Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 
Achtung: Dieser Titel wurde aufgehoben und galt bis inkl. 24.05.2018
>>> zur aktuellen Fassung/Nachfolgeregelung

§ 28 - Bundesdatenschutzgesetz (BDSG)

neugefasst durch B. v. 14.01.2003 BGBl. I S. 66; aufgehoben durch Artikel 8 G. v. 30.06.2017 BGBl. I S. 2097
Geltung ab 01.06.1991; FNA: 204-3 Datenschutz
13 frühere Fassungen | Drucksachen / Entwurf / Begründung | wird in 345 Vorschriften zitiert

§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke



(1) 1Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,

1.
wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,

2.
soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder

3.
wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

2Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.

(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig

1.
unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3,

2.
soweit es erforderlich ist,

a)
zur Wahrung berechtigter Interessen eines Dritten oder

b)
zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten

und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder

3.
wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(3) 1Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. 2Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist

1.
für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat,

2.
für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder

3.
für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind.

3Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. 4Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. 5Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. 6Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 7Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind.

(3a) 1Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 2Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben.

(3b) 1Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. 2Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.

(4) 1Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. 2Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. 3Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. 4In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses.

(5) 1Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. 3Die übermittelnde Stelle hat ihn darauf hinzuweisen.

(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn

1.
dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,

2.
es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,

3.
dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder

4.
dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(7) 1Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 2Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. 3Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Absatz 1 und 4 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.

(8) 1Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. 2Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist.

(9) 1Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. 2Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. 3Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. 4Absatz 2 Nummer 2 Buchstabe b gilt entsprechend.





 

Frühere Fassungen von § 28 BDSG

Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.

vergleichen mitmWv (verkündet)neue Fassung durch
aktuell vorher 09.11.2017Artikel 10 Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen
vom 30.10.2017 BGBl. I S. 3618
aktuell vorher 01.09.2009Artikel 1 Gesetz zur Änderung datenschutzrechtlicher Vorschriften
vom 14.08.2009 BGBl. I S. 2814
aktuellvor 01.09.2009früheste archivierte Fassung

Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.



 

Zitierungen von § 28 BDSG

Sie sehen die Vorschriften, die auf § 28 BDSG verweisen. Die Liste ist unterteilt nach Zitaten in BDSG selbst, Ermächtigungsgrundlagen, anderen geltenden Titeln, Änderungsvorschriften und in aufgehobenen Titeln.
 
interne Verweise

§ 4b BDSG Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen (vom 01.09.2009)
... Gemeinschaften gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und ...
§ 12 BDSG Anwendungsbereich (vom 01.09.2009)
... Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis ...
§ 28b BDSG Scoring (vom 01.04.2010)
... allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ...
§ 29 BDSG Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung (vom 11.06.2010)
... 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden. § 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden. (2) Die Übermittlung ... Interesse an dem Ausschluss der Übermittlung hat. § 28 Absatz 3 bis 3b gilt entsprechend. Bei der Übermittlung nach Satz 1 Nr. 1 sind die ... (4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. (5) § 28 Abs. 6 bis 9 gilt entsprechend. (6) Eine Stelle, ... oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. (5) § 28 Abs. 6 bis 9 gilt entsprechend. (6) Eine Stelle, die geschäftsmäßig ...
§ 30 BDSG Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form
... ihre Speicherung unzulässig ist. (4) § 29 gilt nicht. (5) § 28 Abs. 6 bis 9 gilt ...
§ 30a BDSG Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung (vom 01.09.2009)
... Forschungsvorhabens erforderlich ist. (4) § 29 gilt nicht. (5) § 28 Absatz 4 und 6 bis 9 gilt ...
§ 34 BDSG Auskunft an den Betroffenen (vom 01.04.2010)
... Informationsinteresse des Betroffenen überwiegt. (1a) Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger ...
§ 43 BDSG Bußgeldvorschriften (vom 11.06.2010)
... technischen und organisatorischen Maßnahmen überzeugt, 3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht ... nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann, 3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 4. entgegen § 28 Abs. 5 Satz 2 ... entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 4a. entgegen § ... sind, durch unrichtige Angaben erschleicht, 5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 ... Abs. 1, die übermittelten Daten für andere Zwecke nutzt, 5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig ... Vertrages von der Einwilligung des Betroffenen abhängig macht, 5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung ...
§ 47 BDSG Übergangsregelung (vom 01.09.2009)
... Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- oder ...
§ 48 BDSG Bericht der Bundesregierung (vom 01.09.2009)
... 2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29. Sofern sich aus Sicht der Bundesregierung gesetzgeberische ...
 
