Erbrecht: Bei Persönlichkeitsrechtsverletzung ist Anspruch grundsätzlich nicht vererblich
AoLs
Authors
Der Bundesgerichtshof hat in seinem Urteil vom 29.11.2016 (VI ZR 530/15) folgendes entschieden:
Die Erbin einer gesetzlich krankenversicherten Patientin kann von der Krankenkasse keine immaterielle Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts der Patientin durch die Verwendung eines schriftlichen, die Patientin betreffenden, unzureichend anonymisierten sozialmedizinischen Gutachtens mit personenbezogenen Daten in anderen sozialgerichtlichen Verfahren verlangen. Der Anspruch auf Geldentschädigung wegen Persönlichkeitsrechtsverletzung ist grundsätzlich nicht vererblich.
Insbesondere kann ein Anspruch auf immaterielle Entschädigung nicht auf § 7 Satz 1 BDSG gestützt werden. Auch bei richtlinienkonformer Auslegung gewährt § 7 Satz 1 BDSG für diesen Fall nicht-automatisierter Datenverarbeitung keinen Anspruch auf immaterielle Entschädigung. Ein solches Gutachten ist keine Datei im Sinne von Art. 3 Abs. 1, Art. 2 Buchst. c der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 - Datenschutzrichtlinie -, so dass der Anwendungsbereich der Richtlinie insoweit nicht eröffnet ist.
Tenor:
Die Revision gegen das Urteil des 16. Zivilsenates des Oberlandesgerichts Düsseldorf vom 21. August 2015 wird zurückgewiesen.
Die Klägerin trägt die Kosten des Revisionsverfahrens.
Tatbestand
De Klägerin begehrt, soweit im Revisionsverfahren noch von Interesse, von der Beklagten zu 1 aus übergegangenem Recht ihrer vor Klageerhebung verstorbenen Mutter eine Geldentschädigung wegen unbefugter Nutzung und Weitergabe der Krankengeschichte der Erblasserin.
Die an Krebs erkrankte Erblasserin nahm die Beklagte als ihre gesetzliche Krankenversicherung vor dem Sozialgericht auf Übernahme der Kosten für eine Hyperthermietherapie in Anspruch. Anlässlich des Rechtsstreits holte die Beklagte beim onkologischen Kompetenzzentrum des Medizinischen Dienstes der Krankenversicherung Nordrhein-Westfalen ein schriftliches sozialmedizinisches Bewertungsgutachten über die Möglichkeit einer Leistungsgewährung unter Berücksichtigung der Krankengeschichte der Erblasserin ein. Das Gutachten vom 23. Januar 2012 klassifizierte diese Art der Therapie als experimentell und empfahl, eine Kostenübernahme abzulehnen. Die Beklagte legte dieses ihr günstige Gutachten, das die Krankengeschichte der Erblasserin im Detail darstellte, ohne deren Einwilligung in drei nicht die Erblasserin betreffenden anderen sozialgerichtlichen Verfahren als Argumentationshilfe vor. Dabei schwärzte sie zwar den eingangs genannten Namen der Erblasserin und den Tag und Monat ihres Geburtsdatums, so dass nur noch das Geburtsjahr zu lesen war. In dem darunter befindlichen auf der ersten Seite des Gutachtens wiedergegebenen Rubrum des sozialgerichtlichen Rechtsstreits blieben der Vor- und Nachname der Erblasserin aber lesbar.
Die Klägerin ist der Ansicht, dass in der Weiterverbreitung des Gutachtens eine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der Erblasserin liege und ihr als Alleinerbin ein Anspruch auf Geldentschädigung von mindestens 5.000 € zustehe. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin hatte keinen Erfolg. Mit der vom Berufungsgericht zugelassenen Revision verfolgt die Klägerin ihr Klagebegehren weiter.
Entscheidungsgründe
Das Berufungsgericht, dessen Urteil in [...] veröffentlicht ist, hat, soweit im Revisionsverfahren noch von Interesse, einen Anspruch auf Geldentschädigung wegen Verletzung des allgemeinen Persönlichkeitsrechts der Erblasserin unter Verweis auf das Senatsurteil vom 29. April 2014 abgelehnt. Mit Blick auf die überwiegende Genugtuungsfunktion sei der Anspruch auf Geldentschädigung wegen seines hinsichtlich seiner ideellen Bestandteile an die Person des Berechtigten bzw. Verletzten gebundenen höchstpersönlichen Charakters grundsätzlich nicht vererblich. Entsprechendes müsse für das Recht auf informationelle Selbstbestimmung gelten, da dieses lediglich eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts darstelle. Ein Anspruch auf Geldentschädigung sei von der Erblasserin nicht selbst rechtshängig gemacht worden, was Anlass hätte geben können, eine Vererblichkeit zu erwägen, sondern erst eineinhalb Jahre nach deren Tod durch die Klägerin. Umstände, die im Streitfall ausnahmsweise für eine Vererblichkeit sprechen könnten, seien weder dargetan noch sonst ersichtlich. Vielmehr sei bereits zweifelhaft, ob durch die Weitergabe und Nutzung des unzureichend anonymisierten Gutachtens in derart schwerwiegender Art und Weise in das allgemeine Persönlichkeitsrecht der Erblasserin bzw. in ihr Recht auf informationelle Selbstbestimmung eingegriffen worden sei, dass ihr eine Geldentschädigung zuzubilligen gewesen wäre.
Ein Anspruch der Klägerin auf immateriellen Schadensersatz aus gemäß § 1922 BGB auf sie übergegangenem Recht der Erblasserin folge auch nicht aus § 7 Satz 1 BDSG oder § 8 Abs. 2 BDSG, sei es unmittelbar oder mittelbar über § 82 Satz 1 und 2 SGB X. Über § 7 Satz 1 BDSG würden lediglich materielle Schäden ersetzt. § 8 Abs. 2 BDSG gewähre zwar Ersatz immaterieller Schäden, beträfe jedoch nur den hier nicht vorliegenden Fall einer automatisierten Datenverarbeitung. Auf die in der Literatur streitige Frage, ob die aus diesen Normen folgenden Schadensersatzansprüche vererblich seien, komme es nicht an.
Die Vorgaben der Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – Datenschutz-Richtlinie -, insbesondere deren Art. 23 Abs. 1, zwängen nicht im Wege einer richtlinienkonformen Auslegung und Anwendung des nationalen Rechts zu einer Ausdehnung der Haftung für immaterielle Schäden bei jeder infolge einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch eine verantwortliche Stelle bewirkten Verletzung des Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung. Die Pflicht zur Verwirklichung des Richtlinienziels im Auslegungswege finde ihre Grenze an dem nach innerstaatlicher Rechtstradition methodisch Erlaubten. Die Pflicht zur gemeinschaftskonformen Auslegung dürfe insbesondere nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem dienen. Der nationale Gesetzgeber habe in Umsetzung des Art. 23 Richtlinie 95/46/EG, der von den Mitgliedstaaten die ausdrückliche Regelung eines eigenen datenschutzrechtlichen Schadensersatzanspruchs für öffentliche wie nichtöffentliche Stellen verlange, § 7 BDSG eingeführt und sich dabei bewusst dafür entschieden, dem von einer rechtswidrigen oder falschen Datenverwendung Betroffenen mit dieser Regelung - lediglich - materiellen Schadensersatz zuteilwerden zu lassen, womit indes zugleich ein Ersatz immaterieller Schäden, soweit er durch andere Rechtsnormen gewährt werde, nicht ausgeschlossen sei. Etwas anderes folge auch nicht daraus, dass sich der Einzelne nach der Rechtsprechung des Gerichtshofs der Europäischen Union vor den nationalen Gerichten unmittelbar auf eine inhaltlich unbedingte und hinreichend genaue Bestimmung einer Richtlinie berufen könne. Denn dies ändere nichts an dem Willen des Gesetzgebers, den die Gerichte im Rahmen ihrer grundgesetzlichen Bindung an Recht und Gesetz sowie im Rahmen der Kompetenzordnung zu beachten hätten. Trotz des Anwendungsvorrangs des Gemeinschaftsrechts seien die nationalen Rechtsvorschriften anzuwenden, da sie insoweit mit den Vorgaben des Gemeinschaftsrechts nicht unvereinbar seien, was der Berufungssenat selbst zu beurteilen habe.
Die Revision ist nicht begründet. Das Berufungsurteil hält im Ergebnis revisionsrechtlicher Nachprüfung stand.
Die Frage, ob der Erblasserin aus § 839 BGB i.V.m. Art. 1, Art. 2 Abs. 1, Art. 34 GG ein Anspruch auf Geldentschädigung wegen der ohne ihren Willen erfolgten Verbreitung des unzureichend anonymisierten Gutachtens vom 23. Januar 2012 zustand, kann offen bleiben. Das Berufungsgericht ist zu Recht davon ausgegangen, dass ein solcher unterstellter Anspruch auf Geldentschädigung wegen der Verletzung des allgemeinen Persönlichkeitsrechts, auch in seiner Ausprägung als Recht auf informationelle Selbstbestimmung und in seiner amtshaftungsrechtlichen Einkleidung, nicht auf die Klägerin übergegangen wäre, da er grundsätzlich nicht vererblich ist und Umstände, die ausnahmsweise eine Vererblichkeit begründen könnten, nicht vorliegen. Dagegen wendet sich die Revision nicht.
Es ist ebenfalls nicht zu beanstanden, dass das Berufungsgericht Ansprüche aus § 7 Satz 1, § 8 Abs. 2 BDSG i.V.m. § 82 Satz 1 und 2 SGB X abgelehnt hat.
Gegen die Ablehnung eines Anspruchs aus § 8 Abs. 2 BDSG, der eine im Streitfall nicht gegebene automatisierte Datenverarbeitung voraussetzt, wendet sich die Revision nicht.
Ein Anspruch auf eine Entschädigung für einen immateriellen Schaden kann im Streitfall auch nicht auf § 7 BDSG gestützt werden. Nach dieser Norm ist eine verantwortliche Stelle oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet, wenn sie ihm durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zufügt. Zwar handelt es sich bei den Angaben zur Person der Erblasserin und ihren gesundheitlichen Verhältnissen im Gutachten um dem Sozialgeheimnis unterfallende personenbezogene Daten in Form von Sozialdaten, so dass die Beklagte sie durch die ohne die Einwilligung der Erblasserin erfolgte Weitergabe in unzulässiger, nicht automatisierter Weise verarbeitet hat. Als Trägerin der gesetzlichen Krankenversicherung war die Beklagte auch Leistungsträgerin im Sinne des § 35 Abs. 1 Satz 1 SGB I und damit eine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG. Entgegen der Auffassung der Revision ist das Berufungsgericht aber zu dem zutreffenden Ergebnis gelangt, dass § 7 Satz 1 BDSG zumindest in der Konstellation des Streitfalls nur Ersatz materieller Schäden gewährt.
Nach herrschender Ansicht gewährt § 7 Satz 1 BDSG grundsätzlich keinen Anspruch auf Ersatz immaterieller Schäden.
Zwar schließt der Wortlaut von § 7 BDSG eine Entschädigung für immaterielle Beeinträchtigungen nicht aus, denn er differenziert nicht zwischen materiellem und immateriellem Schaden. Die Beschränkung auf den Ersatz des materiellen Schadens wird aber daraus abgeleitet, dass, da § 7 Satz 1 BDSG die Verpflichtung zum Schadensersatz ausspricht, die §§ 249 ff. BGB anwendbar seien, so dass nach § 253 Abs. 1 BGB wegen eines Schadens, der nicht Vermögensschaden ist, Entschädigung in Geld nur in den durch das Gesetz ausdrücklich bestimmten Fällen gefordert werden könne. Das sei bei § 7 Satz 1 BDSG nicht der Fall. Die Beschränkung ergebe sich zusätzlich aus einem Umkehrschluss zu § 8 Abs. 2 BDSG, der im Gegensatz zu § 7 Satz 1 BDSG ausdrücklich den Ersatz des immateriellen Schadens vorsehe.
Für dieses Ergebnis spricht, dass ein Wille des Gesetzgebers, wonach § 7 Satz 1 BDSG eine Ersatzpflicht auch für immaterielle Schäden regeln solle, nicht feststellbar ist. In der Fassung des Bundesdatenschutzgesetzes vom 20. Dezember 1990 war nur eine Schadensersatzregelung in § 7 BDSG aF enthalten, die weitgehend mit dem heutigen § 8 Abs. 1 und 2 BDSG übereinstimmte und lediglich gegen öffentliche Stellen bei automatisierter Verarbeitung der personenbezogenen Daten und bei schwerer Verletzung des Persönlichkeitsrechts eine Entschädigung für immaterielle Schäden gewährte. § 7 BDSG in seiner heutigen Form wurde erst durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 eingefügt; der frühere § 7 BDSG aF wurde dadurch zum heutigen § 8 BDSG. Dieses Gesetz diente der Anpassung des Bundesdatenschutzgesetzes und anderer Gesetze an die Richtlinie 95/46/EG. In diesem Entwurf war eine Entschädigung für immaterielle Schäden lediglich in § 8 Abs. 2 BDSG, nicht jedoch in § 7 BDSG vorgesehen. In der Begründung wurde dazu nur ausgeführt, dass in § 7 Satz 1 BDSG in Umsetzung von Art. 23 der Richtlinie erstmals eine eigenständige Anspruchsgrundlage im Bundesdatenschutzgesetz für eine Verschuldenshaftung geschaffen werde, die sowohl im öffentlichen als auch im nicht öffentlichen Bereich gelte und Schadensersatzansprüche aus automatisierter und nicht-automatisierter Datenverarbeitung umfasse. § 8 BDSG entspreche im Wesentlichen § 7 BDSG aF. Ein Änderungsantrag, wonach § 7 BDSG unter Aufhebung von § 8 BDSG die Fassung erhalten sollte, dass die verantwortliche Stelle oder ihr Träger dem Betroffenen zum Ersatz des Schadens bei rechtswidriger oder unrichtiger Erhebung, Verarbeitung und Nutzung personenbezogener Daten verpflichtet sei und der Betroffene für den Schaden, der nicht Vermögensschaden sei, eine angemessene Entschädigung in Geld verlangen könne, ist bei der zweiten Beratung im Bundestag am 6. April 2001 abgelehnt worden.
Etwas anderes ergibt sich für den Streitfall entgegen der Ansicht der Revision auch nicht aufgrund einer möglicherweise gebotenen richtlinienkonformen Auslegung von § 7 Satz 1 BDSG. Nach Art. 23 Abs. 1 der Richtlinie 95/46/EG müssen die Mitgliedstaaten vorsehen, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Es ist bisher in der Rechtsprechung des Gerichtshofes nicht geklärt, ob von dieser Regelung auch Ersatz für immaterielle Schäden erfasst wird. Dies kann jedoch hier dahinstehen. Auch wenn man dies zugunsten der Klägerin unterstellt, kann im Streitfall offen bleiben, ob § 7 BDSG richtlinienkonform dahingehend auszulegen wäre, dass er eine Entschädigung für immaterielle Schäden gewährt. Denn der Anwendungsbereich der Richtlinie 95/46/EG ist bei der Weitergabe des schriftlichen Gutachtens nicht eröffnet und es bleibt für diese Fallkonstellation bei der oben dargestellten Auslegung von § 7 Satz 1 BDSG.
Im Streitfall ist ein Teil einer Akte eines sozialgerichtlichen Verfahrens, nämlich ein schriftliches sozialmedizinisches Gutachten, das personenbezogene Daten der Erblasserin und damaligen Klägerin enthält, ohne deren Einwilligung an Dritte weitergegeben worden. Nach Art. 3 Abs. 1 der Richtlinie 95/46/EG - "Anwendungsbereich" - gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen. Nach den nicht angegriffenen Feststellungen des Berufungsgerichts liegt im Streitfall eine nicht automatisierte Verarbeitung personenbezogener Daten vor. Weder das Gutachten selbst noch die es enthaltende Gerichtsakte erfüllen die Voraussetzungen des Dateibegriffs des Art. 3 Abs. 1 i.V.m. Art. 2 Buchst. c der Richtlinie 95/46/EG.
Der Ausdruck "Datei mit personenbezogenen Daten" bezeichnet nach Art. 2 Buchst. c der Richtlinie 95/46/EG jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird. Aus den Erwägungsgründen ergeben sich weitere Hinweise auf das Verständnis dieses Begriffs. Nach Erwägungsgrund 15 wird die Verarbeitung solcher Daten von der Richtlinie nur erfasst, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien enthalten oder für solche bestimmt sind, die nach bestimmten personenbezogenen Kriterien strukturiert sind, um einen leichten Zugriff auf die Daten zu ermöglichen. Nach Erwägungsgrund 27 muss Datenschutz sowohl für automatisierte als auch für nichtautomatisierte Verarbeitungen gelten. Der Schutz darf nicht von den verwendeten Techniken abhängen, da andernfalls ernsthafte Risiken der Umgehung entstehen würden. Bei manuellen Verarbeitungen erfasst die Richtlinie lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muss der Inhalt einer Datei nach bestimmten personenbezogenen Kriterien strukturiert sein, die einen leichten Zugriff auf die Daten ermöglichen. Akten und Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien strukturiert sind, fallen unter keinen Umständen in den Anwendungsbereich der Richtlinie.
Dieser weit gefasste Begriff der Datei ist im Gesetzgebungsverfahren für den Bereich nicht automatisierter Datenverarbeitung mit Bedacht nicht aufgegeben worden.
Von der Kommission war der Dateibegriff zunächst als zentraler Anknüpfungspunkt für den Gegenstand und Anwendungsbereich der Richtlinie vorgesehen. Nach Art. 1 Abs. 1 des Vorschlags der Kommission vom 27. Juli 1990 für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten gewährleisteten die Mitgliedstaaten nach den Bestimmungen dieser Richtlinie den Schutz der Privatsphäre von Personen bei der Verarbeitung personenbezogener Daten, die in Dateien enthalten sind. Nach der Begriffsbestimmung in Art. 2 Buchst. c des Vorschlages meinte dies jede Sammlung personenbezogener Daten, die zentral oder an mehreren Standorten geführt wird, Gegenstand einer automatisierten Verarbeitung ist oder, falls sie mittels nicht-automatisierter Verfahren verarbeitet werden, geordnet und in einer Sammlung zugänglich ist, die nach bestimmten Kriterien organisiert ist, die die Benutzung oder Verknüpfung der Daten erleichtern.
In seiner Stellungnahme dazu vom 24. April 1991 kritisierte der Wirtschafts- und Sozialausschuss, dass der Begriff zu eng erscheine. Personenbezogene Daten könnten auch ad hoc verarbeitet werden und müssten nicht zwangsläufig in einer Datei gespeichert sein. Im Übrigen werde die Rechtmäßigkeit der Datenerfassung - und das sei das Grundkonzept jeglichen Datenschutzes - nach dem "Zweck" der Datenverarbeitung beurteilt. Deshalb sollte nach Meinung des Ausschusses der Begriff der "Verarbeitung personenbezogener Daten" den Anwendungsbereich der Richtlinie definieren und nicht die "Datei". Der Ausschuss hielt es durchaus für angebracht, grundsätzlich auch Karteien, einschließlich "Aktensammlungen", mit einzubeziehen, vor allem wenn diese in direkter Beziehung zu einer automatisierten Verarbeitung stünden. Dem folgte das Europäische Parlament zunächst und der Dateibegriff entfiel im geänderten Text des Parlaments zum Anwendungsbereich der Richtlinie.
Am 15. Oktober 1992 legte die Kommission indes einen geänderten Richtlinienvorschlag vor, der wieder auf den Dateibegriff abstellte. In dessen Art. 3 Abs. 1 wurde der Anwendungsbereich wieder auf die nicht-automatisierte Verarbeitung personenbezogener Daten, die in Dateien gespeichert sind oder gespeichert werden sollen, erstreckt. Art. 2 Buchst. c definierte als Datei jede strukturierte Sammlung personenbezogener Daten, die zentral oder an mehreren Standorten geführt wird und nach bestimmten Kriterien zugänglich ist, deren Ziel darin besteht oder die dazu führt, die Bewertung oder die Kombination von Daten über die betroffene Person zu erleichtern. In dem vom Rat festgelegten gemeinsamen Standpunkt vom 20. Februar 1995 fand sich bereits die nahezu identische Fassung des späteren Art. 3 Abs. 1 der Richtlinie 95/46/EG, ebenso waren die späteren Erwägungsgründe 15 und 27 bereits wortgleich enthalten. Auch die Definition der "Datei" in Art. 2 Buchst. c des Vorschlags entsprach bereits der endgültigen späteren Fassung.
Nach diesem Dateibegriff können auch Akten grundsätzlich in den Anwendungsbereich der Richtlinie fallen, nicht jedoch wenn sie - so Erwägungsgrund 27 - nicht nach bestimmten Kriterien strukturiert sind. Dann werden sie ebenso wie Aktensammlungen sowie ihre Deckblätter ausdrücklich vom Anwendungsbereich der Richtlinie ausgeschlossen.
Gemessen daran erfüllt das Gutachten mangels der maßgeblichen Struktur weder die Voraussetzungen einer strukturierten Akte noch die des Dateibegriffs in Art. 2 Buchst. c der Richtlinie 95/46/EG. Wie die Beibehaltung und nähere Konkretisierung des Dateibegriffs in Art. 2 Buchst. c und somit der Wortlaut der Richtlinie zeigen, ist der ausschlaggebende datenschutzrechtliche Anknüpfungspunkt die der Sammlung personenbezogener Daten innewohnende Möglichkeit einer methodischen Erschließung und Verarbeitung. Dies ergibt sich klar aus den Erwägungsgründen 15 und 27, die von der Ermöglichung eines leichten Zugriffs auf die Daten sprechen. Das setzt mindestens voraus, dass die Daten durch den formalen Aufbau leicht erschlossen werden können, dass anhand eines Merkmals eine Teilmenge von personenbezogenen Daten einer bestimmten Person oder mehrerer Personen gefunden werden kann, dass sich die in der Sammlung enthaltenen Daten nicht nur durch sequenzielles Durchgehen der gesamten Sammlung auffinden lassen, sondern vereinfachte Möglichkeiten der inhaltlichen Erschließung bestehen.
Daran fehlt es im Streitfall. Hier ist ein Durchgehen bzw. Durchlesen des fortlaufenden Textes des Gutachtens wie auch der Akte des Sozialgerichts, deren Bestandteil es ursprünglich war, erforderlich, um die personenbezogenen Daten der Erblasserin im Rahmen des sie umgebenden Textes festzustellen. Das als Freitext verfasste Gutachten enthält zwar zahlreiche personenbezogene Daten, doch sind diese nicht nach bestimmten Kriterien zugänglich oder nach einzelnen Gesichtspunkten aufgeteilt. Der Text folgt lediglich einer für medizinische Gutachten üblichen gedanklichen und als logisch erachteten Gliederung, die dem Text als Übersicht vorangestellt ist. Auch bei den Akten eines sozialgerichtlichen Verfahrens, dessen Bestandteil das Gutachten ist, handelt es sich nicht um eine solche strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Sie enthält zwar zahlreiche personenbezogene Daten, doch fehlt es an der Zugänglichkeit nach bestimmten Kriterien. Ein Teil der Daten wird für den Leser zwar an den dem üblichen Aktenaufbau folgenden Stellen ersichtlich, z.B. Vor- und Nachname und Adresse im Rubrum der Schriftsätze oder einer Entscheidung, die Daten sind jedoch vom Freitext dieser Aktenbestandteile umgeben.
