Meeting am Schreibtisch

Datenerhebung & -speicherung für eigene Geschäftszwecke nach § 28 BDSG

§ 28 BDSG - gemeint ist das Bundesdatenschutzgesetz BDSG in der noch bis zum 25. Mai 2018 geltenden Fassung - ist nach der zurzeit aktuellen Rechtslage eine der wichtigsten gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten durch Unternehmen. Die Vorschrift eröffnet im Verhältnis zum grundsätzlichen Verbot mit Erlaubnisvorbehalt in § 4 Abs. 1 BDSG-alt beim Umgang mit personenbezogenen Daten den größten Spielraum für die Rechtfertigung von unternehmerischen Datenverarbeitungstätigkeiten.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

§ 28 BDSG - gemeint ist das Bundesdatenschutzgesetz BDSG in der noch bis zum 25. Mai 2018 geltenden Fassung - ist nach der zurzeit aktuellen Rechtslage eine der wichtigsten gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten durch Unternehmen. Die Vorschrift eröffnet im Verhältnis zum grundsätzlichen Verbot mit Erlaubnisvorbehalt in § 4 Abs. 1 BDSG-alt beim Umgang mit personenbezogenen Daten den größten Spielraum für die Rechtfertigung von unternehmerischen Datenverarbeitungstätigkeiten. Hier geht es um das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten, beziehungsweise ihrer Nutzung zur Erfüllung eigener Geschäftszwecke. Es ist von großer Relevanz, die Systematik dieser Vorschrift zu verstehen, um auch den Art. 6 der EU-Datenschutzgrundverordnung (EU-DSGVO) nachvollziehen zu können, der mit der gesamten Verordnung am 25. Mai 2018 bindendes Recht und § 28 BDSG-alt ablösen wird.

§ 28 BDSG-alt: Was ist im Hinblick auf personenbezogene Daten wann und wie erlaubt?

Die praktische Bedeutung und der Anwendungsbereich der Vorschrift sind groß, weil sich Unternehmen zurzeit überwiegend auf diese Vorschrift berufen, wenn sie personenbezogene Daten verarbeiten.

§ 28 Abs.1 BDSG erlaubt die Datenerhebung- und speicherung als Mittel zur Erfüllung eigener Geschäftszwecke. Wie der unbestimmte Rechtsbegriff "Mittel zur Erfüllung eigener Geschäftszwecke" zu verstehen ist, lässt sich insbesondere im Vergleich mit den folgenden Vorschriften §§ 29,30 BDSG bestimmen:

Während es in § 29 BDSG-alt um die geschäftsmäßige Datenerhebung- und speicherung personenbezogener Daten zur Übermittlung an Dritte geht und in § 30 BDSG-alt um einen solchen geschäftsmäßigen Übermittlungsvorgang an Dritte in anonymisierter Form, stehen in § 28 BDSG-alt tatsächlich materiell eigene Geschäftszwecke wie etwa der Handel mit Waren, die Erbringung von Dienstleistungen, Produktions- und Herstellungsvorgänge oder die Beschäftigung von Mitarbeitern im Fokus. Dabei hat der Gesetzgeber in diesem Kontext insgesamt den Begriff der "eigenen Zwecke" weit gefasst. Wichtig ist mit Blick auf § 28 BDSG-alt, dass der Umgang mit den personenbezogenen Daten dabei gerade nicht der eigentliche Zweck der Unternehmung, sondern tatsächlich nur ein Hilfsmittel ist, um ihre Kernaufgabe verfolgen zu können. Man spricht in diesem Kontext auch davon, dass bei dieser Vorschrift der Umgang mit personenbezogenen Daten "im Zusammenhang" erfolgt, also akzessorischen Charakter hat.

§ 28 BDSG-alt: Weitere Anforderungen

Die Datenerhebung- und speicherung nach § 28 BDSG-alt ist nur zulässig, wenn der konkrete Zweck für der Datenverarbeitung festgelegt wird.

