dem Begriff der
elektronischen Post geregelt (wie auch Werbung mittels SMS und MMS).
Eine Ausnahme liegt vor, wenn der Werbetreibende die Kontaktinformationen im
Rahmen eines Verkaufes erhalten hat und
diese anschließend dazu nutzt, für ähnliche
Produkte und Dienstleistungen zu werben.
Es darf sich jedoch nicht um Daten aus einer
reinen Vertragsanbahnung handeln. Zudem
muss der Kunde sowohl bei der Datenerhebung als auch bei jeder Nutzung darauf hingewiesen werden, dass er der weiteren Verwendung jederzeit widersprechen kann.
(vgl. § 7 Abs. 3 UWG)
11
Ausnahmen für adressierte Werbung
WANN ES OHNE OPT-IN GEHT
Im Vergleich zu Telefonwerbung oder elektronischer Werbung bietet die Printwerbung mehr Möglichkeiten, an potenzielle Kunden heranzutreten. Dabei dürfen Adressaten in Firmen wiederum
umfangreicher beworben werden als Endverbraucher.
Als adressierte Werbung werden Postsendungen bezeichnet, die sich an eine definierte
Empfängergruppe mit persönlicher Ansprache
richten. Dazu gehören beispielsweise Werbebriefe und Kataloge.
Im Business-to-Consumer-Bereich gilt der
Grundsatz des Einwilligungsvorbehalts. Es ist
also eine ausdrückliche Erlaubnis, ein sogenanntes Opt-in, des Adressaten erforderlich
(mehr dazu auf den Seiten 178/179).
Für adressierte Werbung gibt es jedoch eine
Reihe von Ausnahmen, in denen ein Opt-in
nicht erforderlich ist.
(vgl. § 28 Abs. 3 BDSG)
Bestandskunden
An die Adresse von Bestandskunden darf ohne
deren Einwilligung Werbung gesendet werden.
Ebenfalls unter diese Ausnahme fallen Personen, zu denen ein „rechtsgeschäftsähnliches“
Schuldverhältnis besteht. Das bedeutet beispielsweise, dass sie ein Angebot angefordert
oder an einem Gewinnspiel teilgenommen
haben.
Folgende Adressdatenbestandteile dürfen
laut Gesetz gespeichert werden:
• Name
• Titel
• Akademischer Grad
• Anschrift
• Geburtsjahr
• Berufs-, Branchen- und Geschäfts bezeichnung
12
Ein Joint Venture von arvato und Creditreform
Diese Daten dürfen in Listendaten zusammengefasst und mit weiteren Informationen
angereichert für unternehmenseigene Werbeangebote genutzt werden:
• wenn sie als Selektionskriterien dienen
und somit die gezielte Ansprache von
Bestandskunden ermöglichen.
wenn sie direkt vom Bestandskunden
erhoben wurden oder aus öffentlich zu-
gänglichen Quellen stammen.
wenn sie von gewerblichen Datenanbie-
tern stammen oder im Rahmen der Ge-
schäftsbeziehung entstanden sind.
•
Bestandskunden
Listendaten
Anreicherung
Werbung
für eigene
Angebote
Kunde
Werbetreibendes
Unternehmen
•
(vgl. § 28 Abs. 3 Satz 2 Nr. 1 BDSG)
13
Ausnahmen für adressierte Werbung
WANN ES OHNE OPT-IN GEHT
Allgemein zugängliche Verzeichnisse
Werbung darf an Adressen aus öffentlichen
Verzeichnissen versandt werden, ohne dass
die Empfänger eingewilligt haben.
Allgemein zugängliche Verzeichnisse
Daten
Dazu gehören Adressen aus Adressverzeichnissen, Rufnummernverzeichnissen oder
Branchenverzeichnissen. Für die Speicherung von Zusatzinformationen gelten die
gleichen Regeln wie für Bestandskunden.
Erheben dürfen Sie Adressen aus allgemein
öffentlichen Verzeichnissen, sofern Sie dabei
keine Urheberrechte verletzen.
(vgl. § 28 Abs. 3 Satz 2 Nr. 1 BDSG)
Hinweis
Das Internet bietet eine Vielzahl
von allgemein zugänglichen Verzeichnissen. Das Internet als solches gilt aber nicht
als allgemein zugängliches Verzeichnis.
14
Allgemein
zugängliche
Verzeichnisse
Listendaten
Anreicherung
Werbetreibendes
Unternehmen
Werbung
für eigene
Angebote
Kunde
Ein Joint Venture von arvato und Creditreform
Business-to-Business
An Personen in Firmen dürfen Sie ohne Einwilligung namentlich Werbung schicken, jedoch nur an die berufliche Anschrift.
Der Werbeinhalt muss sich auf die berufliche
Tätigkeit beziehen. Weitere Informationen
dürfen lediglich zu dem betreffenden Unternehmen gespeichert werden. Eine Speicherung von persönlichen Daten zu den einzelnen Ansprechpartnern ist dagegen nicht
zulässig. Keine Listendaten sind zum Beispiel
Geburtsdatum, die Telefonnummer und die
E-Mail-Adresse.
Business-to-Business
Listendaten
Werbung
für eigene
Angebote
Kunde
in beruflicher
Funktion
Werbetreibendes
Unternehmen
Sobald jedoch ein Geschäftsverhältnis zu
dem Kontakt entstanden ist, gelten die
Regeln für Bestandskunden. Stammen die
Daten aus einem allgemein zugänglichen
Verzeichnis, so ist nach den entsprechenden
Regeln zu verfahren. In beiden Fällen ist es
erlaubt, zusätzliche Informationen zu speichern.
(vgl. § 28 Abs. 3 Satz 2 Nr. 2 BDSG)
15
Ausnahmen für adressierte Werbung
WANN ES OHNE OPT-IN GEHT
Spendenwerbung
Ohne Einwilligung ist Werbung von Spendenorganisationen erlaubt, wenn sie mit Listendaten für Spenden werben und folgende Voraussetzungen zutreffen:
• Es handelt sich um eine steuerlich aner-
kannte gemeinnützige Organisation.
Es wird ausschließlich zum Spenden auf-
gerufen.
Es werden keine weiteren Daten hinzu gespeichert.
•
Spendenwerbung
Listendaten
Spendenaufruf
Spender
Spendenorganisation
•
(vgl. § 28 Abs. 3 Satz 2 Nr. 3 BDSG)
Transparente Übermittlung
Werbung ohne Einwilligung des Empfängers
ist zulässig, wenn ein Unternehmen einem
anderen Unternehmen Adressdaten für werbliche Zwecke zur Verfügung stellt.
Dabei muss die werbetreibende Firma die ursprüngliche Adressquelle in der Werbung
nennen. Deswegen wird diese Erlaubnis auch
„transparente Übermittlung“ genannt.
Transparente Übermittlung
Werbung
Werbetreibendes
Unternehmen
Eigene
Daten
Vertriebskontakte,
Messeleads, etc.
16
Quellauskunft
Zugekaufte
Daten
Adressanbieter
Kunde
Ein Joint Venture von arvato und Creditreform
Transparente Nutzung
Mit ursprünglicher Datenquelle ist immer
das Unternehmen gemeint, das erstmalig die
Adressdaten erhoben hat.
(vgl. § 28 Abs. 3 Satz 4 BDSG)
Als Ursprungsquelle wird jeweils der letzte
Datenlieferant genannt. Dies entspricht zwar
nicht dem genauen Wortlaut des Gesetzes
hat sich allerdings als praktikable Lösung am
Markt etabliert.
Die Daten müssen bei der Übermittlung listenmäßig zusammengefasst sein. Es dürfen
keine weiteren Daten übermittelt werden.
Sowohl der Übermittler als auch der Empfänger von Adressdaten muss den Einsatz der
Adressdaten protokollieren. So ist sichergestellt, dass beworbene Personen nachträglich
Quellauskünfte erhalten können. Diese Protokollierungspflicht gilt für zwei Jahre.
(vgl. § 34 Abs. 1 a BDSG)
Bei der transparenten Nutzung von Fremdadressen zu Werbezwecken ist keine Einwilligung des Empfängers notwendig, wenn es
sich um Beipack- bzw. Empfehlungswerbung
oder um Listbroking mit Auftragsdatenverarbeitung handelt. Dabei muss die Werbung
eindeutig nennen, wer die verantwortliche
Stelle der Nutzung ist. Verantwortliche Stelle
ist das Unternehmen, das die Adressdaten
erhoben hat. (vgl. § 28 Abs. 3 Satz 5 BDSG)
Bei der transparenten Nutzung ist es unerheblich, ob die personenbezogenen Daten in
einer Liste zusammengefasst sind. Eine Protokollierungspflicht wie bei der transparenten
Übermittlung besteht nicht.
Transparente Nutzung
Zugekaufte
Daten
Eigene
Daten
Adressanbieter
W
Lettershop/
Verarbeitung
er
bu
ng
Quellauskunft
Werbetreibendes
Unternehmen
Kunde
17
Teiladressierte und nicht adressierte Werbung
DER ADRESSAT HAT DIE WAHL
Ein großer Teil der versendeten Printwerbung ist nicht mit genauer Anschrift versehen. In diesem
Fall spricht man von teiladressierter und nicht adressierter Werbung.
Teiladressierte Werbung
Unter teiladressierter Werbung wird die Zustellung von Postsendungen an eine nach
bestimmten Merkmalen definierte Empfängergruppe verstanden, beispielsweise „An
die Bewohner des Hauses Musterstraße 1,
Musterstadt“ oder „An alle Gartenfreunde
in der Musterstraße 1“. Im Allgemeinen wird
angenommen, dass in teiladressierten Sendungen immer Werbung enthalten ist, weil
niemand eine geschäftliche Nachricht in einer
solchen Form verschickt. Damit fällt diese
Art der Werbung regelmäßig in den Anwendungsbereich des UWG.
Nicht adressierte Werbung
Nicht adressierte Werbung ist die flächendeckende Zustellung identischer Postsendungen. Hierzu zählen Prospekte, Post aktuell oder beispielsweise auch kostenlose
Zeitungen mit Beilagen.
Beide Werbeformen sind grundsätzlich sowohl im Consumer- als auch im BusinessBereich zulässig.
Der Adressat hat jedoch ein Annahmeverweigerungsrecht. Dieses kann er ausüben, indem
er am Briefkasten einen gut sichtbaren Aufkleber anbringt, dass Reklame- und Werbesendungen nicht erwünscht sind. In diesem
Fall verbietet das Gesetz den Einwurf sowohl
von teiladressierter als auch von nicht adressierter Werbung.
Konzerninterner Dateneinsatz:
kein Privileg bei adressierter Werbung
Einzelne Unternehmen innerhalb eines Konzerns gelten als Dritte, so wie völlig unverbundene Unternehmen. Somit unterliegt die
Weitergabe, Speicherung, Verarbeitung und
Nutzung von Adressdaten innerhalb eines
Konzerns den gleichen gesetzlichen datenschutzrechtlichen Regelungen wie bei untereinander völlig fremden Firmen.
Damit handelt jedes Unternehmen selbstständig und Daten dürfen nicht willkürlich
für werbliche Zwecke ausgetauscht werden.
18
DAMIT SOLLTEN SIE RECHNEN
Detailliertes Know-how für gesetzeskonformes Direktmarketing
Widerspruchsrecht
Verstöße und Folgen
beDirect geht auf Nummer sicher
beDirect ist ein Joint Venture von arvato und Creditreform
Gesetzeskonformes Direktmarketing
WIDERSPRUCHSRECHT
Wer sich genau daran hält, was im Direktmarketing und im Adresshandel erlaubt und was verboten
ist, ist auf der sicheren Seite und kann umfassend werben. Wir haben für Sie zusammengefasst,
worauf es vor allem ankommt und welche Rechte Sie besonders berücksichtigen sollten.
Für Werbetreibende ist es wichtig,
• die Regelungen im Detail zu kennen und in das eigene Direktmarketing zu integrieren.
ausschließlich geprüftes und sicheres
Adressenmaterial zu verwenden.
zu wissen, welche Widerspruchsrechte die
Adressaten haben und wie mit Wider-
spruch umzugehen ist.
über die Folgen informiert zu sein, die ein treten können, wenn doch einmal etwas schiefgeht.
Auch sollte jeder Unternehmer und jede
Privatperson wissen, welche Widerspruchsrechte dem Einzelnen zustehen – und wo sie
geltend gemacht werden können.
20
Widerspruch gegen die Datennutzung
Jede natürliche Person kann jederzeit der
Verarbeitung und Nutzung der eigenen Daten zu Werbezwecken widersprechen. Dafür
ist es unerheblich, ob diese Informationen
aus Verzeichnissen stammen oder ob der Betreffende zu einem früheren Zeitpunkt der
Verwendung zugestimmt hat.
Auch Bestandskunden müssen bereits zu
Beginn eines Geschäfts- oder Schuldverhältnisses und bei jeder anderen Art der Ansprache auf das Widerspruchsrecht hingewiesen
werden. Der Betroffene hat das Recht zu erfahren, wo seine Daten herkommen.
Hinweis
Für den Widerspruch darf keine strengere
Form als für die Begründung eines Schuldverhältnisses verlangt werden.
Weitere Informationen zu diesen
Themen finden Sie auch auf der Homepage des Deutschen Dialogmarketing
Verbandes unter » www.ddv.de.
Widerspricht ein Kunde aktiv der Nutzung seiner Daten für Werbung, so muss der Datensatz
gesperrt werden. Dies gilt auch für die Ausnahmen der Opt-in-Erklärung (s. Seiten 178/179).