Zitate in Änderungsvorschriften

Gesetz zur Änderung datenschutzrechtlicher Vorschriften
G. v. 14.08.2009 BGBl. I S. 2814
Artikel 1 DSÄndG Änderung des Bundesdatenschutzgesetzes
... 1. Die Inhaltsübersicht wird wie folgt geändert: a) Die Angabe zu § 28 wird wie folgt gefasst: „§ 28 Datenerhebung und -speicherung für ... a) Die Angabe zu § 28 wird wie folgt gefasst: „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke". b) Nach der ... Aufwand erfordert." 4. In § 4b Absatz 1 wird die Angabe „§§ 28 bis 30" durch die Angabe „§§ 28 bis 30a" ersetzt. 5. § ... Absatz 1 wird die Angabe „§§ 28 bis 30" durch die Angabe „§§ 28 bis 30a" ersetzt. 5. § 4d wird wie folgt geändert: a) In ... Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis ... 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20." 9. § 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst:  ... a) Die Überschrift wird wie folgt gefasst: „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke". b) Absatz 1 ... und Meinungsforschung" gestrichen. bb) In Satz 2 wird die Angabe „§ 28 Abs. 1 Satz 2" durch die Angabe „§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b" ... In Satz 2 wird die Angabe „§ 28 Abs. 1 Satz 2" durch die Angabe „§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b" ersetzt. b) Absatz 2 wird wie folgt ... glaubhaft dargelegt hat und". bb) In Satz 2 wird die Angabe „§ 28 Abs. 3 Satz 2" durch die Angabe „§ 28 Absatz 3 bis 3b" ersetzt.  ... In Satz 2 wird die Angabe „§ 28 Abs. 3 Satz 2" durch die Angabe „§ 28 Absatz 3 bis 3b" ersetzt. cc) In Satz 3 wird die Angabe „Buchstabe a" ... Forschungsvorhabens erforderlich ist. (4) § 29 gilt nicht. (5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend." 12. Nach § 31 wird folgender § ... Nach Absatz 1 wird folgender Absatz 1a eingefügt: „(1a) Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger ... Nach Nummer 3 wird folgende Nummer 3a eingefügt: „3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt,". cc) ... bb) Folgende Nummern 5a und 5b werden angefügt: „5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig ... von der Einwilligung des Betroffenen abhängig macht, 5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung ... Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- ... 2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29. Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen ...

Gesetz zur Änderung des Bundesdatenschutzgesetzes
G. v. 29.07.2009 BGBl. I S. 2254
Artikel 1 BDSGÄndG
... 6 wird das Wort „Unabdingbare" gestrichen. b) Nach der Angabe zu § 28 werden folgende Angaben eingefügt: „§ 28a Datenübermittlung an ... 3 und 4" durch die Angabe „Satz 4 und 5" ersetzt. 6. Nach § 28 werden folgende §§ 28a und 28b eingefügt: „§ 28a ... allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ... geändert: aa) In Satz 1 Nr. 1 Buchstabe b wird nach der Angabe „§ 28 Abs. 3" die Angabe „Satz 1" eingefügt. bb) In Satz 3 wird das ...

Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen
G. v. 30.10.2017 BGBl. I S. 3618
Artikel 10 AnwDienstlG Folgeänderungen
... 203 Absatz 2 Satz 1 Nummer 1, Satz 2, Absatz 5 und 6" ersetzt. (2) In § 28 Absatz 7 Satz 3 des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 ...