Für die Zulässigkeit ist weiterhin erforderlich, dass alternativ eine der folgenden drei Voraussetzungen gegeben ist:

  • Die Datenverarbeitungstätigkeit ist für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich.

  • Die Datenverarbeitungstätigkeit ist zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich, und es besteht kein Grund zu der Annahme, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung überwiegt.

  • Die betroffenen Daten sind allgemein zugänglich oder die verantwortliche Stelle dürfte sie veröffentlichen. Dabei darf das schutzwürdige Interesse des Betroffenen am Ausschluss von Verarbeitung oder Nutzung nicht überwiegen, wenn man es dem berechtigten Interesse der verantwortlichen Stelle gegenüberstellt.

Wenn die Voraussetzungen für eine zulässige Datenverarbeitung als Mittel zur Erfüllung eigener Geschäftszwecke nach § 28 BDSG-alt gegeben sind, bildet diese Vorschrift nach der derzeit geltenden Rechtslage einen Erlaubnistatbestand für die Datenverarbeitungstätigkeit, und es bedarf keiner zusätzlichen Einwilligung des Betroffenen.

§ 28 BDSG-alt weist insgesamt nicht weniger als 9 Absätze auf, die sehr komplex die rechtliche Behandlung von Besonderheiten bei bestimmten Datenverarbeitungsvorgängen mit Kontext mit Geschäftszwecken regeln. Es geht darin beispielsweise um weitere Sonderfälle bei speziellen Daten, bei Zweckänderungen und um die rechtliche Behandlung von übermittelten Daten, die in bestimmten Fällen nur für den Zweck verarbeitet werden dürfen, für den sie übermittelt wurden.

Es empfiehlt sich, in komplexen Einzelfällen im Kontext eigener Geschäftszwecke qualifizierten Rechtsrat und kompetente Unterstützung einzuholen. Hier steht Ihnen das Team von datenschutzexperte.de jederzeit zur Verfügung.

Art. 6 EU-DSGVO: Vertragsanbahnung, -erfüllung und berechtigte Interessen

Die demnächst bindend werdende EU-Datenschutzgrundverordnung positioniert sich mit der Datenverarbeitung zu Geschäftszwecken systematisch etwas anders als § 28 BDSG-alt. Zukünftig sind in diesem Kontext insbesondere Art. 6 Abs. 1 Satz 1 lit. b und lit. f DSGVO einschlägig. Dabei geht einmal um die Datenverarbeitung zur Erfüllung eines Vertrages oder bei der Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person. Zum anderen findet eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten sowie bestimmten Interessen der betroffenen Person statt. Dabei genießen Kinder ganz besonderen Schutz ihrer Daten.

Insofern gewinnt in der EU-Datenschutzgrundverordnung der unbestimmte Rechtsbegriff " berechtigte Interessen" (bekannt aus § 28 Abs. 1 Nr.2 BDSG) erheblich mehr an Bedeutung. Gleiches gilt für die Interessenabwägung, die in der DSGVO insgesamt einen hohen Stellenwert hat.

Stets rechtssicherer Umgang mit Daten für Geschäftszwecke - datenschutzexperte.de hilft

Datenverarbeitungsvorgänge im Kontext von (eigenen) Geschäftszwecken werden auch zukünftig große Bedeutung haben, selbst, wenn sich die Terminologie und Systematik mit der EU-DSGVO ein wenig verschieben. Lassen Sie sich rechtzeitig über die Änderungen im Vergleich zu § 28 BDSG-alt durch das qualifizierte Team von datenschutzexperte.de informieren, damit Ihre Datenverarbeitungstätigkeiten auch nach dem 25. Mai 2018 rechtskonform erfolgen. Datenschutzexperte.de ist Ihr zuverlässiger Partner, wenn es um die Verarbeitung und Verwaltung personenbezogener Daten im Bereich geschäftlicher Zwecke geht. Informieren Sie sich hier über das umfassende Leistungspaket von Datenschutzexperte.

Artikel veröffentlicht am: 17. Mai 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr