Das Wichtigste zum § 4d Bundesdatenschutzgesetz (BDSG) in Kürze
- Firmen müssen ihre Verfahren den Kontrollbehörden melden
- Ein Datenschutzbeauftragter hat den Datenschutz im Unternehmen zu überwachen
- Datenschutz ist auf EU-Ebene geregelt und Verstöße können mit empfindlichen Bußgeldern geahndet werden
Wer automatisiert personenbezogene Daten verarbeitet hat die Pflicht zur Anmeldung nach § 4d BDSG

Inhaltsverzeichnis
Wenn ein Unternehmen in seiner Arbeit automatisiert personenbezogene Daten nutzt, erhebt oder verarbeitet, muss gemäß dem Bundesdatenschutzgesetz eine Meldepflicht (§ 4d BDSG) erfüllen. Es ist nicht legal, große Datensammlungen mit personenbezogenen Daten, ohne entsprechende Meldung, anzulegen oder zu verwenden. Das gilt für öffentliche Stellen des Bundes und der Länder und nicht-öffentliche Stellen, wie Firmen, die im Rahmen ihrer Arbeit auf die Erhebung großer Datenmengen angewiesen sind.

Organisationen, die mit automatisierter Datenverarbeitung zu tun haben und dabei personenbezogene Daten speichern, müssen gemäß § 4d BDSG eine Meldung bei der verantwortlichen Behörde machen (meist die Datenschutzbehörden des betreffenden Bundeslandes). Das BDSG soll die europäische Richtlinie zum Datenschutz in nationales Recht umsetzen.
In besonderen Fällen, nämlich wenn es sich um „besondere personenbezogene Daten“ handelt, wird nicht nur eine Meldung fällig, sondern es findet auch eine Vorabüberprüfung statt, um ein Risiko für die sensiblen Daten der Bürger auszuschließen. Deswegen sind die Organisationen, die solche Daten erheben, verpflichtet, so wenige Daten wie möglich zu verwenden um ihr Erhebungsziel zu erreichen.
Was muss (an-)gemeldet werden?
- Name der verantwortlichen Stelle (Firmenname)
- Name der Firmenleitung (nach Konstitution der Firma) und Name des Datenschutzbeauftragten
- Anschrift
- Zweck der Datenerhebung, -nutzung oder-verarbeitung
- Übersicht über die erfasste Personen (massenhafte unspezifische Datenerhebung ist illegal)
- Kategorie von Empfängern der Daten (Firmenkunden)
- Regelfristen für Datenlöschung
- Übertragung an Drittstaaten oder internationale Organisationen
- Beschreibung der getroffenen Sicherheitsmaßnahmen
Außerdem sind alle, die mit der Verarbeitung, Erhebung und Auswertung der Daten befasst sind, dazu verpflichtet, mögliche Verstöße gegen das Datenschutzrecht umgehend den Betroffenen und den verantwortlichen Stellen zu melden.
Das gilt besonders für personenbezogene Daten, die geeignet sind den Personen in irgendeiner Weise zu schaden. Zu diesen Daten zählen: Angaben über religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, die rassische und ethnische Herkunft, politische Meinungen, Gesundheit oder Sexualleben.
Warum gibt es die Meldepflicht nach § 4d BDSG?
Die im Datenschutz verankerte Meldevorschrift soll es dem Gesetzgeber erleichtern, die Datenschutzvorschriften, wie sie in der EU-Datenschutz-Grundverordnung (EU-DSGVO) vorgeschrieben sind, umzusetzen. Um die Daten der Bürger vor unbefugtem Zugriff durch Dritte zu schützen und Kontrollen bei den verarbeitenden Institutionen zu ermöglichen, gibt es für alle automatisierten Erhebungen personenbezogener Daten eine Meldepflicht.
Ausnahmen für die Meldeverantwortung im Datenschutz nach § 4d BDSG

Wenn ein Datenschutzbeauftragter eingesetzt wird, entfällt die Pflicht zur Meldung, da der Datenschutzbeauftragte zwingend mit den verantwortlichen Behörden in Kontakt stehen muss, für den Fall, dass meldepflichtige Probleme auftreten. Die allgemeine Pflicht der Meldung erfüllt der Datenschutzbeauftrage bei der Aufsichtsbehörde.
Die Pflicht kann auch entfallen, wenn die Daten für private Zwecke erhoben werden und nicht mehr als neun Personen ständig an oder mit der Erhebung arbeiten, die Zustimmung des Betroffenen vorliegt oder die Erhebung notwendig ist, um auf ein rechtsgeschäftliches Verhältnis mit dem Betroffenen einzuwirken.
Was droht, wenn eine Meldung versäumt wird?
Wer der Meldeverantwortung, wie sie in § 4d BDSG festgeschrieben ist, sei es fahrlässig oder wissentlich, nicht, nicht richtig, nicht vollständig oder zu spät nachkommt, begeht eine Ordnungswidrigkeit. Dies kann mit einem Bußgeld von 50.000 Euro geahndet werden. Die Geldbuße soll auf jeden Fall so gestaltet werden, dass ein wirtschaftlicher Vorteil aus dem Verfahren für das beschuldigte Unternehmen überstiegen wird.
Die Meldepflicht für die Inbetriebnahme eines Datenverarbeitungs-Verfahren ist ein anderer Vorgang, als wenn der Datenschutzbeauftragte eine konkrete Datenschutzverletzung hätte melden müssen.
Anne meint
Datenschutz ist dann wenn Mitarbeiter der Bundesagenturen meine Daten nur noch über EXTERNE Stellen wie z. B MDK bei Krankheit auf Richtigkeit befragen können jedoch nicht vor Ort, da diese „Mitarbeiter“ sich Dinge sich sehr oft privat dafür interessieren!!