Ein Joint Venture von arvato und Creditreform
Die Robinsonlisten
Direkter Widerspruch beim Verwerter
Für die generelle Sperrung eines Adressaten
für Werbezwecke ist die Eintragung in die
Robinsonlisten des Deutschen Dialogmarketing Verbandes (DDV), des I.D.I. Interessenverbandes Deutsches Internet e. V. und des
adr Arbeitskreises Deutsche Robinsonlisten
empfehlenswert. Sämtliche Mitglieder des
DDV gleichen ihre Bestände regelmäßig gegen
diesen Bestand ab und sperren Adressaten,
die generell keine Werbung erhalten wollen.
Wenn Sie erfahren, dass ein Adresshändler
oder Adressbroker Ihre Daten nutzt, können
Sie dort direkt Widerspruch einlegen. Bitte
achten Sie darauf, in Ihrer Mitteilung Ihren
vollständigen Namen und Ihre komplette Anschrift anzugeben. Oft verfügt der Verwerter
nämlich gar nicht über alle Adressdaten und
braucht daher im Zweifel genau ein bestimmtes Detail, um Ihren Datensatz zu finden.
Deutsche Robinsonlisten gibt es für:
E-Mail
Mobilfunk
Telefon
Telefax
Briefpost
•
•
•
•
•
Sie werden monatlich aktualisiert. In alle Listen
können Sie sich direkt online eintragen lassen:
» www.robinsonliste.de
Ein Eintrag ist auch per Post möglich:
DDV Robinsonliste
Postfach 14 01
71243 Ditzingen
Der Eintrag in die Robinsonliste ist kostenfrei, gilt für jeweils fünf Jahre und muss dann
erneuert werden.
Nachname / Vorname
Straße / Hausnummer
PLZ / Ort
Sehr geehrte Damen und Herren,
ich habe erfahren, dass Sie meine Adresse
vermieten. Bitte informieren Sie mich, woher
Sie meine Daten haben und was Sie zu meiner
Person und zu meiner Anschrift gespeichert
haben.
Bitte vermieten Sie meine Adresse nicht mehr
weiter. Ich bitte um Bestätigung.
Mit freundlichen Grüßen
<Unterschrift>
So könnte Ihr Schreiben formuliert sein
21
Gesetzeskonformes Direktmarketing
VERSTÖßE UND FOLGEN
Ahndung und Bußgelder bei Verstößen
Das Gesetz gegen den unlauteren Wettbewerb
enthält eindeutige Bußgeldvorschriften.
(vgl. § 20 UWG)
Wird gegen die Opt-in-Regelung bei Telefonwerbung verstoßen, drohen Bußgelder von
bis zu 50.000 Euro.
Wird gegen das Verbot der Rufnummernunterdrückung verstoßen, drohen Bußgelder
bis zu 10.000 Euro.
(vgl. § 149 TKG)
Neben Verarbeitung stellt auch die Nutzung
rechtswidrig erhobener personenbezogener
Daten eine Ordnungswidrigkeit dar.
Verstöße können mittels Ordnungsgeld oder
-haft geahndet werden. Der Bußgeldrahmen
liegt für formale Verstöße bei maximal 50.000
Euro und für materielle Verstöße bei bis zu
300.000 Euro. Ferner kann der durch den Verstoß erlangte Gewinn abgeschöpft werden.
Es handelt auch derjenige ordnungswidrig,
der sich über die fehlende Einwilligung eines
Betroffenen hinwegsetzt. Gleiches gilt für den
Monopolisten beziehungsweise Oligopolisten,
der sich über das Kopplungsverbot hinwegsetzt.
Aufsichtsbehörden: Beseitigung von
Verstößen
Die Befugnis der Aufsichtsbehörden bei Strafen und Gewinnabschöpfungen ist im BDSG
selbst geregelt.
(vgl. § 38 BDSG)
Die Anordnungsbefugnis gilt allgemein für
die Beseitigung festgestellter Verstöße bei der
Erhebung, Verarbeitung und Nutzung von
Daten. Die Untersagungsbefugnis erstreckt
sich auf schwerwiegende Verstöße.
Ich akzeptiere die Teilnahmebedingungen
Ich akzeptiere dass meine Daten zum Zwecke der Gewinnspieldurchführung an
beauftragte Firmen weitergeleitet werden
Bitte informieren Sie mich über weitere Aktionen per E-Mail
Ich bin damit einverstanden, im Rahmen der Marktforschung zu dieser Aktion
kontaktiert zu werden.
Speichern
Eine Auswirkung des UWG im Internet: Automatisch aktivierte Boxen
für die Bestellung von weiterer Werbung o. Ä. sind unzulässig.
22
Ein Joint Venture von arvato und Creditreform
Auskunftsrechte des Betroffenen
Die verantwortlichen Stellen sind dem Betroffenen gegenüber verpflichtet, in Textform
und unentgeltlich umfassend Auskunft zu
erteilen.
Dies beinhaltet:
• Die zur Person gespeicherten Daten.
• Die Angabe, woher die Daten stammen.
• Die Information, an wen die Daten weiter gegeben werden.
Den Zweck der Speicherung.
•
(vgl. § 34 BDSG )
Informationspflichten bei Datenschutzverletzungen
Unternehmer sind verpflichtet, bei Datenschutzverstößen unverzüglich die behördlichen Stellen und den Betroffenen zu informieren.
Die Informationspflicht gilt jedoch nur für
bestimmte Arten von Daten, nämlich solche,
die nach § 3 Abs. 9 BDSG besonders sensibel
sind oder einem Berufsgeheimnis unterliegen,
über strafbare Handlungen oder Ordnungswidrigkeiten informieren oder Auskunft über
Bank- oder Kreditkartenkonten geben. Sie
erfordert weiterhin, dass den Betroffenen
schwerwiegende Beeinträchtigungen drohen.
(vgl. § 42 a BDSG)
Eine Ausnahmeregelung gibt es für größere
Vorfälle, bei denen eine einzelne Benachrichtigung nicht mehr möglich ist.
In diesem Fall kann das Unternehmen die
Öffentlichkeit mit einer Bekanntmachung in
Form einer Anzeige informieren. Das Gesetz
schreibt eine Anzeigengröße von mindestens
einer halben Druckseite und eine parallele
Publikation in zwei bundesweit erscheinenden Tageszeitungen vor.
Dies muss erfolgen, sobald festgestellt wird,
dass Teile der beim Unternehmen gespeicherten personenbezogenen Daten unrechtmäßig an Dritte weitergegeben wurden.
23
Missbrauch ausgeschlossen
WIR GEHEN AUF NUMMER SICHER
beDirect ist Mitglied des Deutschen Dialogmarketing Verbandes (DDV).
Damit verpflichten wir uns zur Einhaltung der
Daten- und Kundenschutzbestimmungen.
Die Verpflichtungserklärung ist als bindendes
Original beim DDV hinterlegt.
Selbstverständlich berücksichtigen wir die
Robinsonlisten. Ebenso sperren wir bei direktem Widerspruch sofort die betreffenden
Datensätze.
Um Missbrauch auszuschließen, haben wir
für die uns anvertrauten personenbezogenen
und allgemeinen Informationen ein umfassendes Sicherungskonzept.
Darüber informieren wir Sie im folgenden
Kapitel.
Weitere Informationen über den DDV finden Sie im Internet unter
» www.ddv.de.
24
KONZEPTE FÜR EIN HÖCHSTMAß AN SICHERHEIT
Umgang mit Daten à la beDirect
Sichere Daten für erfolgreiches Marketing
Der Datenschutzbeauftragte
Die Gebote der Datensicherung
Der Weg der Daten
Prüfung, Aufbereitung und Verarbeitung
beDirect ist ein Joint Venture von arvato und Creditreform
Grundlage Ihres Unternehmenserfolgs
SICHERE DATEN FÜR ERFOLGREICHES MARKETING
Der Kundenstamm ist ein wesentlicher Faktor, wenn der Geschäfts- oder Firmenwert beziffert wird.
Die Pflege dieses wertvollen Gutes sollte Ihnen besonders am Herzen liegen. Dazu gehört auch,
sorgfältig mit sämtlichen Daten umzugehen.
In Ihren Daten und Kundeninformationen
liegt ein wesentlicher Vermögenswert, dessen Schutz absolute Priorität haben sollte.
Ein verantwortungsvoller Umgang mit den
eigenen Kunden- und Interessentendaten
bedarf genauer Planung und großer Sorgfalt, und zwar in zwei Bereichen.
Viele Unternehmen recherchieren und aktualisieren ihre Daten nicht selbst, sondern
beauftragen einen externen Dienstleister.
In diesem Fall müssen Sie absolut darauf vertrauen können, dass der Anbieter gesetzeskonform handelt und höchste Sicherheit
gewährleistet.
Zum einen geht es darum, Informationen
korrekt zu sammeln und zu speichern,
damit sie verwertbar und legal einsetzbar
sind. Dazu gehört auch, die Herkunft so
zu dokumentieren, dass sie jederzeit nachvollziehbar ist.
beDirect hat Konzepte und Systeme entwickelt, die höchsten Anforderungen sowohl an die Qualität als auch an die Sicherheit genügen. Auf den folgenden Seiten
legen wir Ihnen detailliert offen, wie wir
mit dem eigenen Adressbestand und den
uns anvertrauten Datenbanken umgehen.
Zum anderen ist es ebenso wichtig, die
Daten sicher aufzubewahren und korrekt
damit umzugehen. So schützen Sie sich vor
Missbrauch durch Unbefugte und beugen
Diebstahl und Verlust vor.
26
Ein Joint Venture von arvato und Creditreform
Dateninhalte und Informationen
Die Firmendatenbank der beDirect beinhaltet
neben den klassischen Industrie- und Handwerksbetrieben auch Daten über Freiberufler,
Dienstleister, Einzel- und Großhändler sowie
Non-Profit-Organisationen, Behörden, Schulen, Verbände und Vereine.
Insgesamt stehen für das Mailinggeschäft
rund vier Millionen wirtschaftsaktive und
bonitätsgeprüfte Firmenadressen sowie
Adressen von Organisationen, Behörden
und Vereinen zur Verfügung.
Für die Bereinigung von Kundenbeständen
bieten wir zusätzlich Daten von rund acht
Millionen passiven Unternehmen sowie historische Daten an.
Die wichtigsten Profilinformationen der
beDirect-Datenbank
Firmenname
Postadresse
Telefon- und Faxnummer
Firmen-URL
Rechtsformen und Handelsregister-Daten
Besitz- und Beteiligungsverhältnisse bei
Handelsregister-Firmen
Entscheider der ersten und zweiten Funktionsebene (Inhaber, Geschäftsführer und
weitere Funktionsträger)
Branche gemäß WZ 2008
Umsatz- und Beschäftigtenangaben
Fachrichtungen bei Freiberuflern
Weitere branchenspezifische Klassifizierungen
27
Information und Kontrolle
DER DATENSCHUTZBEAUFTRAGTE
Eine wichtige Rolle im Datenschutz spielt der Datenschutzbeauftragte im Unternehmen. Er ist die
interne Kontrollinstanz, er informiert und steht der Firmenleitung sowie allen Mitarbeitern für Fragen
zur Verfügung. Zudem ist er Ansprechpartner für Behörden und Auskunftsuchende. Dazu muss er
bestimmte Voraussetzungen erfüllen.
Datenschutz und informationelle Selbstbestimmung
Datenschutz ist laut Definition des Bundesdatenschutzgesetzes (BDSG) der Schutz des
Persönlichkeitsrechts jedes Einzelnen beim
Umgang mit dessen Daten.
Ziel des Datenschutzes ist es mithin, personenbezogene Daten vor missbräuchlicher
Verwendung zu schützen. Dazu gehört auch
das Recht auf informationelle Selbstbestimmung, also das Recht, selbst zu entscheiden,
inwieweit diese Daten preisgegeben und
weiterverwendet werden.
28
Interne und externe Kontrollinstanz
Für den Datenschutz verantwortlich ist jede
Stelle oder Person, die personenbezogene
Daten erhebt, verarbeitet, nutzt oder andere
damit beauftragt.
In Unternehmen tragen die Führungskräfte
besondere Verantwortung dafür, dass dies
gesetzeskonform geschieht. Darüber hinaus
ist jeder Mitarbeiter verpflichtet, mit den ihm
anvertrauten Daten vorschriftsmäßig umzugehen.
Um den Datenschutz in Unternehmen zu
gewährleisten, sieht der Gesetzgeber zwei
Kontrollinstanzen vor. Im Rahmen der Fremdkontrolle kann die Einhaltung der Datenschutzregeln durch staatliche Aufsichtsbehörden
kontrolliert werden. Innerhalb eines Unternehmens ist ein betrieblicher Datenschutzbeauftragter zu benennen, der für die Selbstkontrolle verantwortlich ist.
Ein Joint Venture von arvato und Creditreform
Bestellung des Datenschutzbeauftragten
Aufgaben des Datenschutzbeauftragten
Nichtöffentliche Stellen, also etwa Unternehmen, die personenbezogene Daten automatisch erheben, verarbeiten oder nutzen,
müssen innerhalb eines Monats nach Beginn
dieser Tätigkeit schriftlich einen Beauftragten für den Datenschutz bestellen.
Von der Vorabkontrolle über die Schulung der
Mitarbeiter bis zur Auskunft an Betroffene:
Der Datenschutzbeauftragte hat vielfältige
Aufgaben im Unternehmen, die umfassende
Sach- und Fachkenntnisse erfordern.
Dazu gehören:
Dies greift jedoch nur, wenn hiermit mindestens fünf Arbeitnehmer ständig beschäftigt
sind. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise verarbeitet
werden und damit in der Regel mindestens
20 Arbeitnehmer ständig beschäftigt sind.
• Beratung der verantwortlichen Stellen und
der Unternehmensleitung.
Information und Schulung der Mitarbeiter.
Erstellung und Pflege von Verfahrensan-
weisungen.
Durchführung von Datenschutzprüfungen.
Wahrung der Rechte der Betroffenen.
Zusammenarbeit mit den öffentlichen
Aufsichtsbehörden.
•
•
•
•
•
Unternehmensbereich Informationstechnologie
Standort Hagen
IT-Spezialist/-in Datenschutz
Wir bieten Ihnen eine interessante Tätigkeit als IT-Spezialist/-in im Bereich
Datenschutz. In Ihrer Funktion verantworten Sie die Umsetzung der gesetzlichen
Anforderungen aus dem BDSG (Bundesdatenschutzgesetz). Zu Ihren Aufgaben
gehört die Beratung über technische und organisatorische Maßnahmen zur
Sicherung des Datenschutzes und der Datensicherheit, in Zusammenarbeit mit
Personen der Datenverarbeitung.
Solche Stellenangebote finden sich immer häufiger in den Medien – Indiz
für die Umsetzung der Gesetze und Richtlinien durch die Unternehmen.
29
Datensicherheit mit höchsten Standards
DIE GEBOTE DER DATENSICHERUNG
Als Unternehmen im Bertelsmann-Konzern ist beDirect dessen höchsten Sicherheitsstandards verpflichtet. Zwecks konzerninterner Koordination der Datenschutzbelange sollte jedes Unternehmen
einen Datenschutzkoordinator (DSK) und einen Datensicherheitsverantwortlichen (DSV) namentlich
benennen.
Der Datenschutzkoordinator (DSK) ist lokaler
Ansprechpartner aller Fachabteilungen in
seinem Unternehmen.
mäßig verarbeitet werden, beispielsweise zu
Zwecken des Adresshandels oder in Auskunfteien.
Der Datensicherheitsverantwortliche (DSV)
organisiert die technisch-organisatorischen
Maßnahmen zur Gewährleistung der Datensicherheit entsprechend § 9 BDSG in seinem
Zuständigkeitsbereich.
Daher unterliegt beDirect in jedem Fall der Meldepflicht. Zugleich stellen unsere Beauftragten
sicher, dass alle gesetzlichen Vorgaben bezüglich Kontrollen, Informationen von Betroffenen und Auskünften eingehalten werden. Wir
kommen den Anforderungen an Berichtigung,
Löschung und Sperrung von Daten regelmäßig
und im vollen Umfang nach. (vgl. § 35 BDSG)
Für uns gilt sie in jedem Fall: die Meldepflicht
Die Meldepflicht, dass personenbezogene
Daten verarbeitet werden, entfällt, wenn die
verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat oder höchstens neun
Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.
Eine Meldepflicht besteht jedoch immer dann,
wenn personenbezogene Daten geschäfts-
30
Verantwortliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen
und organisatorischen Maßnahmen zu treffen,
die erforderlich sind, um die Ausführung der
Gesetzesvorschriften zu gewährleisten.
Erforderlich sind Maßnahmen nur, wenn ihr
Aufwand in einem angemessenen Verhältnis
zu dem angestrebten Schutzzweck steht.
Auch hier setzt beDirect höchste Standards.
Ein Joint Venture von arvato und Creditreform
Für uns verpflichtend: die acht Gebote
der Datensicherung
1. Zutrittskontrolle:
Wir sorgen dafür, dass Unbefugten der
Zutritt zu Datenverarbeitungsanlagen verwehrt wird.
2. Zugangskontrolle:
Wir verhindern, dass Unbefugte die Datenverarbeitungssysteme nutzen können.
3. Zugriffskontrolle:
Wir sorgen für ein angemessenes Zugriffskontrollsystem.
4. Weitergabekontrolle:
Wir sorgen dafür, dass personenbezogene
Daten bei der elektronischen Übertragung und beim Transport nicht unbefugt
gelesen, kopiert, verändert oder entfernt
werden können.
5. Eingabekontrolle:
Wir sorgen dafür, dass nachträglich genau
überprüft werden kann, ob und von wem
personenbezogene Daten eingegeben,
verändert oder entfernt worden sind.
6. Auftragskontrolle:
Wir sorgen dafür, dass personenbezogene Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet
werden können.
7. Verfügbarkeitskontrolle:
Wir sorgen dafür, dass personenbezogene Daten vor Zerstörung und Verlust
geschützt sind.
8. Gebot der Datentrennung:
Wir sorgen dafür, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden.
31
Workflow bei beDirect
DER WEG DER DATEN
Sichere und aktuelle Daten für Ihr Direktmarketing: Hier zeigen wir Ihnen den Workflow bei
beDirect – von der ersten Übernahme der Kundendaten bis zum erfolgreichen Abschluss eines Auftrages. Höchste Sicherheitsstandards sind auch hier für uns verpflichtend.
Übernahme der Daten durch beDirect
Der erste Kontakt zu einem neuen Kunden
geht bei beDirect immer über den Vertrieb.
Dieser übernimmt daher auch die Kundendaten, für die wir einen Auftrag zur Aktualisierung, Ergänzung oder Pflege erhalten
haben.
Für die Erstübernahme der Daten stehen verschiedene Wege zur Verfügung: per E-MailAnhang, von einem Datenträger (in der Regel
CD oder DVD) oder via Internet-File-Transfer
(FTP, SFTP, HTTP, HTTPS).
Bereits im Vorfeld weisen wir darauf hin, dass
eine Verschlüsselung sinnvoll ist. Inwieweit der
Kunde tatsächlich Sicherheitsvorkehrungen
trifft, entscheidet er selbst. In der Regel sind
die Daten, die wir bekommen, nicht mit einem
Passwort geschützt.
32
Ausnahme: Beim Download via Internet-FileTransfer greifen wir über ein Login auf einen
geschützten Bereich des Kundenservers zu.
Beim Upload durch den Kunden loggt sich
dieser sicher auf dem beDirect-Server ein. Das
Login enthält die technische Adresse, den
Benutzernamen und ein Passwort.
Nachdem die Daten den Vertrieb erreicht
haben, werden sie bei uns intern auf einen
Fileserver übertragen. Dieser wird durch
das Rechenzentrum der Bertelsmann AG
gehostet und gesichert. Dies ist zertifiziert
gem. ISO/IEC 27001, Information technology –
Security techniques, Information Security
Management Systems Requirements, Ausgabe Oktober 2005.
Der Datenzugriff ist nur einem ausgewählten
Personenkreis gestattet und die dort bereitgestellten Daten werden nächtlich gelöscht.
Ein Joint Venture von arvato und Creditreform
Die Fachabteilung zieht die Daten nach Eingang
vom Fileserver und nimmt sie auf einen speziellen Datenserver zur Weiterverarbeitung. Auf
diesen Server haben wiederum nur berechtigte
Personen Zugriff. Hierzu gehören die Projektverantwortlichen. Der Zugriff wird durch eine
Rechtevergabe mit Login gesteuert.
Kommen die Daten per E-Mail, werden sie
direkt auf dem Fileserver abgelegt. Die E-Mail
speichern wir ohne Anhang der Daten in der
Kundenakte. So stellen wir sicher, dass auch
über die Kundenakte kein unberechtigter Zugriff auf sensible Daten möglich ist.
E-Mail, Datenträger, InternetFile-Transfer
Erstübernahme
Liefert der Kunde einen Datenträger, schicken wir diesen sofort nach Übernahme der
Daten zurück oder vernichten ihn entsprechend den Datenschutzrichtlinien. Über die
ordnungsgemäße Vernichtung erhält der
Kunde eine Mitteilung.
Welchen Weg der Kunde wählt, entscheidet
er selbst. beDirect empfiehlt jedoch ausdrücklich eine verschlüsselte und passwortgeschützte Datenlieferung über einen SFTPServer, den wir gerne zur Verfügung stellen.
Zertifiziert nach
ISO/IEC 27001
Interner Fileserver
Nur Zugriff
durch Projektverantwortliche
Datenserver
33
Vorschriftsmäßige Datenvorhaltung
PRÜFUNG, AUFBEREITUNG UND VERARBEITUNG
Wie wir die Daten weiter be- und verarbeiten,
hängt von der Art des Auftrags ab. Wir arbeiten
dazu immer mit einer Kopie der Kundendaten.
Dabei unterscheiden wir zwischen einem rein
maschinellen Verfahren und einem Verfahren
mit manueller Nachbearbeitung.
Nach der Erstellung der Rücklieferungsdatei
werden alle Arbeitsdateien und Sicherungskopien vom Server auf eine externe Festplatte kopiert. Anschließend werden sie vom
Server gelöscht. Die Festplatte wird in einem
feuerfesten Safe aufbewahrt, auf den nur
drei Mitarbeiter der beDirect Zugriff haben.
In Begleitschutz: die Rücklieferung
Davon ausgenommen sind die Bestände, die
wir im Kundenauftrag permanent überwachen. Dazu ist es unabdingbar, sie auf dem
Server vorzuhalten. Sobald ein Vertrag endet,
werden auch diese Daten vom Server gelöscht. Für eine vereinbarte Zeit stehen sie
dann nur noch auf der externen Festplatte
zur Verfügung.
Die bearbeiteten Daten liefern wir im Originalformat des Kunden zurück, ergänzt um die für
die Anreicherung erforderlichen Felder. Die
Daten werden dem Kunden auf einem Datenträger, per HTTPS / SFTP oder per E-Mail zur
Verfügung gestellt.
Um höchstmögliche Sicherheit zu gewährleisten, werden die Daten verschlüsselt und mit
einem Passwort versehen und nicht zwischengespeichert. Das Passwort teilen wir dem
Kunden telefonisch mit. beDirect favorisiert
den sichersten aller Lieferwege: HTTPS / SFTP.
Gesichert, gespeichert, gelöscht
Entsprechend den gesetzlich vorgeschriebenen Haftungs- und Gewährleistungsfristen
sind wir verpflichtet, die Kundendaten zunächst zu speichern.
34
Die Gewährleistungsfrist bei Dienstleistungsaufträgen – worunter die Bearbeitung von
Datenbanken fällt – beläuft sich auf 24 Monate. Laut BDSG sind jedoch Fremddaten
nach Auftragsabwicklung direkt zu löschen.
Um diesem Widerspruch in den unterschiedlichen Gesetzen so weit wie möglich gerecht
zu werden, vereinbart beDirect bei jedem
Auftrag individuelle Vorhaltungsfristen direkt
mit dem Auftraggeber.
ANHANG UWG
Gesetz gegen den unlauteren Wettbewerb
Allgemeine Bestimmungen
Rechtsfolgen
Verfahrensvorschriften
Strafvorschriften
Schlussbestimmungen
beDirect ist ein Joint Venture von arvato und Creditreform
KAPITEL 1 | ALLGEMEINE BESTIMMUNGEN
§ 1
Zweck des Gesetzes
Dieses Gesetz dient dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen. Es schützt zugleich das Interesse der Allge-
meinheit an einem unverfälschten Wettbewerb.
§ 2 Definitionen
(1) Im Sinne dieses Gesetzes bedeutet
1. »geschäftliche Handlung« jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleis-
tungen objektiv zusammenhängt; als Waren gelten auch Grund-
stücke, als Dienstleistungen auch Rechte und Verpflichtungen;
2. »Marktteilnehmer« neben Mitbewerbern und Verbrauchern alle Personen, die als Anbieter oder Nachfrager von Waren oder Dienst leistungen tätig sind;
3. »Mitbewerber« jeder Unternehmer, der mit einem oder mehreren
Unternehmern als Anbieter oder Nachfrager von Waren oder Dienst-
leistungen in einem konkreten Wettbewerbsverhältnis steht;
4. »Nachricht« jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlich zugänglichen elektronischen Kom-
munikationsdienst ausgetauscht oder weitergeleitet wird; dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein elektronisches Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbin-
dung gebracht werden können;
5. »Verhaltenskodex« Vereinbarungen oder Vorschriften über das Ver halten von Unternehmern, zu welchem diese sich in Bezug auf Wirt schaftszweige oder einzelne geschäftliche Handlungen verpflichtet haben, ohne dass sich solche Verpflichtungen aus Gesetzes- oder Verwaltungsvorschriften ergeben;
6. »Unternehmer« jede natürliche oder juristische Person, die geschäft-
liche Handlungen im Rahmen ihrer gewerblichen, handwerklichen oder beruflichen Tätigkeit vornimmt, und jede Person, die im Namen oder Auftrag einer solchen Person handelt;
7. »fachliche Sorgfalt« der Standard an Fachkenntnissen und Sorgfalt, von dem billigerweise angenommen werden kann, dass ein Unter-
nehmer ihn in seinem Tätigkeitsbereich gegenüber Verbrauchern nach Treu und Glauben unter Berücksichtigung der Marktgepflo genheiten einhält.
(2) Für den Verbraucherbegriff gilt § 13 des Bürgerlichen Gesetzbuchs ent-
sprechend.
§ 3
(1) 36
Verbot unlauterer geschäftlicher Handlungen
Unlautere geschäftliche Handlungen sind unzulässig, wenn sie geeignet sind, die Interessen von Mitbewerbern, Verbrauchern oder sonstigen Marktteilnehmern spürbar zu beeinträchtigen.
(2) Geschäftliche Handlungen gegenüber Verbrauchern sind jedenfalls dann unzulässig, wenn sie nicht der für den Unternehmer geltenden fachlichen
Sorgfalt entsprechen und dazu geeignet sind, die Fähigkeit des Ver-
brauchers, sich auf Grund von Informationen zu entscheiden, spürbar zu beeinträchtigen und ihn damit zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.
(3) Dabei ist auf den durchschnittlichen Verbraucher oder, wenn sich die geschäftliche Handlung an eine bestimmte Gruppe von Verbrauchern
wendet, auf ein durchschnittliches Mitglied dieser Gruppe abzustellen. Auf die Sicht eines durchschnittlichen Mitglieds einer auf Grund von geistigen oder körperlichen Gebrechen, Alter oder Leichtgläubigkeit besonders schutzbedürftigen und eindeutig identifizierbaren Gruppe von Verbrauchern ist abzustellen, wenn für den Unternehmer vorherseh-
bar ist, dass seine geschäftliche Handlung nur diese Gruppe betrifft.
Die im Anhang dieses Gesetzes aufgeführten geschäftlichen Handlungen gegenüber Verbrauchern sind stets unzulässig.
§ 4 Beispiele unlauterer geschäftlicher Handlungen
Unlauter handelt insbesondere, wer
1. geschäftliche Handlungen vornimmt, die geeignet sind, die Entschei-
dungsfreiheit der Verbraucher oder sonstiger Marktteilnehmer durch Ausübung von Druck, in menschenverachtender Weise oder durch sonstigen unangemessenen unsachlichen Einfluss zu beein-
trächtigen;
2. geschäftliche Handlungen vornimmt, die geeignet sind, geistige oder
körperliche Gebrechen, das Alter, die geschäftliche Unerfahrenheit, die Leichtgläubigkeit, die Angst oder die Zwangslage von Verbrau-
chern auszunutzen;
3. den Werbecharakter von geschäftlichen Handlungen verschleiert;
4. bei Verkaufsförderungsmaßnahmen wie Preisnachlässen, Zugaben oder Geschenken die Bedingungen für ihre Inanspruchnahme nicht klar und eindeutig angibt;
5. bei Preisausschreiben oder Gewinnspielen mit Werbecharakter die Teilnahmebedingungen nicht klar und eindeutig angibt;
6. die Teilnahme von Verbrauchern an einem Preisausschreiben oder Gewinnspiel von dem Erwerb einer Ware oder der Inanspruchnahme einer Dienstleistung abhängig macht, es sei denn, das Preisausschreiben oder Gewinnspiel ist naturgemäß mit der Ware oder der Dienstleistung
verbunden;
7. die Kennzeichen, Waren, Dienstleistungen, Tätigkeiten oder persön-
lichen oder geschäftlichen Verhältnisse eines Mitbewerbers herab-
setzt oder verunglimpft;
8. über die Waren, Dienstleistungen oder das Unternehmen eines Mit-
bewerbers oder über den Unternehmer oder ein Mitglied der Unter-
nehmensleitung Tatsachen behauptet oder verbreitet, die geeignet sind, den Betrieb des Unternehmens oder den Kredit des Unterneh-
mers zu schädigen, sofern die Tatsachen nicht erweislich wahr sind; handelt es sich um vertrauliche Mitteilungen und hat der Mitteilende oder der Empfänger der Mitteilung an ihr ein berechtigtes Interesse, so ist die Handlung nur dann unlauter, wenn die Tatsachen der Wahr-
heit zuwider behauptet oder verbreitet wurden;
Ein Joint Venture von arvato und Creditreform
9. Waren oder Dienstleistungen anbietet, die eine Nachahmung der Waren oder Dienstleistungen eines Mitbewerbers sind, wenn er
a)eine vermeidbare Täuschung der Abnehmer über die betriebliche Herkunft herbeiführt,
b)die Wertschätzung der nachgeahmten Ware oder Dienstleistung unangemessen ausnutzt oder beeinträchtigt oder
c)die für die Nachahmung erforderlichen Kenntnisse oder Unterlagen unredlich erlangt hat;
10. Mitbewerber gezielt behindert,
11. einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.
§ 5 Irreführende geschäftliche Handlungen
(1) Unlauter handelt, wer eine irreführende geschäftliche Handlung vor
nimmt. Eine geschäftliche Handlung ist irreführend, wenn sie unwahre Angaben enthält oder sonstige zur Täuschung geeignete Angaben über folgende Umstände enthält:
1. die wesentlichen Merkmale der Ware oder Dienstleistung wie Ver-
fügbarkeit, Art, Ausführung, Vorteile, Risiken, Zusammensetzung, Zubehör, Verfahren oder Zeitpunkt der Herstellung, Lieferung oder Erbringung, Zwecktauglichkeit, Verwendungs-möglichkeit, Menge, Beschaffenheit, Kundendienst und Beschwerdeverfahren, geogra phische oder betriebliche Herkunft, von der Verwendung zu erwar tende Ergebnisse oder die Ergebnisse oder wesentlichen Bestand teile von Tests der Waren oder Dienstleistungen;
2. den Anlass des Verkaufs wie das Vorhandensein eines besonderen Preisvorteils, den Preis oder die Art und Weise, in der er berechnet wird, oder die Bedingungen, unter denen die Ware geliefert oder die Dienstleistung erbracht wird;
3. die Person, Eigenschaften oder Rechte des Unternehmers wie Iden tität, Vermögen einschließlich der Rechte des geistigen Eigentums, den Umfang von Verpflichtungen, Befähigung, Status, Zulassung, Mitgliedschaften oder Beziehungen, Auszeichnungen oder Ehrungen,
Beweggründe für die geschäftliche Handlung oder die Art des Vertriebs;
4. Aussagen oder Symbole, die im Zusammenhang mit direktem oder indirektem Sponsoring stehen oder sich auf eine Zulassung des Unter-
nehmers oder der Waren oder Dienstleistungen beziehen;
5. die Notwendigkeit einer Leistung, eines Ersatzteils, eines Austauschs oder einer Reparatur;
6. die Einhaltung eines Verhaltenskodexes, auf den sich der Unterneh-
mer verbindlich verpflichtet hat, wenn er auf diese Bindung hinweist oder
7. Rechte des Verbrauchers, insbesondere solche auf Grund von Garan
tieversprechen oder Gewährleistungsrechte bei Leistungsstörungen.
(2) Eine geschäftliche Handlung ist auch irreführend, wenn sie im Zusammen
hang mit der Vermarktung von Waren oder Dienstleistungen einschließ-
lich vergleichender Werbung eine Verwechslungsgefahr mit einer anderen
Ware oder Dienstleistung oder mit der Marke oder einem anderen Kenn-
zeichen eines Mitbewerbers hervorruft.
(3) (4) Angaben im Sinne von Absatz 1 Satz 2 sind auch Angaben im Rahmen vergleichender Werbung sowie bildliche Darstellungen und sonstige Ver-
anstaltungen, die darauf zielen und geeignet sind, solche Angaben zu ersetzen.
Es wird vermutet, dass es irreführend ist, mit der Herabsetzung eines Preises zu werben, sofern der Preis nur für eine unangemessen kurze Zeit gefordert worden ist. Ist streitig, ob und in welchem Zeitraum der Preis gefordert worden ist, so trifft die Beweislast denjenigen, der mit der Preisherabsetzung geworben hat.
§ 5a Irreführung durch Unterlassen
(1) Bei der Beurteilung, ob das Verschweigen einer Tatsache irreführend ist, sind insbesondere deren Bedeutung für die geschäftliche Entscheidung nach der Verkehrsauffassung sowie die Eignung des Verschweigens zur Beeinflussung der Entscheidung zu berücksichtigen.
(2) Unlauter handelt, wer die Entscheidungsfähigkeit von Verbrauchern im Sinne des § 3 Abs. 2 dadurch beeinflusst, dass er eine Information vor-
enthält, die im konkreten Fall unter Berücksichtigung aller Umstände ein
schließlich der Beschränkungen des Kommunikationsmittels wesentlich ist.
(3) Werden Waren oder Dienstleistungen unter Hinweis auf deren Merkmale
und Preis in einer dem verwendeten Kommunikationsmittel angemes
senen Weise so angeboten, dass ein durchschnittlicher Verbraucher das Geschäft abschließen kann, gelten folgende Informationen als wesent-
lich im Sinne des Absatzes 2, sofern sie sich nicht unmittelbar aus den Umständen ergeben:
1. alle wesentlichen Merkmale der Ware oder Dienstleistung in dem dieser und dem verwendeten Kommunikationsmittel angemessenen Umfang;
2. die Identität und Anschrift des Unternehmers, gegebenenfalls die Identität und Anschrift des Unternehmers, für den er handelt;
3. der Endpreis oder in Fällen, in denen ein solcher Preis auf Grund der Beschaffenheit der Ware oder Dienstleistung nicht im Voraus be-
rechnet werden kann, die Art der Preisberechnung sowie gegebe-
nenfalls alle zusätzlichen Fracht-, Liefer- und Zustellkosten oder in Fällen, in denen diese Kosten nicht im Voraus berechnet werden können, die Tatsache, dass solche zusätzlichen Kosten anfallen können;
4. Zahlungs-, Liefer- und Leistungsbedingungen sowie Verfahren zum Umgang mit Beschwerden, soweit sie von Erfordernissen der fach
lichen Sorgfalt abweichen, und
5. das Bestehen eines Rechts zum Rücktritt oder Widerruf.
(4) Als wesentlich im Sinne des Absatzes 2 gelten auch Informationen, die dem Verbraucher auf Grund gemeinschaftsrechtlicher Verordnungen oder nach Rechtsvorschriften zur Umsetzung gemeinschaftsrechtlicher Richtlinien für kommerzielle Kommunikation einschließlich Werbung und Marketing nicht vorenthalten werden dürfen.
37
§ 6 Vergleichende Werbung
(1) Vergleichende Werbung ist jede Werbung, die unmittelbar oder mittel-
bar einen Mitbewerber oder die von einem Mitbewerber angebotenen Waren oder Dienstleistungen erkennbar macht.
(2) Unlauter handelt, wer vergleichend wirbt, wenn der Vergleich
1. sich nicht auf Waren oder Dienstleistungen für den gleichen Bedarf oder dieselbe Zweckbestimmung bezieht,
2. nicht objektiv auf eine oder mehrere wesentliche, relevante, nach prüfbare und typische Eigenschaften oder den Preis dieser Waren oder Dienstleistungen bezogen ist,
3. im geschäftlichen Verkehr zu einer Gefahr von Verwechslungen zwischen dem Werbenden und einem Mitbewerber oder zwischen den von diesen angebotenen Waren oder Dienstleistungen oder den von ihnen verwendeten Kennzeichen führt,
4. den Ruf des von einem Mitbewerber verwendeten Kennzeichens in unlauterer Weise ausnutzt oder beeinträchtigt,
5. die Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mitbewerbers herabsetzt oder verunglimpft oder
6. eine Ware oder Dienstleistung als Imitation oder Nachahmung einer unter einem geschützten Kennzeichen vertriebenen Ware oder Dienstleistung darstellt.
§ 7 Unzumutbare Belästigungen
(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzu
mutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilneh-
mer diese Werbung nicht wünscht.
(2) Eine unzumutbare Belästigung ist stets anzunehmen
1. bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten, für den Fernabsatz geeigneten Mittels der kommer ziellen Kommunikation, durch die ein Verbraucher hartnäckig ange-
sprochen wird, obwohl er dies erkennbar nicht wünscht;
2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaß-
liche Einwilligung,
3. bei Werbung unter Verwendung einer automatischen Anrufmaschine,
eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, oder
4. bei Werbung mit einer Nachricht, bei der die Identität des Absenders,
in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermitt-
lungskosten nach den Basistarifen entstehen.
38
(3) Abweichend von Absatz 2 Nr. 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzuneh-
men, wenn
1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Post adresse erhalten hat,
2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
3. der Kunde der Verwendung nicht widersprochen hat und
4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
KAPITEL 2 | RECHTSFOLGEN
§ 8 Beseitigung und Unterlassung
(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht.
(2) Werden die Zuwiderhandlungen in einem Unternehmen von einem Mitarbeiter oder Beauftragten begangen, so sind der Unterlassungs
anspruch und der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet.
(3) Die Ansprüche aus Absatz 1 stehen zu:
1. jedem Mitbewerber;
2. rechtsfähigen Verbänden zur Förderung gewerblicher oder selb ständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, so weit sie insbesondere nach ihrer personellen, sachlichen und finan ziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben
der Verfolgung gewerblicher oder selbständiger beruflicher Interes sen tatsächlich wahrzunehmen, und soweit die Zuwiderhandlung
die Interessen ihrer Mitglieder berührt;
3. qualifizierten Einrichtungen, die nachweisen, dass sie in die Liste qualifizierter Einrichtungen nach § 4 des Unterlassungsklagenge-
setzes oder in dem Verzeichnis der Kommission der Europäischen Gemeinschaften nach Artikel 4 der Richtlinie 98/27/EG des Europä-
ischen Parlaments und des Rates vom 19. Mai 1998 über Unterlas-
sungsklagen zum Schutz der Verbraucherinteressen (ABl. EG Nr. L 166 S. 51) eingetragen sind;
4. den Industrie- und Handelskammern oder den Handwerkskammern.
(4) Die Geltendmachung der in Absatz 1 bezeichneten Ansprüche ist unzu-
lässig, wenn sie unter Berücksichtigung der gesamten Umstände miss
bräuchlich ist, insbesondere wenn sie vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen.
Ein Joint Venture von arvato und Creditreform
(5) § 13 des Unterlassungsklagengesetzes ist entsprechend anzuwenden; in § 13 Absatz 1 und 3 Satz 2 des Unterlassungsklagengesetzes treten an die Stelle des Anspruchs gemäß § 1 oder § 2 des Unterlassungsklagengesetzes die Unterlassungsansprüche nach dieser Vorschrift. Im Übrigen findet das Unterlassungsklagengesetz keine Anwendung, es sei denn, es liegt ein Fall des § 4a des Unterlassungsklagengesetzes vor.
§ 9 Schadensersatz
Wer vorsätzlich oder fahrlässig eine nach § 3 oder § 7 unzulässige geschäftliche
Handlung vornimmt, ist den Mitbewerbern zum Ersatz des daraus entstehenden Schadens verpflichtet. Gegen verantwortliche Personen von periodischen
Druckschriften kann der Anspruch auf Schadensersatz nur bei einer vorsätzlichen Zuwiderhandlung geltend gemacht werden.
§ 10 Gewinnabschöpfung
(1) Wer vorsätzlich eine nach § 3 oder § 7 unzulässige geschäftliche Hand
lung vornimmt und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt, kann von den gemäß § 8 Abs. 3 Nr. 2 bis 4 zur Geltendmachung eines Unterlassungsanspruchs Berechtigten auf Heraus
gabe dieses Gewinns an den Bundeshaushalt in Anspruch genommen werden.
(2) Auf den Gewinn sind die Leistungen anzurechnen, die der Schuldner auf Grund der Zuwiderhandlung an Dritte oder an den Staat erbracht hat.
Soweit der Schuldner solche Leistungen erst nach Erfüllung des Anspruchs
nach Absatz 1 erbracht hat, erstattet die zuständige Stelle des Bundes dem Schuldner den abgeführten Gewinn in Höhe der nachgewiesenen Zahlungen zurück.
(3) Beanspruchen mehrere Gläubiger den Gewinn, so gelten die §§ 428 bis 430 des Bürgerlichen Gesetzbuchs entsprechend.
(4) Die Gläubiger haben der zuständigen Stelle des Bundes über die Geltend
machung von Ansprüchen nach Absatz 1 Auskunft zuerteilen. Sie können
von der zuständigen Stelle des Bundes Erstattung der für die Geltend-
machung des Anspruchs erforderlichen Aufwendungen verlangen, soweit
sie vom Schuldner keinen Ausgleich erlangen können. Der Erstattungs-
anspruch ist auf die Höhe des an den Bundeshaushalt abgeführten Gewinns beschränkt.
(5) Zuständige Stelle im Sinn der Absätze 2 und 4 ist das Bundesamt für Justiz.
§ 11 Verjährung
(1) Die Ansprüche aus den §§ 8, 9 und 12 Abs. 1 Satz 2 verjähren in sechs Monaten.
(2) Die Verjährungsfrist beginnt, wenn
1. der Anspruch entstanden ist und
2. der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahr lässigkeit erlangen müsste.
(3) Schadensersatzansprüche verjähren ohne Rücksicht auf die Kenntnis oder grob fahrlässige Unkenntnis in zehn Jahren von ihrer Entstehung, spätestens in 30 Jahren von der den Schaden auslösenden Handlung an.
(4) Andere Ansprüche verjähren ohne Rücksicht auf die Kenntnis oder grob fahrlässige Unkenntnis in drei Jahren von der Entstehung an.
KAPITEL 3 | VERFAHRENSVORSCHRIFTEN
§ 12 Anspruchsdurchsetzung, Veröffentlichungsbefugnis,
Streitwertminderung
(1) Die zur Geltendmachung eines Unterlassungsanspruchs Berechtigten sollen den Schuldner vor der Einleitung eines gerichtlichen Verfahrens abmahnen und ihm Gelegenheit geben, den Streit durch Abgabe einer mit einer angemessenen Vertragsstrafe bewehrten Unterlassungsver-
pflichtung beizulegen. Soweit die Abmahnung berechtigt ist, kann der Ersatz der erforderlichen Aufwendungen verlangt werden.
(2) Zur Sicherung der in diesem Gesetz bezeichneten Ansprüche auf Unter
lassung können einstweilige Verfügungen auch ohne die Darlegung und Glaubhaftmachung der in den §§ 935 und 940 der Zivilprozess
ordnung bezeichneten Voraussetzungen erlassen werden.
(3) Ist auf Grund dieses Gesetzes Klage auf Unterlassung erhoben worden,
so kann das Gericht der obsiegenden Partei die Befugnis zusprechen, das Urteil auf Kosten der unterliegenden Partei öffentlich bekannt zu machen, wenn sie ein berechtigtes Interesse dartut. Art und Umfang der Bekanntmachung werden im Urteil bestimmt. Die Befugnis erlischt, wenn von ihr nicht innerhalb von drei Monaten nach Eintritt der Rechts
kraft Gebrauch gemacht worden ist. Der Ausspruch nach Satz 1 ist nicht vorläufig vollstreckbar.
(4) Bei der Bemessung des Streitwerts für Ansprüche nach § 8 Abs. 1 ist es wertmindernd zu berücksichtigen, wenn die Sache nach Art und Umfang einfach gelagert ist oder wenn die Belastung einer der Parteien mit den Prozesskosten nach dem vollen Streitwert angesichts ihrer Vermögens- und Einkommensverhältnisse nicht tragbar erscheint.
§ 13 Sachliche Zuständigkeit
(1) Für alle bürgerlichen Rechtsstreitigkeiten, mit denen ein Anspruch auf
Grund dieses Gesetzes geltend gemacht wird, sind die Landgerichte ausschließlich zuständig. Es gilt § 95 Abs. 1 Nr. 5 des Gerichtsverfassungs
gesetzes.
(2) Die Landesregierungen werden ermächtigt, durch Rechtsverordnung
für die Bezirke mehrerer Landgerichte eines von ihnen als Gericht für
Wettbewerbsstreitsachen zu bestimmen, wenn dies der Rechtspflege in Wettbewerbsstreitsachen, insbesondere der Sicherung einer einheit
lichen Rechtsprechung, dienlich ist. Die Landesregierungen können die Ermächtigung auf die Landesjustizverwaltungen übertragen.
§ 14
(1)
(2) Örtliche Zuständigkeit
Für Klagen auf Grund dieses Gesetzes ist das Gericht zuständig, in dessen
Bezirk der Beklagte seine gewerbliche oder selbständige berufliche Niederlassung oder in Ermangelung einer solchen seinen Wohnsitz hat. Hat der Beklagte auch keinen Wohnsitz, so ist sein inländischer Aufent-
haltsort maßgeblich.
Für Klagen auf Grund dieses Gesetzes ist außerdem nur das Gericht zuständig, in dessen Bezirk die Handlung begangen ist. Satz 1 gilt für Klagen,
die von den nach § 8 Abs. 3 Nr. 2 bis 4 zur Geltendmachung eines Unterlassungsanspruchs Berechtigten erhoben werden, nur dann, wenn der Beklagte im Inland weder eine gewerbliche oder selbständige berufliche
Niederlassung noch einen Wohnsitz hat.
39
§ 15
(1) (2) (3) (4) (5) (6) (7) (8) (9) 40
Einigungsstellen
Die Landesregierungen errichten bei Industrie- und Handelskammern Einigungsstellen zur Beilegung von bürgerlichen Rechtsstreitigkeiten, in denen ein Anspruch auf Grund dieses Gesetzes geltend gemacht wird (Einigungsstellen).
Die Einigungsstellen sind mit einer vorsitzenden Person, die die Befähi-
gung zum Richteramt nach dem Deutschen Richtergesetz hat, und beisitzenden Personen zu besetzen. Als beisitzende Personen werden im Falle einer Anrufung durch eine nach § 8 Abs. 3 Nr. 3 zur Geltendmachung eines Unterlassungsanspruchs berechtigte qualifizierte Einrichtung Unternehmer und Verbraucher in gleicher Anzahl tätig, sonst mindestens zwei sachverständige Unternehmer. Die vorsitzende Person soll auf dem Gebiet
des Wettbewerbsrechts erfahren sein. Die beisitzenden Personen werden
von der vorsitzenden Person für den jeweiligen Streitfall aus einer alljährlich für das Kalenderjahr aufzustellenden Liste berufen. Die Berufung
soll im Einvernehmen mit den Parteien erfolgen. Für die Ausschließung und Ablehnung von Mitgliedern der Einigungsstelle sind die §§ 41 bis 43 und § 44 Abs. 2 bis 4 der Zivilprozessordnung entsprechend anzuwen-
den. Über das Ablehnungsgesuch entscheidet das für den Sitz der Eini-
gungsstelle zuständige Landgericht (Kammer für Handelssachen oder, falls es an einer solchen fehlt, Zivilkammer).
Die Einigungsstellen können bei bürgerlichen Rechtsstreitigkeiten, in
denen ein Anspruch auf Grund dieses Gesetzes geltend gemacht wird, angerufen werden, wenn der Gegner zustimmt. Soweit die Wettbewerbshandlungen Verbraucher betreffen, können die Einigungsstellen von
jeder Partei zu einer Aussprache mit dem Gegner über den Streitfall angerufen werden; einer Zustimmung des Gegners bedarf es nicht.
Für die Zuständigkeit der Einigungsstellen ist § 14 entsprechend anzu-
wenden.
Die der Einigungsstelle vorsitzende Person kann das persönliche Erscheinen der Parteien anordnen. Gegen eine unentschuldigt ausblei-
bende Partei kann die Einigungsstelle ein Ordnungsgeld festsetzen.
Gegen die Anordnung des persönlichen Erscheinens und gegen die Festsetzung des Ordnungsgeldes findet die sofortige Beschwerde nach den Vorschriften der Zivilprozessordnung an das für den Sitz der Einigungs-
stelle zuständige Landgericht (Kammer für Handelssachen oder, falls es
an einer solchen fehlt, Zivilkammer) statt.
Die Einigungsstelle hat einen gütlichen Ausgleich anzustreben. Sie kann den Parteien einen schriftlichen, mit Gründen versehenen Einigungsvor-
schlag machen. Der Einigungsvorschlag und seine Begründung dürfen nur mit Zustimmung der Parteien veröffentlicht werden.
Kommt ein Vergleich zustande, so muss er in einem besonderen Schrift
stück niedergelegt und unter Angabe des Tages seines Zustandekom-
mens von den Mitgliedern der Einigungsstelle, welche in der Verhand-
lung mitgewirkt haben, sowie von den Parteien unterschrieben werden. Aus einem vor der Einigungsstelle geschlossenen Vergleich findet die Zwangsvollstreckung statt; § 797a der Zivilprozessordnung ist entspre-
chend anzuwenden.
Die Einigungsstelle kann, wenn sie den geltend gemachten Anspruch von vornherein für unbegründet oder sich selbst für unzuständig erachtet, die Einleitung von Einigungsverhandlungen ablehnen.
Durch die Anrufung der Einigungsstelle wird die Verjährung in gleicher Weise wie durch Klageerhebung gehemmt. Kommt ein Vergleich nicht zustande, so ist der Zeitpunkt, zu dem das Verfahren beendet ist, von der Einigungsstelle festzustellen. Die vorsitzende Person hat dies den Parteien mitzuteilen.
(10) Ist ein Rechtsstreit der in Absatz 3 Satz 2 bezeichneten Art ohne vor
herige Anrufung der Einigungsstelle anhängig gemacht worden, so kann das Gericht auf Antrag den Parteien unter Anberaumung eines
neuen Termins aufgeben, vor diesem Termin die Einigungsstelle zur Herbeiführung eines gütlichen Ausgleichs anzurufen. In dem Verfahren über den Antrag auf Erlass einer einstweiligen Verfügung ist diese Anordnung nur zulässig, wenn der Gegner zustimmt. Absatz 8 ist nicht anzuwenden.
Ist ein Verfahren vor der Einigungsstelle anhängig, so ist eine erst nach Anrufung der Einigungsstelle erhobene Klage des Antragsgegners auf
Feststellung, dass der geltend gemachte Anspruch nicht bestehe, nicht zulässig.
(11) Die Landesregierungen werden ermächtigt, durch Rechtsverordnung die zur Durchführung der vorstehenden Bestimmungen und zur Rege
lung des Verfahrens vor den Einigungsstellen erforderlichen Vorschriften zu erlassen, insbesondere über die Aufsicht über die Einigungsstellen, über ihre Besetzung unter angemessener Beteiligung der nicht den Indus-
trie- und Handelskammern angehörenden Unternehmern (§ 2 Abs. 2 bis 6 des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern in der im Bundesgesetzblatt Teil III, Gliederungsnum-
mer 701-1, veröffentlichten bereinigten Fassung) und über die Vollstre-
ckung von Ordnungsgeldern sowie Bestimmungen über die Erhebung von Auslagen durch die Einigungsstelle zu treffen.
Bei der Besetzung der Einigungsstellen sind die Vorschläge der für ein Bundesland errichteten, mit öffentlichen Mitteln geförderten Verbrau-
cherzentralen zur Bestimmung der in Absatz 2 Satz 2 genannten Ver-
braucher zu berücksichtigen.
(12) Abweichend von Absatz 2 Satz 1 kann in den Ländern Brandenburg, Mecklenburg-Vorpommern, Sachsen, Sachsen-Anhalt und Thüringen die Einigungsstelle auch mit einem Rechtskundigen als Vorsitzendem besetzt werden, der die Befähigung zum Berufsrichter nach dem Recht der Deutschen Demokratischen Republik erworben hat.
KAPITEL 4 | STRAF- UND BUßGELDVORSCHRIFTEN
§ 16 Strafbare Werbung
(1) Wer in der Absicht, den Anschein eines besonders günstigen Angebots hervorzurufen, in öffentlichen Bekanntmachungen oder in Mitteilungen, die für einen größeren Kreis von Personen bestimmt sind, durch unwahre Angaben irreführend wirbt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Wer es im geschäftlichen Verkehr unternimmt, Verbraucher zur Abnah-
me von Waren, Dienstleistungen oder Rechten durch das Versprechen zu veranlassen, sie würden entweder vom Veranstalter selbst oder von einem Dritten besondere Vorteile erlangen, wenn sie andere zum Ab
schluss gleichartiger Geschäfte veranlassen, die ihrerseits nach der Art dieser Werbung derartige Vorteile für eine entsprechende Werbung weiterer Abnehmer erlangen sollen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Ein Joint Venture von arvato und Creditreform
§ 17 Verrat von Geschäfts- und Betriebsgeheimnissen
(1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses
anvertraut worden oder zugänglich geworden ist, während der Geltungs-
dauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Ab
sicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unterneh-
mens Schaden zuzufügen,
1. sich ein Geschäfts- oder Betriebsgeheimnis durch
a) Anwendung technischer Mittel,
b) Herstellung einer verkörperten Wiedergabe des Geheimnisses oder
c) Wegnahme einer Sache, in der das Geheimnis verkörpert ist,
unbefugt verschafft oder sichert oder
2. ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt.
(3) Der Versuch ist strafbar.
(4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter
1. gewerbsmäßig handelt,
2. bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder
3. eine Verwertung nach Absatz 2 Nr. 2 im Ausland selbst vornimmt.
(5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungs-
behörde wegen des besonderen öffentlichen Interesses an der Strafver-
folgung ein Einschreiten von Amts wegen für geboten hält.
(6) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend.
§ 18 Verwertung von Vorlagen
(1) Wer die ihm im geschäftlichen Verkehr anvertrauten Vorlagen oder Vor-
schriften technischer Art, insbesondere Zeichnungen, Modelle, Schablonen,
Schnitte, Rezepte, zu Zwecken des Wettbewerbs oder aus Eigennutz un
befugt verwertet oder jemandem mitteilt, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungs-
behörde wegen des besonderen öffentlichen Interesses an der Strafver
folgung ein Einschreiten von Amts wegen für geboten hält.
(4) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend.
§ 19 Verleiten und Erbieten zum Verrat
(1) Wer zu Zwecken des Wettbewerbs oder aus Eigennutz jemanden zu bestimmen versucht, eine Straftat nach § 17 oder § 18 zu begehen, oder zu einer solchen Straftat anzustiften versucht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs oder aus Eigen
nutz sich bereit erklärt oder das Erbieten eines anderen annimmt oder mit einem anderen verabredet, eine Straftat nach § 17 oder § 18 zu be
gehen oder zu ihr anzustiften.
(3) (4) (5) § 31 des Strafgesetzbuches gilt entsprechend.
Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfol-
gungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.
§ 5 Nr. 7 des Strafgesetzbuches gilt entsprechend.
§ 20
(1) (2) (3) Bußgeldvorschriften
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 7
Abs. 1 in Verbindung mit Abs. 2 Nr. 2 gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung mit einem Telefonanruf wirbt.
Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.
ANHANG | (ZU § 3 ABS. 3)
(Fundstelle: BGBl. I 2010, 262-263)
Unzulässige geschäftliche Handlungen im Sinne des § 3 Abs. 3 sind
1. die unwahre Angabe eines Unternehmers, zu den Unterzeichnern eines Verhaltenskodexes zu gehören;
2. die Verwendung von Gütezeichen, Qualitätskennzeichen oder
Ähnlichem ohne die erforderliche Genehmigung;
3. die unwahre Angabe, ein Verhaltenskodex sei von einer öffentlichen oder anderen Stelle gebilligt;
4. die unwahre Angabe, ein Unternehmer, eine von ihm vorgenommene
geschäftliche Handlung oder eine Ware oder Dienstleistung sei von einer öffentlichen oder privaten Stelle bestätigt, gebilligt oder ge nehmigt worden, oder die unwahre Angabe, den Bedingungen für die Bestätigung, Billigung oder Genehmigung werde entsprochen;
5. Waren- oder Dienstleistungsangebote im Sinne des § 5a Abs. 3 zu einem bestimmten Preis, wenn der Unternehmer nicht darüber auf klärt, dass er hinreichende Gründe für die Annahme hat, er werde nicht in der Lage sein, diese oder gleichartige Waren oder Dienst-
leistungen für einen angemessenen Zeitraum in angemessener
Menge zum genannten Preis bereitzustellen oder bereitstellen zu lassen (Lockangebote).
Ist die Bevorratung kürzer als zwei Tage, obliegt es dem Unternehmer,
die Angemessenheit nachzuweisen;
6. Waren- oder Dienstleistungsangebote im Sinne des § 5a Abs. 3 zu einem bestimmten Preis, wenn der Unternehmer sodann in der Ab sicht, stattdessen eine andere Ware oder Dienstleistung abzusetzen, eine fehlerhafte Ausführung der Ware oder Dienstleistung vorführt oder sich weigert zu zeigen, was er beworben hat, oder sich weigert, Bestellungen dafür anzunehmen oder die beworbene Leistung inner halb einer vertretbaren Zeit zu erbringen;
7. die unwahre Angabe, bestimmte Waren oder Dienstleistungen seien
allgemein oder zu bestimmten Bedingungen nur für einen sehr begrenzten Zeitraum verfügbar, um den Verbraucher zu einer sofor tigen geschäftlichen Entscheidung zu veranlassen, ohne dass dieser Zeit und Gelegenheit hat, sich auf Grund von Informationen zu ent scheiden;
41
8. Kundendienstleistungen in einer anderen Sprache als derjenigen, in der die Verhandlungen vor dem Abschluss des Geschäfts geführt worden sind, wenn die ursprünglich verwendete Sprache nicht Amtssprache des Mitgliedstaats ist, in dem der Unternehmer nieder gelassen ist; dies gilt nicht, soweit Verbraucher vor dem Abschluss des Geschäfts darüber aufgeklärt werden, dass diese Leistungen in
einer anderen als der ursprünglich verwendeten Sprache erbracht werden;
9. die unwahre Angabe oder das Erwecken des unzutreffenden Eindrucks, eine Ware oder Dienstleistung sei verkehrsfähig;
10. die unwahre Angabe oder das Erwecken des unzutreffenden Ein drucks, gesetzlich bestehende Rechte stellten eine Besonderheit
des Angebots dar;
11. der vom Unternehmer finanzierte Einsatz redaktioneller Inhalte zu Zwecken der Verkaufsförderung, ohne dass sich dieser Zusam-
menhang aus dem Inhalt oder aus der Art der optischen oder
akustischen Darstellung eindeutig ergibt (als Information getarnte Werbung);
12.unwahre Angaben über Art und Ausmaß einer Gefahr für die per sönliche Sicherheit des Verbrauchers oder seiner Familie für den Fall, dass er die angebotene Ware nicht erwirbt oder die angebotene Dienstleistung nicht in Anspruch nimmt;
13. Werbung für eine Ware oder Dienstleistung, die der Ware oder Dienst leistung eines Mitbewerbers ähnlich ist, wenn dies in der Absicht geschieht, über die betriebliche Herkunft der beworbenen Ware oder Dienstleistung zu täuschen;
14. die Einführung, der Betrieb oder die Förderung eines Systems zur Verkaufsförderung, das den Eindruck vermittelt, allein oder haupt-
sächlich durch die Einführung weiterer Teilnehmer in das System könne eine Vergütung erlangt werden (Schneeball- oder Pyramiden-
system);
15. die unwahre Angabe, der Unternehmer werde demnächst sein Geschäft aufgeben oder seine Geschäftsräume verlegen;
16. die Angabe, durch eine bestimmte Ware oder Dienstleistung ließen sich die Gewinnchancen bei einem Glücksspiel erhöhen;
17. die unwahre Angabe oder das Erwecken des unzutreffenden Ein drucks, der Verbraucher habe bereits einen Preis gewonnen oder werde ihn gewinnen oder werde durch eine bestimmte Handlung einen Preis gewinnen oder einen sonstigen Vorteil erlangen, wenn es einen
solchen Preis oder Vorteil tatsächlich nicht gibt, oder wenn jedenfalls die Möglichkeit, einen Preis oder sonstigen Vorteil zu erlangen, von der Zahlung eines Geldbetrags oder der Übernahme von Kosten abhängig gemacht wird;
18.die unwahre Angabe, eine Ware oder Dienstleistung könne Krank-
heiten, Funktionsstörungen oder Missbildungen heilen;
19.eine unwahre Angabe über die Marktbedingungen oder Bezugsquellen, um den Verbraucher dazu zu bewegen, eine Ware oder Dienstleistung
zu weniger günstigen Bedingungen als den allgemeinen Marktbe-
dingungen abzunehmen oder in Anspruch zu nehmen;
20.das Angebot eines Wettbewerbs oder Preisausschreibens, wenn weder die in Aussicht gestellten Preise noch ein angemessenes Äqui valent vergeben werden;
42
21.das Angebot einer Ware oder Dienstleistung als »gratis«, »umsonst«, »kostenfrei« oder dergleichen, wenn hierfür gleichwohl Kosten zu tragen sind; dies gilt nicht für Kosten, die im Zusammenhang mit dem Eingehen auf das Waren- oder Dienstleistungsangebot oder
für die Abholung oder Lieferung der Ware oder die Inanspruchnahme
der Dienstleistung unvermeidbar sind;
22.die Übermittlung von Werbematerial unter Beifügung einer Zahlungs aufforderung, wenn damit der unzutreffende Eindruck vermittelt wird, die beworbene Ware oder Dienstleistung sei bereits bestellt;
23. die unwahre Angabe oder das Erwecken des unzutreffenden Ein drucks, der Unternehmer sei Verbraucher oder nicht für Zwecke seines Geschäfts, Handels, Gewerbes oder Berufs tätig;
24.die unwahre Angabe oder das Erwecken des unzutreffenden Ein-
drucks, es sei im Zusammenhang mit Waren oder Dienstleistungen in einem anderen Mitgliedstaat der Europäischen Union als dem des Warenverkaufs oder der Dienstleistung ein Kundendienst verfügbar;
25.das Erwecken des Eindrucks, der Verbraucher könne bestimmte Räum lichkeiten nicht ohne vorherigen Vertragsabschluss verlassen;
26.bei persönlichem Aufsuchen in der Wohnung die Nichtbeachtung einer Aufforderung des Besuchten, diese zu verlassen oder nicht zu
ihr zurückzukehren, es sein denn, der Besuch ist zur rechtmäßigen Durchsetzung einer vertraglichen Verpflichtung gerechtfertigt;
27.Maßnahmen, durch die der Verbraucher von der Durchsetzung seiner
vertraglichen Rechte aus einem Versicherungsverhältnis dadurch ab gehalten werden soll, dass von ihm bei der Geltendmachung seines Anspruchs die Vorlage von Unterlagen verlangt wird, die zum Nach weis dieses Anspruchs nicht erforderlich sind, oder dass Schreiben zur Geltendmachung eines solchen Anspruchs systematisch nicht beantwortet werden;
28.die in eine Werbung einbezogene unmittelbare Aufforderung an
Kinder, selbst die beworbene Ware zu erwerben oder die beworbene Dienstleistung in Anspruch zu nehmen oder ihre Eltern oder andere Erwachsene dazu zu veranlassen;
29.die Aufforderung zur Bezahlung nicht bestellter Waren oder Dienst
leistungen oder eine Aufforderung zur Rücksendung oder Aufbe wahrung nicht bestellter Sachen, sofern es sich nicht um eine nach den Vorschriften über Vertragsabschlüsse im Fernabsatz zulässige Ersatzlieferung handelt, und
30.die ausdrückliche Angabe, dass der Arbeitsplatz oder Lebens unterhalt des Unternehmers gefährdet sei, wenn der Verbraucher
die Ware oder Dienstleistung nicht abnehme.
ANHANG BDSG
Bundesdatenschutzgesetz
Allgemeine und gemeinsame Bestimmungen
Rechtsgrundlagen der Datenverarbeitung
Rechte des Betroffenen
Aufsichtsbehörde
Sondervorschriften
beDirect ist ein Joint Venture von arvato und Creditreform
ERSTER ABSCHNITT
ALLGEMEINE UND GEMEINSAME BESTIMMUNGEN
§ 1 Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er
durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung perso-
nenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,
3. nichtöffentliche Stellen, soweit sie die Daten unter Einsatz von Daten-
verarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.
(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen
sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsver
fahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts per
sonenbezogene Daten verarbeitet werden.
(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertrags-
staat des Abkommens über den Europäischen Wirtschaftsraum bele-
gene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung
im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland er
hebt, verarbeitet oder nutzt.
Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind
auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch
das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt.
§2
(1) 44
Öffentliche und nichtöffentliche Stellen
Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem Sonderver
mögen Deutsche Bundespost durch Gesetz hervorgegangenen Unter
nehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechts-
pflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffent-
lichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen,
gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffent-
liche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die abso lute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
(4) Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesell-
schaften und andere Personenvereinigungen des privaten Rechts, soweit
sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
§ 3 Weitere Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen
Person (Betroffener).
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.
Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach be
stimmten Merkmalen zugänglich ist und ausgewertet werden kann.
(3) Erheben ist das Beschaffen von Daten über den Betroffenen.
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personen bezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personen-
bezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Daten verarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass
die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natür
lichen Person zugeordnet werden können.
Ein Joint Venture von arvato und Creditreform
(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifika-
tionsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene
Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere
im Auftrag vornehmen lässt.
(8) Empfänger ist jede Person oder Stelle, die Daten erhält.
Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland,
in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirt-
schaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(9) Besondere Arten personenbezogener Daten sind Angaben über die ras
sische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesund-
heit oder Sexualleben.
(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger,
1. die an den Betroffenen ausgegeben werden,
2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verar-
beitet werden können und
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch
des Mediums beeinflussen kann.
(11) Beschäftigte sind:
1. Arbeitnehmerinnen und Arbeitnehmer,
2. zu ihrer Berufsbildung Beschäftigte,
3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie
Personen, deren Beschäftigungsverhältnis beendet ist,
8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Solda-
tinnen und Soldaten sowie Zivildienstleistende.
§ 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind
an dem Ziel auszurichten, so wenig personenbezogene Daten wie mög
lich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind perso-
nenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit
dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu
dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
§4
(1) Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvor-
schrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der
Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Auf wand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er,
sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
1. die Identität der verantwortlichen Stelle,
2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den
Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss,
zu unterrichten.
Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Er
teilung der Auskunft Voraussetzung für die Gewährung von Rechtsvor-
teilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
§ 4a Einwilligung
(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung,
Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Ein
zelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung
der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen
ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich
erteilt werden, ist sie besonders hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand
im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem
Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben,
verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.
§ 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen
(1) Für die Übermittlung personenbezogener Daten an Stellen
1. in anderen Mitgliedstaaten der Europäischen Union,
2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder
3. der Organe und Einrichtungen der Europäischen Gemeinschaften
gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der
für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz
oder teilweise in den Anwendungsbereich des Rechts der Europä-
ischen Gemeinschaften fallen.
45
(2) (3) (4) (5) (6) Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1,
die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche
Stellen gilt Absatz 1 entsprechend. Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein
angemessenes Datenschutzniveau nicht gewährleistet ist.
Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben
einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder zur Erfüllung über- oder zwischenstaatliche Verpflichtungen
auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist.
Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere
können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.
In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn
damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde.
Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden.
§ 4c Ausnahmen
(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungs
bereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1
genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutz
niveau nicht gewährleistet ist, zulässig, sofern
1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Be troffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwort-
lichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Inte resses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit
oder allen Personen, die ein berechtigtes Interesse nachweisen können,
zur Einsichtnahme offen steht, soweit die gesetzlichen Vorausset-
zungen im Einzelfall gegeben sind.
46
(2) (3) Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.
Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde
einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen
genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben.
Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor.
Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit.
§ 4d Meldepflicht
(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme
von nichtöffentlichen verantwortlichen Stellen der zuständigen Auf-
sichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes
sowie von den Post- und Telekommunikationsunternehmen dem Bundes
beauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.
(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftrag
ten für den Datenschutz bestellt hat.
(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personen
bezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei
in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbei
tung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung
oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses
mit dem Betroffenen erforderlich ist.
(4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Ver
arbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten
von der jeweiligen Stelle
1. zum Zweck der Übermittlung,
2. zum Zweck der anonymisierten Übermittlung oder
3. für Zwecke der Markt- oder Meinungsforschung gespeichert werden.
(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).
Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass
eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen
vorliegt oder die Erhebung, Verar-beitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäft lichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Ein Joint Venture von arvato und Creditreform
(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz.
Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.
§ 4e Inhalt der Meldepflicht
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:
1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der betroffenen Personengruppen und der dies-
bezüglichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mit geteilt werden können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittstaaten,
9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu be-
urteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicher heit der Verarbeitung angemessen sind.
§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend.
§ 4f
(1)
(2) Beauftragter für den Datenschutz
Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz
schriftlich zu bestellen. Nichtöffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20
Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig
mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erfor-
derlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nichtöffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder
personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässig-
keit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwort-
lichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung,
unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.
(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
Die Bestellung zum Beauftragten für den Datenschutz kann in entspre-
chender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nichtöffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, wider
rufen werden.
Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
Nach der Abberufung als Beauftragter für den Datenschutz ist die Kün
digung innerhalb eines Jahres nach der Beendigung der Bestellung un
zulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde
hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die
Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.
(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
(4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kennt-
nis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Grün
den ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeug
nisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.
(5) Die öffentlichen und nichtöffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erfor-
derlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauf-
tragten für den Datenschutz wenden.
§ 4g Aufgaben des Beauftragten für den Datenschutz
(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zu
ständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen.
Er hat insbesondere
1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme,
mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automati-
sierten Verarbeitung personenbezogener Daten rechtzeitig zu unter-
richten,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen
durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den je weiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
47
(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie
über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Be
auftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.
(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestel-
lung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.
(3) Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem Behördenleiter entscheidet die oberste Bundesbehörde.
§ 5
Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nichtöffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 6
(1) (2) (3) Rechte des Betroffenen
Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung,
Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanz
verwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterrichten. In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6.
Personenbezogene Daten über die Ausübung eines Rechts des Betrof-
fenen, das sich aus diesem Gesetz oder aus einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden.
§ 6a Automatisierte Einzelentscheidung
(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt
werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Ent
scheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung
und darauf gestützte Entscheidung durch eine natürliche Person statt
gefunden hat.
48
(2) Dies gilt nicht, wenn
1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder
2. die Wahrung der berechtigten Interessen des Betroffenen durch ge eignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert.
(3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verarbeitung der
ihn betreffenden Daten.
§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch
elektronischen Einrichtungen
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektro-
nischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist
zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist
und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der
Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur ver
arbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für
die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straf
taten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbei-
tungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbei-
tung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen
1. über ihre Identität und Anschrift,
2. in allgemein verständlicher Form über die Funktionsweise des Me diums einschließlich der Art der zu verarbeitenden personenbezo-
genen Daten,
3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und
4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maß nahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.
Ein Joint Venture von arvato und Creditreform
(2) (3) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die
zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur
Verfügung stehen.
Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung
auslösen, müssen für den Betroffenen eindeutig erkennbar sein.
§ 7
Schadensersatz
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem
Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige
oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personen-
bezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
§ 8
(1) (2) (3) (4) (5) (6) Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen
Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Daten-
schutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung
oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet.
Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130.000 Euro begrenzt. Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den
Höchstbetrag von 130.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamt-
betrag zu dem Höchstbetrag steht.
Sind bei einer automatisierten Verarbeitung mehrere Stellen speiche-
rungsberechtigt und ist der Geschädigte nicht in der Lage, die spei-
chernde Stelle festzustellen, so haftet jede dieser Stellen.
Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen Gesetzbuchs.
Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
§ 9
Technische und organisatorische Maßnahmen
Öffentliche und nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere
die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 9a Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und daten
verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.
Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren
sowie die Auswahl und Zulassung der Gutachter werden durch beson-
deres Gesetz geregelt.
§ 10 Einrichtung automatisierter Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten
Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des ein
zelnen Abrufs bleiben unberührt.
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der zu übermittelnden Daten,
4. nach § 9 erforderliche technische und organisatorische Maßnahmen.
Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch
die Fachaufsichtsbehörden getroffen werden.
(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12
Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festle-
gungen nach Absatz 2 zu unterrichten. Die Einrichtung von Abrufverfah-
ren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die ab
rufende Stelle jeweils zuständige Bundes- oder Landesministerium zugestimmt hat.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässig
keit der Abrufe nur, wenn dazu Anlass besteht.
Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung
personenbezogener Daten zumindest durch geeignete Stichproben
verfahren festgestellt und überprüft werden kann. Wird ein Gesamt-
bestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Fest
stellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines
Entgelts, nutzen kann.
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen er
hoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen
sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der
Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maß nahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
49
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbe-
sondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhält
nissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Dul dungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm be schäftigten Personen gegen Vorschriften zum Schutz personenbezo-
gener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber ge genüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auf tragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden.
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass
eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vor
schriften über den Datenschutz verstößt, hat er den Auftraggeber unver
züglich darauf hinzuweisen.
(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und
11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für
1. a) öffentliche Stellen,
b) nichtöffentliche Stellen, bei denen der öffentlichen Hand die Mehr heit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Daten-
schutzgesetze der Länder,
2. die übrigen nichtöffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen,
die §§ 4f, 4g und 38.
(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder War
tung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein
Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
ZWEITER ABSCHNITT
DATENVERARBEITUNG DER ÖFFENTLICHEN STELLEN
§§ 12 -26 (…)
50
DRITTER ABSCHNITT
DATENVERARBEITUNG NICHTÖFFENTLICHER STELLEN UND
ÖFFENTLICH-RECHTLICHER WETTBEWERBSUNTERNEHMEN
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 27 Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit perso-
nenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen ver
arbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch
1. nichtöffentliche Stellen,
2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen,
b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen
und der Datenschutz nicht durch Landesgesetz geregelt ist.
Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten
ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.
(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und
Nutzung personenbezogener Daten außerhalb von nicht automatisierten
Dateien, soweit es sich nicht um personenbezogene Daten handelt, die
offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind.
§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke
(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezoge
ner Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts
zwecke ist zulässig,
1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält-
nisses mit dem Betroffenen erforderlich ist,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
3. wenn die Daten allgemein zugänglich sind oder die verantwortliche
Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen
Stelle offensichtlich überwiegt.
Bei der Erhebung personenbezogener Daten sind die Zwecke, für die
die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.
(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig:
1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3,
2. soweit es erforderlich ist,
a) zur Wahrung berechtigter Interessen eines Dritten oder
b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutz-
Ein Joint Venture von arvato und Creditreform
würdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder
3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Inte resse des Betroffenen an dem Ausschluss der Zweckänderung erheb-
lich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(3) Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit
es sich um listenmäßig oder sonst zusammengefasste Daten über Ange
hörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist
1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppen-
zugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder
aus allgemein zugänglichen Adress-, Ruf-nummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat,
2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder
3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und
§ 34g des Einkommensteuergesetzes steuerbegünstigt sind.
Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern.
Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermitt-
lung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem
Fall muss die Stelle, die die Daten erstmals erhoben hat, aus der Werbung
eindeutig hervorgehen. Unabhängig vom Vorliegen der Voraussetzungen
des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der
Ansprache zum Zwecke der Werbung die für die Nutzung der Daten ver
antwortliche Stelle eindeutig erkennbar ist. Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Nach den Sätzen 1, 2
und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder ge
nutzt werden, für den sie übermittelt worden sind.
(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung
für die Zukunft widerrufen kann.
Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich
erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung beson
ders hervorzuheben.
(3b) Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen
vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumut
barer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilli-
gung ist unwirksam.
(4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Verar-
beitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für
diese Zwecke unzulässig. Der Betroffene ist bei der Ansprache zum Zweck
der Werbung oder der Markt- oder Meinungsforschung und in den Fällen
des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsge-
schäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt
worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für
den Widerspruch keine strengere Form verlangt werden als für die Begrün
dung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuld
verhältnisses.
(5) Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm über-
mittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nichtöffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn darauf hinzuweisen.
(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personen-
bezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn
1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines
Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,
2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,
3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss
der Erhebung, Verarbeitung oder Nutzung überwiegt, oder
4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist,
das wissenschaftliche Interesse an der Durchführung des Forschungs vorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhält-
nismäßigem Aufwand erreicht werden kann.
(7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9)
ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die
Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unter
liegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 ge
nannten Zwecken richtet sich nach den für die in Satz 1 genannten Per
sonen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1
genannten Zweck Daten über die Gesundheit von Personen durch Ange
hörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuches genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.
51
(8) (9) Für einen anderen Zweck dürfen die besonderen Arten personenbezo
gener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6
Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr
von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist.
Organisationen, die politisch, philosophisch, religiös oder gewerkschaft-
lich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist.
Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. Absatz 2 Nummer 2
Buchstabe b gilt entsprechend.
§ 28aDatenübermittlung an Auskunfteien
(1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung be
rechtigter Interessen der verantwortlichen Stelle oder eines Dritten er
forderlich ist und
1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreck-
bar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach
§ 794 der Zivilprozessordnung vorliegt,
2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht
vom Schuldner im Prüfungstermin bestritten worden ist,
3. der Betroffene die Forderung ausdrücklich anerkannt hat,
4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens
zweimal schriftlich gemahnt worden ist,
b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen,
c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Über mittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und
d) der Betroffene die Forderung nicht bestritten hat oder
5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Über mittlung unterrichtet hat.
Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten
nach § 29 verwendet.
(2) Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durch
führung und Beendigung eines Vertragsverhältnisses betreffend ein Bank
geschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Inte
resse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines
Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. Zur zu
künftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten
über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertrag
lichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig.
52
(3) Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung
mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten.
§ 28bScoring
Zum Zwecke der Entscheidung über die Begründung, Durchführung oder
Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn
1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathe matisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind;
2. im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten
Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen;
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich
Anschriftendaten genutzt werden;
4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berech-
nung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu doku-
mentieren.
§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck
der Übermittlung
(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen per
sonenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn
dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adress
handel dient, ist zulässig, wenn
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz würdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat,
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es
sei denn, dass das schutzwürdige Interesse des Betroffenen an dem
Ausschluss der Erhebung, Speicherung oder Veränderung offensicht-
lich überwiegt, oder
3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespei-
chert werden.
§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden.
(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn
1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Inte resse an ihrer Kenntnis glaubhaft dargelegt hat und
2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz-
würdiges Interesse an dem Ausschluss der Übermittlung hat.
§ 28 Absatz 3 bis 3b gilt entsprechend. Bei der Übermittlung nach Satz 1
Nr. 1 sind die Gründe für das Vorliegen eines berechtigten Interesses und
die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. Bei der Übermittlung im automatisierten Abrufver
fahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten über
mittelt werden. Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen.
Ein Joint Venture von arvato und Creditreform
(3) (4) (5) (6) (7) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeich-
nis oder Register ersichtlich ist. Der Empfänger der Daten hat sicherzu-
stellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden.
Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5.
§ 28 Abs. 6 bis 9 gilt entsprechend.
Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum
Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen Vertragsstaaten des Abkommens über den
Europäischen Wirtschaftsraum genauso zu behandeln wie Auskunfts-
verlangen inländischer Darlehensgeber.
Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat
den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft
zu unterrichten. Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 6a bleibt unberührt.
§ 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck
der Übermittlung in anonymisierter Form
(1) Werden personenbezogene Daten geschäftsmäßig erhoben und gespei-
chert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen
Person zugeordnet werden können. Diese Merkmale dürfen mit den Einzel
angaben nur zusammengeführt werden, soweit dies für die Erfüllung des
Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforder
lich ist.
(2) Die Veränderung personenbezogener Daten ist zulässig, wenn
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz-
würdiges Interesse an dem Ausschluss der Veränderung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt.
(3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist.
(4) § 29 gilt nicht.
(5) § 28 Abs. 6 bis 9 gilt entsprechend.
§30aGeschäftsmäßige Datenerhebung und -speicherung für Zwecke
der Markt- oder Meinungsforschung
(1) Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezo-
gener Daten für Zwecke der Markt- oder Meinungsforschung ist zulässig,
wenn
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz-
würdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt.
Besondere Arten personenbezogener Daten (§ 3 Absatz 9) dürfen nur für
ein bestimmtes Forschungsvorhaben erhoben, verarbeitet oder genutzt werden.
(2) Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespei-
cherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet
oder genutzt werden. Daten, die nicht aus allgemein zugänglichen Quellen
entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben verarbeitet oder genutzt werden, für das sie erhoben worden sind.
Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden,
wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann.
(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach
dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden
sind, möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können.
Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem Zweck des Forschungsvorhabens erfor-
derlich ist.
(4) § 29 gilt nicht.
(5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend.
§
31 | Besondere Zweckbindung
Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespei-
chert werden, dürfen nur für diese Zwecke verwendet werden.
§ 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungs
verhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn
zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen,
dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforder-
lich ist und das schutzwürdige Interesse des Beschäftigten an dem Aus
schluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, ins
besondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhält-
nismäßig sind.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben,
verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet
oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
53
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 33 Benachrichtigung des Betroffenen
(1) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kennt
nis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benach-
richtigen. Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Be
troffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher,
satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht
gelöscht werden dürfen oder ausschließlich der Datensicherung oder
der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,
3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, nament lich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen,
4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorge-
sehen ist,
5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen
Forschung erforderlich ist und eine Benachrichtigung einen unverhält nismäßigen Aufwand erfordern würde,
6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle
festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes
oder eines Landes Nachteile bereiten würde,
7. die Daten für eigene Zwecke gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unver-
hältnismäßig ist oder
b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt,
8. die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffent-
licht haben, oder
b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt
(§ 29 Absatz 2 Satz 2) und eine Benachrichtigung wegen der Viel zahl der betroffenen Fälle unverhältnismäßig ist,
9. aus allgemein zugänglichen Quellen entnommene Daten geschäfts mäßig für Zwecke der Markt- oder Meinungsforschung gespeichert
sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist.
Die verantwortliche Stelle legt schriftlich fest, unter welchen Vorausset-
zungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird.
54
§ 34 Auskunft an den Betroffenen
(1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.
Der Betroffene soll die Art der personenbezogenen Daten, über die Aus
kunft erteilt werden soll, näher bezeichnen. Werden die personenbezo
genen Daten geschäftsmäßig zum Zweck der Übemittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind.
Die Auskunft über die Herkunft und die Empfänger kann verweigert
werden, soweit das Interesse an der Wahrung des Geschäftsgeheim
nisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.
(1a) Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft
der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. Satz 1 gilt entsprechend für den Empfänger.
(2) Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem
Betroffenen auf Verlangen Auskunft zu erteilen über
1. die innerhalb der letzten sechs Monate vor dem Zugang des Aus-
kunftsverlangens erhobenen oder erstmals gespeicherten Wahr scheinlichkeitswerte,
2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten-
arten und
3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeits-
werte einzelfallbezogen und nachvollziehbar in allgemein verständ-
licher Form.
Satz 1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle
1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder
2. bei einer anderen Stelle gespeicherte Daten nutzt.
Hat eine andere als die für die Entscheidung verantwortliche Stelle
1. den Wahrscheinlichkeitswert oder
2. einen Bestandteil des Wahrscheinlichkeitswerts
berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche
nach den Sätzen 1 und 2 erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. Im Falle des Satzes 3 Nr. 1 hat die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. In
diesem Fall hat die andere Stelle, die den Wahrscheinlichkeitswert be
rechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber
dem Betroffenen unentgeltlich zu erfüllen. Die Pflicht der für die Berech-
nung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3
entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem
Recht nach Satz 4 Gebrauch macht.
Ein Joint Venture von arvato und Creditreform
(3) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der
Übermittlung speichert, hat dem Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder automatisiert verarbeitet werden noch in einer nicht automa-
tisierten Datei gespeichert sind. Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die
1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll,
2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Aus kunftserteilung nutzt.
Die Auskunft über die Herkunft und die Empfänger kann verweigert
werden, soweit das Interesse an der Wahrung des Geschäftsgeheim-
nisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.
(4) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der
Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über
1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunfts verlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes
zukünftiges Verhalten des Betroffenen sowie die Namen und letzt bekannten Anschriften der Dritten, an die die Werte übermittelt worden sind,
2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunfts-
verlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben,
3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern
1 und 2 genutzten Datenarten sowie
4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeits-
werte einzelfallbezogen und nachvollziehbar in allgemein verständ-
licher Form.
Satz 1 gilt entsprechend, wenn die verantwortliche Stelle
1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder
2. bei einer anderen Stelle gespeicherte Daten nutzt.
(5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden; für andere Zwecke sind sie zu sperren.
(6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen
der besonderen Umstände eine andere Form der Auskunftserteilung an
gemessen ist.
(7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist.
(8) Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Text
form verlangen. Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirt
schaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann nicht verlangt werden, wenn
1. besondere Umstände die Annahme rechtfertigen, dass Daten un richtig oder unzulässig gespeichert werden, oder
2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind.
(9) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. Er ist hierauf hinzuweisen.
§ 35 Berichtigung, Löschung und Sperrung von Daten
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Geschätzte Daten sind als solche deutlich zu kennzeichnen.
(2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1
und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist,
2. es sich um Daten über die rassische oder ethnische Herkunft, politische
Meinungen, religiöse oder philosophische Überzeugungen, Gewerk-
schaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen
oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der ver antwortlichen Stelle nicht bewiesen werden kann,
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden
und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres, beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforder-
lich ist.
Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1
oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegen-
stehen,
2. Grund zu der Annahme besteht, dass durch eine Löschung schutz-
würdige Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.
(4a) Die Tatsache der Sperrung darf nicht übermittelt werden.
(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbei-
tung oder Verarbeitung in nicht automatisierten Dateien erhoben, ver
arbeitet oder genutzt werden, soweit der Betroffene dieser bei der ver
antwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutz
würdige Interesse des Betroffenen wegen seiner besonderen persönlichen
Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechts
vorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit be
stritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zu-
gänglichen Quellen entnommen und zu Dokumentationszwecken ge
speichert sind. Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden.
55
(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten
sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung
sind die Stellen zu verständigen, denen im Rahmen einer Datenübermitt
lung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Inte
ressen des Betroffenen nicht entgegenstehen.
(8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der ver antwortlichen Stelle oder eines Dritten liegenden Gründen unerläss-
lich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
Dritter Unterabschnitt
Aufsichtsbehörde
§ 38
(1) (2) (3) 56
Aufsichtsbehörde
Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automati-
sierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisier-
ten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. Die Aufsichtsbehörde darf die von ihr gespeicherten
Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2
Nr. 1 bis 3, 6 und 7 gilt entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe).
Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder
andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend.
Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1.
Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen.
Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383
Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf hinzuweisen.
(4) (5) (6) (7) Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertra-
genen Aufgaben erforderlich ist, während der Betriebs- und Geschäfts-
zeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der Auskunfts
pflichtige hat diese Maßnahmen zu dulden.
Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vor-
schriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organi-
satorischer Mängel anordnen.
Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbun-
den sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuver-
lässigkeit nicht besitzt.
Die Landesregierungen oder die von ihnen ermächtigten Stellen bestim-
men die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden.
Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe bleibt unberührt.
§ 38aVerhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen
(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln
zur Förderung der Durchführung von datenschutzrechtlichen Regelungen
der zuständigen Aufsichtsbehörde unterbreiten.
(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.
VIERTER ABSCHNITT
SONDERVORSCHRIFTEN
§ 39
(1) (2) Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
Personenbezogene Daten, die einem Berufs- oder besonderen Amtsge-
heimnis unterliegen und die von der zur Verschwiegenheit verpflichteten
Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. In die Übermittlung an eine nichtöffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.
Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.
Ein Joint Venture von arvato und Creditreform
§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungs-
einrichtungen
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte
personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.
(2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert
zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt
werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personen
bezogene Daten nur veröffentlichen, wenn
1. der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
die Medien
(1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhe-
bung, Verarbeitung und Nutzung personenbezogener Daten von Unter
nehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften
der §§ 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf
bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen.
(2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nut-
zung personenbezogener Daten durch die Deutsche Welle zur Veröffent-
lichung von Gegendarstellungen des Betroffenen, so sind diese Gegen
darstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.
(3) Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem
Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann nach Abwägung der schutzwürdigen
Interessen der Beteiligten verweigert werden, soweit
1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch
mitwirken oder mitgewirkt haben, geschlossen werden kann,
2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers
von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann,
3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde.
Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt.
§ 42 Datenschutzbeauftragter der Deutschen Welle
(1) Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauervon vier Jahren,
wobei Wiederbestellungen zulässig sind. Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden.
(2) (3) (4) (5) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz.
Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unter-
worfen. Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates.
Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden.
Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen
Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht.
Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. Die Tätigkeitsberichte übermittelt der
Beauftragte auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.
Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. Die §§ 4f und 4g bleiben unberührt.
§ 42aInformationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte
1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig
zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchti-
gungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Auf-
sichtsbehörde sowie den Betroffenen mitzuteilen.
Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald
angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr
gefährdet wird. Die Benachrichtigung der Betroffenenmuss eine Darlegung
der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kennt
niserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhält
nismäßigen Aufwand erfordern würde, insbesondere aufgrund der Viel
zahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffent-
lichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in
mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch
eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffe
nen gleich geeignete Maßnahme.
Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungs-
pflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen ver
wendet werden.
57
FÜNFTER ABSCHNITT
SCHLUSSVORSCHRIFTEN
§ 43 Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung
nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,
2a.entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Daten übermittlung festgestellt und überprüft werden kann,
2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht voll ständig oder nicht in der vorgeschriebenen Weise erteilt oder ent gegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverar beitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,
3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder
nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betrof-
fene Kenntnis erhalten kann,
3a.entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt,
4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt,
4a.entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektro-
nische oder gedruckte Adress-, Rufnummern-, Branchen- oder ver gleichbare Verzeichnisse aufnimmt,
7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt,
7a.entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt,
7b.entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.
8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,
8a.entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, ent gegen § 34 Absatz 1a, entgegen § 34 Absatz 2 Satz 1, auch in Ver-
bindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2,
eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht recht-
zeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert,
8b.entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht voll ständig oder nicht rechtzeitig übermittelt,
8c.entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht recht-
zeitig an die andere Stelle verweist,
9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,
10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder
11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwider handelt.
58
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Ver arbeitungen oder nicht automatisierten Dateien verschafft,
4. die Übermittlung von personenbezogenen Daten, die nicht allge-
mein zugänglich sind, durch unrichtige Angaben erschleicht,
5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittel ten Daten für andere Zwecke nutzt,
5a.entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht,
5b.entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt,
6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geld
buße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrig-
keit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
§ 44 Strafvorschriften
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Ent
gelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betrof-
fene, die verantwortliche Stelle, der Bundesbeauftragte für den Daten-
schutz und die Informationsfreiheit und die Aufsichtsbehörde.
SECHSTER ABSCHNITT
ÜBERGANGSVORSCHRIFTEN
§ 45 Laufende Verwendungen
Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personen-
bezogener Daten und zum freien Datenverkehr zur Anwendung gelan-
gen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezo-
gener Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen.
Ein Joint Venture von arvato und Creditreform
§ 46 Weitergeltung von Begriffsbestimmungen
(1) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei
1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder
2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeord-
net und ausgewertet werden kann (nicht automatisierte Datei).
Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden
können.
(2) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte ver
wendet, ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
(3) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger
verwendet, ist Empfänger jede Person oder Stelle außerhalb der verant-
wortlichen Stelle. Empfänger sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europä-
ischen Union oder in einem anderen Vertragsstaat des Abkommens über
den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag
erheben, verarbeiten oder nutzen.
§ 47 Übergangsregelung
Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener
oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden
1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010,
2. für Zwecke der Werbung bis zum 31. August 2012.
§ 48 Bericht der Bundesregierung
Die Bundesregierung berichtet dem Bundestag
1. bis zum 31. Dezember 2012 über die Auswirkungen der §§ 30a
und 42a,
2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29.
Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen
empfehlen, soll der Bericht einen Vorschlag enthalten.
ANLAGE (ZU § 9 SATZ 1)
Fundstelle des Originaltextes: BGBl. I 2003, 88
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist
die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass
sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu
schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu ver wehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen können und dass personenbezogene
Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektro-
nischen Übertragung oder während ihres Transports oder ihrer
Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertra-
gung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten in Datenverarbei-
tungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag ver arbeitet werden, nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten
getrennt verarbeitet werden können.
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung
von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
59
Der direkte Draht: Ihre beDirect-Ansprechpartner
HABEN SIE FRAGEN?
Unsere Experten beraten Sie gern telefonisch oder per E-Mail. Vereinbaren Sie einen Termin für ein
ausführliches persönliches Gespräch!
Kundencenter Gütersloh
Impressum
Ariane Eggers
Telefon 05241 80-45614
[email protected]
beDirect GmbH & Co. KG
Carl-Bertelsmann-Straße 105–107
33311 Gütersloh
Telefon 05241 80-45600
Telefax 05241 80-45699
Nicole Heublein
Telefon 05241 80-45611
[email protected]
Services online
Im Internet unter » www.bedirect.de finden
Sie nützliche Informationen und Planungshilfen. Unsere Produktbroschüren liegen hier
auch als PDF-Dateien zum Download bereit.
Rechtliche Hinweise
Trotz gewissenhafter Erstellung wird eine
Haftung für die Richtigkeit und Vollständigkeit nicht übernommen. Die Ausführungen
ersetzen weder die rechtliche Überprüfung
einer Werbemaßnahme noch die Beratung
hinsichtlich einer solchen Maßnahme.
60
Handelsregister-Nr.: Amtsgericht Gütersloh HRA 4251
Umsatzsteuer-ID-Nr.: DE 813285800
Steuernummer: 347/5900/3143
Geschäftsführer: Roland Meyer
Pers. haftende Gesellschafterin:
beDirect Verwaltungs-GmbH
Sitz: Gütersloh, Amtsgericht Gütersloh HRB 4170
Herausgeber: beDirect GmbH & Co. KG
Redaktion: Elena Baeder
Gestaltung: bif
Stand der Bearbeitung: 07.06.2012
© 2012 beDirect GmbH & Co. KG
Herunterladen