--- name: datenbankrecht-und-datenschutz-personenbezogene-datensaet description: "Analysiert das Verhältnis von Datenbankherstellerrecht (§§ 87a-87e UrhG) und DSGVO bei personenbezogenen Datenbanken: Kumulative Schutzanwendung, Betroffenenrechte (Art. 15-22 DSGVO) vs. Datenbankschutz, Anonymisierungspflichten und Privacy-by-Design (Art. 25 DSGVO). Erstellt datenschutzrechtlich..." --- # Datenbankrecht und DSGVO — Personenbezogene Datenbanken ## Arbeitsbereich Analysiert das Verhältnis von Datenbankherstellerrecht (§§ 87a-87e UrhG) und DSGVO bei personenbezogenen Datenbanken: Kumulative Schutzanwendung, Betroffenenrechte (Art. 15-22 DSGVO) vs. Datenbankschutz, Anonymisierungspflichten und Privacy-by-Design (Art. 25 DSGVO). Erstellt datenschutzrechtliches Compliance-Konzept für Datenbankbetreiber. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output. ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: UrhG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Mandantenfall - CRM-Anbieter betreibt eine personenbezogene Kundendatenbank und fragt, wie er gleichzeitig Datenbankherstellerrecht gegenüber Dritten schützt und DSGVO-Betroffenenrechte erfüllt. - Unternehmen erhält von einem Betroffenen eine Auskunftsanfrage nach Art. 15 DSGVO für eine komplexe Datenbankstruktur und fragt, ob es dabei das Datenbankherstellerrecht verletzt. - Startup kauft eine personenbezogene Adressdatenbank und muss prüfen, ob die Nutzung DSGVO-konform ist und welches Datenbankschutzrecht der Verkäufer übertragen hat. ## Erste Schritte 1. Datenbankschutz ermitteln: Welcher Schutztatbestand gilt für die betreffende Datenbank (§ 4 Abs. 2 UrhG / §§ 87a ff. UrhG)? 2. Personenbezug feststellen: Enthält die Datenbank personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO? 3. Rechtsgrundlage nach DSGVO prüfen: Welche Rechtsgrundlage (Art. 6 DSGVO) legitimiert die Verarbeitung der Daten in der Datenbank? 4. Betroffenenrechte und Datenbankschutz abwägen: Auskunft (Art. 15 DSGVO) vs. Schutz von Geschäftsgeheimnissen und Datenbankstrukturen. 5. Privacy-by-Design prüfen: Art. 25 DSGVO — ist die Datenbankstruktur so gestaltet, dass Datenschutzgrundsätze von Beginn an umgesetzt sind? 6. Auftragsverarbeitung und Datenbankrecht klären: Wer ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) und wer Datenbankinhaber? ## Rechtsrahmen - Art. 4 Nr. 1 DSGVO: Personenbezogene Daten — breites Verständnis; jede Information, die eine natürliche Person identifizierbar macht. - Art. 6 DSGVO: Rechtsgrundlagen für Verarbeitung — Einwilligung, Vertrag, berechtigtes Interesse. - Art. 15-22 DSGVO: Betroffenenrechte — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. - Art. 25 DSGVO: Privacy-by-Design und Privacy-by-Default für Datenbankarchitektur. - §§ 87a-87e UrhG: Datenbankherstellerrecht schützt die Investition — gilt neben DSGVO, nicht statt ihr. - EuGH C-203/02 (BHB/William Hill): Auch personenbezogene Datenbanken können Datenbankherstellerrecht genießen. ## Prüfraster - Sind personenbezogene Daten in der Datenbank enthalten, und auf welcher DSGVO-Rechtsgrundlage werden sie verarbeitet? - Können Betroffenenrechte (Auskunft, Löschung) erfüllt werden, ohne die Datenbankstruktur als Geschäftsgeheimnis zu offenbaren? - Sind technische Maßnahmen vorhanden, um Betroffenenrechte umzusetzen (Lösch-Routinen, Auskunftsschnittstellen)? - Ist die Auftragsverarbeitung (Art. 28 DSGVO) korrekt dokumentiert, wenn ein Dienstleister die Datenbank betreibt? - Werden bei Datenbankübertragungen (M&A, Lizenz) die DSGVO-Anforderungen für Drittlandtransfers (Art. 44 ff. DSGVO) berücksichtigt? - Ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich — z. B. bei umfangreicher systematischer Überwachung? - Gibt es einen Interessenkonflikt zwischen Datenminimierungspflicht (Art. 5 Abs. 1 lit. c DSGVO) und dem Ziel, eine umfassende Datenbank aufzubauen? ## Typische Fallstricke - Auskunftsanspruch nach Art. 15 DSGVO berechtigt Betroffene nicht zur Offenlegung der gesamten Datenbankstruktur — nur zu ihren eigenen Daten. - Löschpflichten (Art. 17 DSGVO) können Datenbankintegrität stören — technische Lösung ohne Verlust des Datenbankcharakters erforderlich. - Rechtmäßige Datenbankherstellung schützt nicht vor DSGVO-Bußgeldern bei fehlender Verarbeitungsrechtsgrundlage. - Datenübertragungsrecht (Art. 20 DSGVO) kann faktisch zur Herausgabe wesentlicher Datenbankteile zwingen — Rechte abwägen. - Anonymisierte Daten unterliegen nicht mehr der DSGVO, können aber weiterhin Datenbankschutz genießen. ## Quellen - [Art. 4 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/4.html) - [Art. 6 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/6.html) - [Art. 15-22 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/15.html) - [Art. 25 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/25.html) - [§ 87a UrhG — dejure.org](https://dejure.org/gesetze/UrhG/87a.html) - [RL 96/9/EG — EUR-Lex](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A31996L0009)