noch Anlage 15
Es kann u.a. zwischen Mitarbeitern (Tarifbeschäftigte, Beamte), Bewerbern, Antragstellern, Petenten, Anspruchsberechtigten, etc. differenziert werden. Personengruppen können jedoch auch anhand von speziell fest gelegten Kriterien definiert werden, die Gegenstand der Datenerhebung oder -verwendung sind (z.B. Einkom mens- oder Altersstrukturen)11.
Jeder Personengruppe sind sodann die sie betreffenden Daten oder Datenkategorien konkret zuzuordnen. Dazu
zählen z.B. die für den Verarbeitungszweck erforderlichen Identifikations- und Adressdaten, Geburtsdatum, Familienstand, Beruf, Vertrags-, Abrechnungsdaten, Angehörige, Sozialdaten, Steuerdaten, Einkommen,
Kfz-Kennzeichen, Versicherungs- oder Personalnummer etc.
Die Beschreibung der Datenkategorie muss so konkret sein, dass für jede Kategorie deutlich wird, welche personenbezogenen Daten über den Betroffenen bzw. die jeweilige Personengruppe gespeichert wird. Dabei muss
insbesondere ersichtlich sein, ob und ggf. welche sensiblen Daten nach § 3 Abs. 9 BDSG erhoben und verwendet werden.
5. Empfänger (-kategorien)
Empfänger ist gemäß § 3 Abs. 8 BDSG jede Person oder Stelle, die Daten erhält. Empfänger ist daher nicht nur
eine andere verantwortliche Stelle, sondern auch z.B. Auftragsdatenverarbeiter i.S.d. § 1 BDSG, Zweigstellen
oder Nutzer innerhalb derselben verantwortlichen Stelle. Auch Stellen mit Online-Zugriff zählen zu den regelmäßigen Empfängern12.
Eine namentliche Benennung des konkreten Empfängers ist nicht erforderlich 13. Bei stelleninternen Empfängern
ist zur Klarstellung jedoch die Angabe der Funktionsbezeichnung zweckmäßig 14. In Betracht kommt auch eine
Kategorisierung von gleichartigen Empfängergruppen, soweit die Bezeichnung hinreichend konkret und für Außenstehende verständlich ist und die Tragweite der Übermittlung erkennen lässt.
6. Löschfristen
§ 4e Satz 1 Nr. 7 verlangt eine Angabe über Regelfristen für die Löschung personenbezogener Daten. Gemäß
§ 20 Abs. 2 BDSG sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig oder ihre weitere Kenntnis für die verantwortliche Stelle nicht mehr erforderlich ist. § 20 Abs. 3 bis 5 BDSG sieht Ausnahmen
von der Löschfrist für automatisiert verarbeitete Daten vor.
Sofern Löschfristen nicht spezialgesetzlich vorgegeben sind, lässt sich häufig nicht genau bestimmen, wann die
Kenntnis personenbezogener Daten zur Erfüllung der Aufgaben nicht mehr erforderlich ist. In diesem Fall sind
möglichst konkrete Löschfristen anhand einer Prognoseentscheidung anzugeben. Der Prognose sind allgemeine
Erfahrungswerte für die Erforderlichkeit der weiteren Speicherung zugrunde zu legen und nicht theoretische
Ausnahmefälle. Hierbei ist auch zu beachten, dass es sich bei der Angabe um eine „Regel“-Löschfrist handelt,
eine längere Speicherdauer im Einzelfall daher zulässig ist.
11
12
13
14
– 272 –
Scheja, in: Taeger/Gabel, BDSG, 1. Aufl. 2010, § 4e Rn. 8.
Petri, in: Simitis, BDSG, 7. Aufl. 2011, § 4e Rn. 8.
Scheja, in: Taeger/Gabel, BDSG, 1. Aufl. 2010, § 4e Rn. 9; Petri, in: Simitis, BDSG, 7. Aufl. 2011, § 4e Rn. 8.
Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4e Rn. 8; Petri, in: Simitis, BDSG, 7. Aufl. 2011, § 4e Rn. 8.
BfDI 25. Tätigkeitsbericht 2013-2014