Dass die Beklagte das Gutachten einer bei ihr systematisch angelegten Gutachtensammlung entnommen hätte, ist nicht festgestellt.
Der Senat kann die Nichteröffnung des Anwendungsbereiches der Richtlinie auf den Streitfall feststellen, ohne dass er den Gerichtshof der Europäischen Union gemäß Art. 267 Abs. 1 bis 3 AEUV um eine Vorabentscheidung ersuchen muss. Die Vorlagepflicht entfällt unter anderem dann, wenn die richtige Auslegung des Gemeinschaftsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel kein Raum mehr bleibt. Hieran gemessen war ein Vorabentscheidungsersuchen nicht veranlasst. Der Senat gelangt - wie vorstehend aufgezeigt - bei den sich hier stellenden Fragen zur Auslegung der Richtlinie 95/46/EG zu einem klaren und eindeutigen Ergebnis.
moreResultsText
moreResultsText
Annotations
BUNDESGERICHTSHOF
Der VI. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 25. Oktober 2016 durch den Vorsitzenden Richter Galke, den Richter Offenloch, die Richterinnen Dr. Oehler und Dr. Roloff und den Richter Dr. Klein
für Recht erkannt:
Tatbestand:
- 1
- Die Klägerin begehrt, soweit im Revisionsverfahren noch von Interesse, von der Beklagten zu 1 (nachfolgend: Beklagte) aus übergegangenem Recht ihrer vor Klageerhebung verstorbenen Mutter (nachfolgend: Erblasserin) eine Geldentschädigung wegen unbefugter Nutzung und Weitergabe der Krankengeschichte der Erblasserin.
- 2
- Die an Krebs erkrankte Erblasserin nahm die Beklagte als ihre gesetzliche Krankenversicherung vor dem Sozialgericht auf Übernahme der Kosten für eine Hyperthermietherapie in Anspruch. Anlässlich des Rechtsstreits holte die Beklagte beim onkologischen Kompetenzzentrum des Medizinischen Dienstes der Krankenversicherung Nordrhein-Westfalen ein schriftliches sozialmedizinisches Bewertungsgutachten (nachfolgend: Gutachten) über die Möglichkeit ei- ner Leistungsgewährung unter Berücksichtigung der Krankengeschichte der Erblasserin ein. Das Gutachten vom 23. Januar 2012 klassifizierte diese Art der Therapie als experimentell und empfahl, eine Kostenübernahme abzulehnen. Die Beklagte legte dieses ihr günstige Gutachten, das die Krankengeschichte der Erblasserin im Detail darstellte, ohne deren Einwilligung in drei nicht die Erblasserin betreffenden anderen sozialgerichtlichen Verfahren als Argumentationshilfe vor. Dabei schwärzte sie zwar den eingangs genannten Namen der Erblasserin und den Tag und Monat ihres Geburtsdatums, so dass nur noch das Geburtsjahr zu lesen war. In dem darunter befindlichen auf der ersten Seite des Gutachtens wiedergegebenen Rubrum des sozialgerichtlichen Rechtsstreits blieben der Vor- und Nachname der Erblasserin aber lesbar.
- 3
- Die Klägerin ist der Ansicht, dass in der Weiterverbreitung des Gutachtens eine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der Erblasserin liege und ihr als Alleinerbin ein Anspruch auf Geldentschädigung von mindestens 5.000 € zustehe. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin hatte keinen Erfolg. Mit der vom Berufungsgericht zugelassenen Revision verfolgt die Klägerin ihr Klagebegehren weiter.
Entscheidungsgründe:
I.
- 4
- Das Berufungsgericht, dessen Urteil in juris veröffentlicht ist (Urteil vom 21. August 2015 - I-16 U 152/14), hat, soweit im Revisionsverfahren noch von Interesse, einen Anspruch auf Geldentschädigung wegen Verletzung des allgemeinen Persönlichkeitsrechts der Erblasserin unter Verweis auf das Senatsurteil vom 29. April 2014 (VI ZR 246/12, BGHZ 201, 45) abgelehnt. Mit Blick auf die überwiegende Genugtuungsfunktion sei der Anspruch auf Geldentschädigung wegen seines hinsichtlich seiner ideellen Bestandteile an die Person des Berechtigten bzw. Verletzten gebundenen höchstpersönlichen Charakters grundsätzlich nicht vererblich. Entsprechendes müsse für das Recht auf informationelle Selbstbestimmung gelten, da dieses lediglich eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts darstelle. Ein Anspruch auf Geldentschädigung sei von der Erblasserin nicht selbst rechtshängig gemacht worden, was Anlass hätte geben können, eine Vererblichkeit zu erwägen, sondern erst eineinhalb Jahre nach deren Tod durch die Klägerin. Umstände, die im Streitfall ausnahmsweise für eine Vererblichkeit sprechen könnten, seien weder dargetan noch sonst ersichtlich. Vielmehr sei bereits zweifelhaft, ob durch die Weitergabe und Nutzung des unzureichend anonymisierten Gutachtens in derart schwerwiegender Art und Weise in das allgemeine Persönlichkeitsrecht der Erblasserin bzw. in ihr Recht auf informationelle Selbstbestimmung eingegriffen worden sei, dass ihr eine Geldentschädigung zuzubilligen gewesen wäre.
- 5
- Ein Anspruch der Klägerin auf immateriellen Schadensersatz aus gemäß § 1922 BGB auf sie übergegangenem Recht der Erblasserin folge auch nicht aus § 7 Satz 1 BDSG oder § 8 Abs. 2 BDSG, sei es unmittelbar oder mittelbar über § 82 Satz 1 und 2 SGB X. Über § 7 Satz 1 BDSG würden lediglich materielle Schäden ersetzt. § 8 Abs. 2 BDSG gewähre zwar Ersatz immaterieller Schäden, beträfe jedoch nur den hier nicht vorliegenden Fall einer automatisierten Datenverarbeitung. Auf die in der Literatur streitige Frage, ob die aus diesen Normen folgenden Schadensersatzansprüche vererblich seien, komme es nicht an.
- 6
- Die Vorgaben der Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbei- tung personenbezogener Daten und zum freien Datenverkehr - DatenschutzRichtlinie - (ABl. EG Nr. L 281/31, nachfolgend: Richtlinie 95/46/EG), insbesondere deren Art. 23 Abs. 1, zwängen nicht im Wege einer richtlinienkonformen Auslegung und Anwendung des nationalen Rechts zu einer Ausdehnung der Haftung für immaterielle Schäden bei jeder infolge einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch eine verantwortliche Stelle bewirkten Verletzung des Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung. Die Pflicht zur Verwirklichung des Richtlinienziels im Auslegungswege finde ihre Grenze an dem nach innerstaatlicher Rechtstradition methodisch Erlaubten. Die Pflicht zur gemeinschaftskonformen Auslegung dürfe insbesondere nicht als Grundlage für eine Auslegung des nationalen Rechts contra legem dienen. Der nationale Gesetzgeber habe in Umsetzung des Art. 23 Richtlinie 95/46/EG, der von den Mitgliedstaaten die ausdrückliche Regelung eines eigenen datenschutzrechtlichen Schadensersatzanspruchs für öffentliche wie nichtöffentliche Stellen verlange, § 7 BDSG eingeführt und sich dabei bewusst dafür entschieden, dem von einer rechtswidrigen oder falschen Datenverwendung Betroffenen mit dieser Regelung - lediglich - materiellen Schadensersatz zuteilwerden zu lassen, womit indes zugleich ein Ersatz immaterieller Schäden, soweit er durch andere Rechtsnormen gewährt werde, nicht ausgeschlossen sei. Etwas anderes folge auch nicht daraus, dass sich der Einzelne nach der Rechtsprechung des Gerichtshofs der Europäischen Union vor den nationalen Gerichten unmittelbar auf eine inhaltlich unbedingte und hinreichend genaue Bestimmung einer Richtlinie berufen könne. Denn dies ändere nichts an dem Willen des Gesetzgebers, den die Gerichte im Rahmen ihrer grundgesetzlichen Bindung an Recht und Gesetz (Art. 20 Abs. 3 GG) sowie im Rahmen der Kompetenzordnung zu beachten hätten. Trotz des Anwendungsvorrangs des Gemeinschaftsrechts seien die nationalen Rechtsvorschriften anzuwenden, da sie insoweit mit den Vorgaben des Gemeinschaftsrechts nicht unvereinbar seien, was der Berufungssenat selbst zu beurteilen habe.
II.
- 7
- Die Revision ist nicht begründet. Das Berufungsurteil hält im Ergebnis revisionsrechtlicher Nachprüfung stand.
- 8
- 1. Die Frage, ob der Erblasserin aus § 839 BGB iVm Art. 1, Art. 2 Abs. 1, Art. 34 GG ein Anspruch auf Geldentschädigung wegen der ohne ihren Willen erfolgten Verbreitung des unzureichend anonymisierten Gutachtens vom 23. Januar 2012 zustand (vgl. BGH, Beschluss vom 28. September 2006 - III ZB 89/05, VersR 2007, 106 Rn. 6 mwN), kann offen bleiben. Das Berufungsgericht ist zu Recht davon ausgegangen, dass ein solcher unterstellter Anspruch auf Geldentschädigung wegen der Verletzung des allgemeinen Persönlichkeitsrechts , auch in seiner Ausprägung als Recht auf informationelle Selbstbestimmung und in seiner amtshaftungsrechtlichen Einkleidung, nicht auf die Klägerin übergegangen wäre, da er grundsätzlich nicht vererblich ist (vgl. Senatsurteil vom 29. April 2014 - VI ZR 246/12, BGHZ 201, 45 Rn. 8 ff.) und Umstände, die ausnahmsweise eine Vererblichkeit begründen könnten, nicht vorliegen. Dagegen wendet sich die Revision nicht.
- 9
- 2. Es ist ebenfalls nicht zu beanstanden, dass das Berufungsgericht Ansprüche aus § 7 Satz 1, § 8 Abs. 2 BDSG iVm § 82 Satz 1 und 2 SGB X abgelehnt hat.
- 10
- a) Gegen die Ablehnung eines Anspruchs aus § 8 Abs. 2 BDSG, der eine im Streitfall nicht gegebene automatisierte Datenverarbeitung voraussetzt, wendet sich die Revision nicht.
- 11
- b) Ein Anspruch auf eine Entschädigung für einen immateriellen Schaden kann im Streitfall auch nicht auf § 7 BDSG gestützt werden. Nach dieser Norm ist eine verantwortliche Stelle oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet, wenn sie ihm durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung , Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zufügt. Zwar handelt es sich bei den Angaben zur Person der Erblasserin und ihren gesundheitlichen Verhältnissen im Gutachten um dem Sozialgeheimnis (§ 35 Abs. 1 SGB I) unterfallende personenbezogene Daten in Form von Sozialdaten (§ 67 Abs. 1 SGB X), so dass die Beklagte sie durch die ohne die Einwilligung der Erblasserin erfolgte Weitergabe in unzulässiger, nicht automatisierter Weise verarbeitet hat (§ 3 Abs. 4 Satz 1, 2 Nr. 3 BDSG). Als Trägerin der gesetzlichen Krankenversicherung war die Beklagte auch Leistungsträgerin im Sinne des § 35 Abs. 1 Satz 1 SGB I und damit eine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG. Entgegen der Auffassung der Revision ist das Berufungsgericht aber zu dem zutreffenden Ergebnis gelangt, dass § 7 Satz 1 BDSG zumindest in der Konstellation des Streitfalls nur Ersatz materieller Schäden gewährt.
- 12
- aa) Nach herrschender Ansicht gewährt § 7 Satz 1 BDSG grundsätzlich keinen Anspruch auf Ersatz immaterieller Schäden (OLG Zweibrücken, Urteil vom 21. Februar 2013 - 6 U 21/12, ZKJ 2013, 253, 258 f.; Auernhammer/Eßer, BDSG, 4. Aufl., § 7 Rn. 5, 24 f.; BeckOK Datenschutzrecht/Quaas, § 7 BDSG Rn. 6, 55 [Stand: 1. August 2016]; Bierekoven, ITRB 2010, 88; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S. 299 f., 303 f. mit Fn. 28; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, 5. Aufl., § 7 Rn. 19; Diering/ Seidel in Diering/Timme, SGB X, 4. Aufl., § 82 Rn. 5 a.E.; Dzida/Grau, ZIP 2012, 504, 507; Ehmann, jurisPR-ArbR 49/2013 Anm. 2 [sub. C]; EngelienSchulz , UBWV 2010, 341, 345; ErfK/Franzen, 17. Aufl., § 8 BDSG Rn. 1; Forst, AuR 2010, 106, 108 und 112; Gabel in Taeger/Gabel, BDSG, 2. Aufl., § 7 Rn. 10, 16; Gola/Klug/Körffer in Gola/Schomerus, BDSG, 12. Aufl., § 7 Rn. 12; Gola/Piltz, RdV 2015, 279, 280; Grimm in Tschöpe, Anwalts-Handbuch Arbeitsrecht , 8. Aufl., Teil 6 F Rn. 205; Grimm/Schiefer, RdA 2009, 329, 343; Jung in Eichenhofer/Wenner, SGB I/IV/X, 2012, § 82 SGB X Rn. 5; Linsenbarth/Schiller, WRP 2013, 576 Rn. 18; Maties, NJW 2008, 2219, 2223; Oberwetter, NZA 2009, 1120, 1121; Plath/Becker, BDSG, 2. Aufl., § 7 Rn. 1 ff., 14, 25; Roßnagel/ Wedde, Handbuch Datenschutzrecht, 2003, Kap. 4.4 Rn. 91; Schaffland/Wiltfang , BDSG, § 7 Rn. 7 [Stand: April 2015]; Simitis, BDSG, 8. Aufl., § 7 Rn. 5, 15, 32; Strauf, ZD 2014, 43; Thüsing/Pötters in Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl., § 21 Rn. 13, 17; Tremml/Karger/Luber, Der Amtshaftungsprozess, 4. Aufl., Rn. 1053; Venetis/Oberwetter, NJW 2016, 1051, 1055; aA Bergmann/Möhrle/Herb, BDSG, § 7 Rn. 12 [Stand: Juli 2012]; Niedermeier /Schröcker, RdV 2002, 217, 224; Peilert in ders., Private Dienstleistungen und Sicherheitsgewerbe, 2006, S. 1, 57; Scheja/Haag in Münchener Anwaltshandbuch IT-Recht, 3. Aufl., Teil 5 Rn. 366; Wächter, Datenschutz im Unternehmen , 3. Aufl., Rn. 1287 f.; wohl auch Ambs in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, BDSG, § 7 Rn. 5 a.E. [Stand: November 2006]).
- 13
- Zwar schließt der Wortlaut von § 7 BDSG eine Entschädigung für immaterielle Beeinträchtigungen nicht aus, denn er differenziert nicht zwischen materiellem und immateriellem Schaden (vgl. Grimm in Tschöpe, Anwalts-Handbuch Arbeitsrecht, 8. Aufl., Teil 6 F Rn. 205). Die Beschränkung auf den Ersatz des materiellen Schadens wird aber daraus abgeleitet, dass, da § 7 Satz 1 BDSG die Verpflichtung zum Schadensersatz ausspricht, die §§ 249 ff. BGB anwendbar seien, so dass nach § 253 Abs. 1 BGB wegen eines Schadens, der nicht Vermögensschaden ist, Entschädigung in Geld nur in den durch das Gesetz ausdrücklich bestimmten Fällen gefordert werden könne (Auernhammer/Eßer, BDSG, 4. Aufl., § 7 Rn. 24; BeckOK Datenschutzrecht/Quaas, § 7 BDSG Rn. 55 [Stand: 1. August 2016]; Forst, AuR 2010, 106, 108; Gabel in Taeger/ Gabel, BDSG, 2. Aufl., § 7 Rn. 10; Grimm in Tschöpe, Anwalts-Handbuch Arbeitsrecht , 8. Aufl., Teil 6 F Rn. 205; Thüsing/Pötters in Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl., § 21 Rn. 13). Das sei bei § 7 Satz 1 BDSG nicht der Fall. Die Beschränkung ergebe sich zusätzlich aus einem Umkehrschluss zu § 8 Abs. 2 BDSG, der im Gegensatz zu § 7 Satz 1 BDSG ausdrücklich den Ersatz des immateriellen Schadens vorsehe (OLG Zweibrücken, Urteil vom 21. Februar 2013 - 6 U 21/12, ZKJ 2013, 253, 258; BeckOK Datenschutzrecht /Quaas, § 7 BDSG Rn. 55 [Stand: 1. August 2016]; Dzida/Grau, ZIP 2012, 504, 507; Forst, AuR 2010, 106, 108 f.; Gola/Piltz, RdV 2015, 279, 280; Thüsing/Pötters in Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl., § 21 Rn. 13; Tremml/Karger/Luber, Der Amtshaftungsprozess, 4. Aufl., Rn. 1053).
- 14
- Für dieses Ergebnis spricht, dass ein Wille des Gesetzgebers, wonach § 7 Satz 1 BDSG eine Ersatzpflicht auch für immaterielle Schäden regeln solle, nicht feststellbar ist. In der Fassung des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. I, S. 2954) war nur eine Schadensersatzregelung in § 7 BDSG aF enthalten, die weitgehend mit dem heutigen § 8 Abs. 1 und 2 BDSG übereinstimmte und lediglich gegen öffentliche Stellen bei automatisierter Verarbeitung der personenbezogenen Daten und bei schwerer Verletzung des Persönlichkeitsrechts eine Entschädigung für immaterielle Schäden gewährte. § 7 BDSG in seiner heutigen Form wurde erst durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001 (BGBl. I 2001, S. 904) eingefügt; der frühere § 7 BDSG aF wurde dadurch zum heutigen § 8 BDSG. Dieses Gesetz diente der Anpassung des Bundesdatenschutzgesetzes und anderer Gesetze an die Richtlinie 95/46/EG (vgl. Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. August 2000, BT- Drucks. 14/4329 S. 1 = BR-Drucks. 461/00 S. 1). In diesem Entwurf war eine Entschädigung für immaterielle Schäden lediglich in § 8 Abs. 2 BDSG, nicht jedoch in § 7 BDSG vorgesehen. In der Begründung wurde dazu nur ausgeführt (BT-Drucks. aaO S. 38 = BR-Drucks. aaO S. 93), dass in § 7 Satz 1 BDSG in Umsetzung von Art. 23 der Richtlinie erstmals eine eigenständige Anspruchsgrundlage im Bundesdatenschutzgesetz für eine Verschuldenshaftung geschaffen werde, die sowohl im öffentlichen als auch im nicht öffentlichen Bereich gelte und Schadensersatzansprüche aus automatisierter und nicht-automatisierter Datenverarbeitung umfasse. § 8 BDSG entspreche im Wesentlichen § 7 BDSG aF. Ein Änderungsantrag (BT-Drucks. 14/5820 S. 1 f.), wonach § 7 BDSG unter Aufhebung von § 8 BDSG die Fassung erhalten sollte, dass die verantwortliche Stelle oder ihr Träger dem Betroffenen zum Ersatz des Schadens bei rechtswidriger oder unrichtiger Erhebung, Verarbeitung und Nutzung personenbezogener Daten verpflichtet sei und der Betroffene für den Schaden, der nicht Vermögensschaden sei, eine angemessene Entschädigung in Geld verlangen könne, ist bei der zweiten Beratung im Bundestag am 6. April 2001 abgelehnt worden (vgl. BT-Plenarprotokoll 14/165, S. 16166 C, 16167 A).
- 15
- bb) Etwas anderes ergibt sich für den Streitfall entgegen der Ansicht der Revision auch nicht aufgrund einer möglicherweise gebotenen richtlinienkonformen Auslegung von § 7 Satz 1 BDSG (vgl. aber Bergmann/Möhrle/Herb, BDSG, § 7 Rn. 12 [Stand: Juli 2012]; Niedermeier/Schröcker, RdV 2002, 217, 224). Nach Art. 23 Abs. 1 der Richtlinie 95/46/EG müssen die Mitgliedstaaten vorsehen, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Es ist bisher in der Rechtsprechung des Gerichtshofes nicht geklärt, ob von dieser Regelung auch Ersatz für immaterielle Schäden erfasst wird. Dies kann jedoch hier dahinstehen. Auch wenn man dies zugunsten der Klägerin unterstellt, kann im Streitfall offen bleiben, ob § 7 BDSG richtlinienkonform dahingehend auszulegen wäre, dass er eine Entschädigung für immaterielle Schäden gewährt. Denn der Anwendungsbereich der Richtlinie 95/46/EG ist bei der Weitergabe des schriftlichen Gutachtens nicht eröffnet und es bleibt für diese Fallkonstellation bei der oben dargestellten Auslegung von § 7 Satz 1 BDSG.
- 16
- (1) Im Streitfall ist ein Teil einer Akte eines sozialgerichtlichen Verfahrens , nämlich ein schriftliches sozialmedizinisches Gutachten, das personenbezogene Daten der Erblasserin und damaligen Klägerin enthält, ohne deren Einwilligung an Dritte weitergegeben worden. Nach Art. 3 Abs. 1 der Richtlinie 95/46/EG - "Anwendungsbereich" - gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen. Nach den nicht angegriffenen Feststellungen des Berufungsgerichts liegt im Streitfall eine nicht automatisierte Verarbeitung personenbezogener Daten vor. Weder das Gutachten selbst noch die es enthaltende Gerichtsakte erfüllen die Voraussetzungen des Dateibegriffs des Art. 3 Abs. 1 iVm Art. 2 Buchst. c der Richtlinie 95/46/EG.
- 17
- (2) Der Ausdruck "Datei mit personenbezogenen Daten" bezeichnet nach Art. 2 Buchst. c der Richtlinie 95/46/EG jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird. Aus den Erwägungsgründen ergeben sich weitere Hinweise auf das Verständnis dieses Begriffs. Nach Erwägungsgrund 15 wird die Verarbeitung solcher Daten von der Richtlinie nur erfasst, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien enthalten oder für solche bestimmt sind, die nach bestimmten personenbezogenen Kriterien strukturiert sind, um einen leichten Zugriff auf die Daten zu ermöglichen. Nach Erwägungsgrund 27 muss Datenschutz sowohl für automatisierte als auch für nichtautomatisierte Verarbeitungen gelten. Der Schutz darf nicht von den verwendeten Techniken abhängen , da andernfalls ernsthafte Risiken der Umgehung entstehen würden. Bei manuellen Verarbeitungen erfasst die Richtlinie lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muss der Inhalt einer Datei nach bestimmten personenbezogenen Kriterien strukturiert sein, die einen leichten Zugriff auf die Daten ermöglichen. Akten und Aktensammlungen sowie ihre Deckblätter , die nicht nach bestimmten Kriterien strukturiert sind, fallen unter keinen Umständen in den Anwendungsbereich der Richtlinie.
- 18
- (3) Dieser weit gefasste Begriff der Datei (vgl. Dammann/Simitis, EGDatenschutzrichtlinie , 1997, Art. 2 Rn. 8 f.; vgl. Brühann in Grabitz/Hilf, Das Recht der Europäischen Union, 40. Aufl., Art. 2 RL 95/46/EG Rn. 15) ist im Gesetzgebungsverfahren für den Bereich nicht automatisierter Datenverarbeitung mit Bedacht nicht aufgegeben worden.
- 19
- Von der Kommission war der Dateibegriff zunächst als zentraler Anknüpfungspunkt für den Gegenstand und Anwendungsbereich der Richtlinie vorgesehen. Nach Art. 1 Abs. 1 des Vorschlags der Kommission vom 27. Juli 1990 für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten (ABl. EG Nr. C 277/3 vom 5. November 1990) gewährleisteten die Mitgliedstaaten nach den Bestimmungen dieser Richtlinie den Schutz der Privatsphäre von Personen bei der Verarbeitung personenbezogener Daten, die in Dateien enthalten sind. Nach der Begriffsbestimmung in Art. 2 Buchst. c des Vorschlages meinte dies jede Sammlung personenbezogener Daten, die zentral oder an mehreren Standorten geführt wird, Gegenstand einer automatisierten Verarbeitung ist oder, falls sie mittels nicht-automatisierter Ver- fahren verarbeitet werden, geordnet und in einer Sammlung zugänglich ist, die nach bestimmten Kriterien organisiert ist, die die Benutzung oder Verknüpfung der Daten erleichtern (aaO, S. 5).
- 20
- In seiner Stellungnahme dazu vom 24. April 1991 (ABl. EG Nr. C 159/38 vom 17. Juni 1991) kritisierte der Wirtschafts- und Sozialausschuss, dass der Begriff zu eng erscheine. Personenbezogene Daten könnten auch ad hoc verarbeitet werden und müssten nicht zwangsläufig in einer Datei gespeichert sein. Im Übrigen werde die Rechtmäßigkeit der Datenerfassung - und das sei das Grundkonzept jeglichen Datenschutzes - nach dem "Zweck" der Datenverarbeitung beurteilt. Deshalb sollte nach Meinung des Ausschusses der Begriff der "Verarbeitung personenbezogener Daten" den Anwendungsbereich der Richtlinie definieren und nicht die "Datei". Der Ausschuss hielt es durchaus für angebracht , grundsätzlich auch Karteien, einschließlich "Aktensammlungen", mit einzubeziehen, vor allem wenn diese in direkter Beziehung zu einer automatisierten Verarbeitung stünden (aaO, S. 40; zur Entstehungsgeschichte auch Ehmann/Helfrich, EG-Datenschutzrichtlinie, 1999 Art. 1 Rn. 6 ff.). Dem folgte das Europäische Parlament zunächst und der Dateibegriff entfiel im geänderten Text des Parlaments zum Anwendungsbereich der Richtlinie (vgl. ABl. EG Nr. C 94/173 vom 13. April 1992).
- 21
- Am 15. Oktober 1992 legte die Kommission indes einen geänderten Richtlinienvorschlag vor (ABl. EG Nr. C 311/30 vom 27. November 1992), der wieder auf den Dateibegriff abstellte. In dessen Art. 3 Abs. 1 wurde der Anwendungsbereich wieder auf die nicht-automatisierte Verarbeitung personenbezogener Daten, die in Dateien gespeichert sind oder gespeichert werden sollen, erstreckt. Art. 2 Buchst. c definierte als Datei jede strukturierte Sammlung personenbezogener Daten, die zentral oder an mehreren Standorten geführt wird und nach bestimmten Kriterien zugänglich ist, deren Ziel darin besteht oder die dazu führt, die Bewertung oder die Kombination von Daten über die betroffene Person zu erleichtern. In dem vom Rat festgelegten gemeinsamen Standpunkt vom 20. Februar 1995 (ABl. EG Nr. C 93/01 vom 13. April 1995) fand sich bereits die nahezu identische Fassung des späteren Art. 3 Abs. 1 der Richtlinie 95/46/EG, ebenso waren die späteren Erwägungsgründe 15 und 27 bereits wortgleich enthalten. Auch die Definition der "Datei" in Art. 2 Buchst. c des Vorschlags entsprach bereits der endgültigen späteren Fassung.
- 22
- (4) Nach diesem Dateibegriff können auch Akten grundsätzlich in den Anwendungsbereich der Richtlinie fallen, nicht jedoch wenn sie - so Erwägungsgrund 27 - nicht nach bestimmten Kriterien strukturiert sind. Dann werden sie ebenso wie Aktensammlungen sowie ihre Deckblätter ausdrücklich vom Anwendungsbereich der Richtlinie ausgeschlossen (vgl. Dammann/Simitis, aaO Art. 2 Rn. 9; Ehmann/Helfrich, aaO Art. 2 Rn. 31 ff.; Brühann/Zerdick, CR 1996, 429, 430).
- 23
- (5) Gemessen daran erfüllt das Gutachten mangels der maßgeblichen Struktur weder die Voraussetzungen einer strukturierten Akte noch die des Dateibegriffs in Art. 2 Buchst. c der Richtlinie 95/46/EG. Wie die Beibehaltung und nähere Konkretisierung des Dateibegriffs in Art. 2 Buchst. c und somit der Wortlaut der Richtlinie zeigen, ist der ausschlaggebende datenschutzrechtliche Anknüpfungspunkt die der Sammlung personenbezogener Daten innewohnende Möglichkeit einer methodischen Erschließung und Verarbeitung (vgl. Ehmann/ Helfrich, aaO Art. 1 Rn. 16). Dies ergibt sich klar aus den Erwägungsgründen 15 und 27, die von der Ermöglichung eines leichten Zugriffs auf die Daten sprechen. Das setzt mindestens voraus, dass die Daten durch den formalen Aufbau leicht erschlossen werden können, dass anhand eines Merkmals eine Teilmenge von personenbezogenen Daten einer bestimmten Person oder mehrerer Personen gefunden werden kann, dass sich die in der Sammlung enthaltenen Daten nicht nur durch sequenzielles Durchgehen der gesamten Sammlung auffinden lassen, sondern vereinfachte Möglichkeiten der inhaltlichen Erschließung bestehen (vgl. Dammann/Simitis, aaO Art. 2 Rn. 9).
- 24
- Daran fehlt es im Streitfall. Hier ist ein Durchgehen bzw. Durchlesen des fortlaufenden Textes des Gutachtens wie auch der Akte des Sozialgerichts, deren Bestandteil es ursprünglich war, erforderlich, um die personenbezogenen Daten der Erblasserin im Rahmen des sie umgebenden Textes festzustellen. Das als Freitext verfasste Gutachten enthält zwar zahlreiche personenbezogene Daten, doch sind diese nicht nach bestimmten Kriterien zugänglich oder nach einzelnen Gesichtspunkten aufgeteilt. Der Text folgt lediglich einer für medizinische Gutachten üblichen gedanklichen und als logisch erachteten Gliederung , die dem Text als Übersicht vorangestellt ist. Auch bei den Akten eines sozialgerichtlichen Verfahrens, dessen Bestandteil das Gutachten ist, handelt es sich nicht um eine solche strukturierte Sammlung personenbezogener Daten , die nach bestimmten Kriterien zugänglich ist. Sie enthält zwar zahlreiche personenbezogene Daten, doch fehlt es an der Zugänglichkeit nach bestimmten Kriterien. Ein Teil der Daten wird für den Leser zwar an den dem üblichen Aktenaufbau folgenden Stellen ersichtlich, z.B. Vor- und Nachname und Adresse im Rubrum der Schriftsätze oder einer Entscheidung, die Daten sind jedoch vom Freitext dieser Aktenbestandteile umgeben.
- 25
- Dass die Beklagte das Gutachten einer bei ihr systematisch angelegten Gutachtensammlung entnommen hätte, ist nicht festgestellt.
- 26
- cc) Der Senat kann die Nichteröffnung des Anwendungsbereiches der Richtlinie auf den Streitfall feststellen, ohne dass er den Gerichtshof der Europäischen Union gemäß Art. 267 Abs. 1 bis 3 AEUV um eine Vorabentscheidung ersuchen muss. Die Vorlagepflicht entfällt unter anderem dann, wenn die richti- ge Auslegung des Gemeinschaftsrechts derart offenkundig ist, dass für einen vernünftigen Zweifel kein Raum mehr bleibt (vgl. EuGH, Urteile vom 6. Oktober 1982 - C-283/81, Slg. 1982, I-3415 Rn. 16 - CILFIT/Ministero della Sanità; vom 11. September 2008 - C-428/06 u.a., Slg. 2008, I-6747 Rn. 42 - UGT-Rioja). Hieran gemessen war ein Vorabentscheidungsersuchen nicht veranlasst. Der Senat gelangt - wie vorstehend aufgezeigt - bei den sich hier stellenden Fragen zur Auslegung der Richtlinie 95/46/EG zu einem klaren und eindeutigen Ergebnis. Galke Offenloch Oehler Roloff Klein
LG Wuppertal, Entscheidung vom 24.07.2014 - 4 O 94/14 -
OLG Düsseldorf, Entscheidung vom 21.08.2015 - I-16 U 152/14 -
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 über Kategorien von Empfängern besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme nur, soweit
- 1.
sie nach den Umständen des Einzelfalles nicht mit der Nutzung oder der Übermittlung von Sozialdaten an diese Kategorien von Empfängern rechnen muss, - 2.
es sich nicht um Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung oder Löschung von Sozialdaten innerhalb einer in § 35 des Ersten Buches genannten Stelle oder einer Organisationseinheit im Sinne von § 67 Absatz 4 Satz 2 handelt oder - 3.
es sich nicht um eine Kategorie von in § 35 des Ersten Buches genannten Stellen oder von Organisationseinheiten im Sinne von § 67 Absatz 4 Satz 2 handelt, die auf Grund eines Gesetzes zur engen Zusammenarbeit verpflichtet sind.
(2) Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
- 1.
die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen, - 2.
die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen oder - 3.
eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.
(3) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 2, ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Absatzes 2 Nummer 3 keine Anwendung.
(4) Unterbleibt die Benachrichtigung in den Fällen des Absatzes 2 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei Wochen, nach.
(5) Bezieht sich die Informationserteilung auf die Übermittlung von Sozialdaten durch öffentliche Stellen an die Staatsanwaltschaften und Gerichte im Bereich der Strafverfolgung, an Polizeibehörden, Verfassungsschutzbehörden, den Bundesnachrichtendienst und den Militärischen Abschirmdienst, ist sie nur mit Zustimmung dieser Stelle zulässig.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.
(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.
(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.
(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
(2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt.
(3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht.
(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.
(2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden.
Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 über Kategorien von Empfängern besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme nur, soweit
- 1.
sie nach den Umständen des Einzelfalles nicht mit der Nutzung oder der Übermittlung von Sozialdaten an diese Kategorien von Empfängern rechnen muss, - 2.
es sich nicht um Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung oder Löschung von Sozialdaten innerhalb einer in § 35 des Ersten Buches genannten Stelle oder einer Organisationseinheit im Sinne von § 67 Absatz 4 Satz 2 handelt oder - 3.
es sich nicht um eine Kategorie von in § 35 des Ersten Buches genannten Stellen oder von Organisationseinheiten im Sinne von § 67 Absatz 4 Satz 2 handelt, die auf Grund eines Gesetzes zur engen Zusammenarbeit verpflichtet sind.
(2) Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
- 1.
die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen, - 2.
die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen oder - 3.
eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.
(3) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 2, ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Absatzes 2 Nummer 3 keine Anwendung.
(4) Unterbleibt die Benachrichtigung in den Fällen des Absatzes 2 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei Wochen, nach.
(5) Bezieht sich die Informationserteilung auf die Übermittlung von Sozialdaten durch öffentliche Stellen an die Staatsanwaltschaften und Gerichte im Bereich der Strafverfolgung, an Polizeibehörden, Verfassungsschutzbehörden, den Bundesnachrichtendienst und den Militärischen Abschirmdienst, ist sie nur mit Zustimmung dieser Stelle zulässig.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Jeder hat Anspruch darauf, dass die ihn betreffenden Sozialdaten (§ 67 Absatz 2 Zehntes Buch) von den Leistungsträgern nicht unbefugt verarbeitet werden (Sozialgeheimnis). Die Wahrung des Sozialgeheimnisses umfasst die Verpflichtung, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Sozialdaten der Beschäftigten und ihrer Angehörigen dürfen Personen, die Personalentscheidungen treffen oder daran mitwirken können, weder zugänglich sein noch von Zugriffsberechtigten weitergegeben werden. Der Anspruch richtet sich auch gegen die Verbände der Leistungsträger, die Arbeitsgemeinschaften der Leistungsträger und ihrer Verbände, die Datenstelle der Rentenversicherung, die in diesem Gesetzbuch genannten öffentlich-rechtlichen Vereinigungen, Integrationsfachdienste, die Künstlersozialkasse, die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, die Behörden der Zollverwaltung, soweit sie Aufgaben nach § 2 des Schwarzarbeitsbekämpfungsgesetzes und § 66 des Zehnten Buches durchführen, die Versicherungsämter und Gemeindebehörden sowie die anerkannten Adoptionsvermittlungsstellen (§ 2 Absatz 3 des Adoptionsvermittlungsgesetzes), soweit sie Aufgaben nach diesem Gesetzbuch wahrnehmen, und die Stellen, die Aufgaben nach § 67c Absatz 3 des Zehnten Buches wahrnehmen. Die Beschäftigten haben auch nach Beendigung ihrer Tätigkeit bei den genannten Stellen das Sozialgeheimnis zu wahren.
(2) Die Vorschriften des Zweiten Kapitels des Zehnten Buches und der übrigen Bücher des Sozialgesetzbuches regeln die Verarbeitung von Sozialdaten abschließend, soweit nicht die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung unmittelbar gilt. Für die Verarbeitungen von Sozialdaten im Rahmen von nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und dieses Gesetz entsprechende Anwendung, soweit nicht in diesem oder einem anderen Gesetz Abweichendes geregelt ist.
(2a) Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(3) Soweit eine Übermittlung von Sozialdaten nicht zulässig ist, besteht keine Auskunftspflicht, keine Zeugnispflicht und keine Pflicht zur Vorlegung oder Auslieferung von Schriftstücken, nicht automatisierten Dateisystemen und automatisiert verarbeiteten Sozialdaten.
(4) Betriebs- und Geschäftsgeheimnisse stehen Sozialdaten gleich.
(5) Sozialdaten Verstorbener dürfen nach Maßgabe des Zweiten Kapitels des Zehnten Buches verarbeitet werden. Sie dürfen außerdem verarbeitet werden, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden können.
(6) Die Absätze 1 bis 5 finden neben den in Absatz 1 genannten Stellen auch Anwendung auf solche Verantwortliche oder deren Auftragsverarbeiter,
- 1.
die Sozialdaten im Inland verarbeiten, sofern die Verarbeitung nicht im Rahmen einer Niederlassung in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erfolgt, oder - 2.
die Sozialdaten im Rahmen der Tätigkeiten einer inländischen Niederlassung verarbeiten.
(7) Bei der Verarbeitung zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.
(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
- 1.
Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; - 2.
Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; - 3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes; - 4.
Zusammenarbeit mit der Aufsichtsbehörde; - 5.
Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.