---
name: datenbankrecht-und-datenschutz-personenbezogene-datensaet
description: "Analysiert das Verhältnis von Datenbankherstellerrecht (§§ 87a-87e UrhG) und DSGVO bei personenbezogenen Datenbanken: Kumulative Schutzanwendung, Betroffenenrechte (Art. 15-22 DSGVO) vs. Datenbankschutz, Anonymisierungspflichten und Privacy-by-Design (Art. 25 DSGVO). Erstellt datenschutzrechtlich..."
---

# Datenbankrecht und DSGVO — Personenbezogene Datenbanken

## Arbeitsbereich

Analysiert das Verhältnis von Datenbankherstellerrecht (§§ 87a-87e UrhG) und DSGVO bei personenbezogenen Datenbanken: Kumulative Schutzanwendung, Betroffenenrechte (Art. 15-22 DSGVO) vs. Datenbankschutz, Anonymisierungspflichten und Privacy-by-Design (Art. 25 DSGVO). Erstellt datenschutzrechtliches Compliance-Konzept für Datenbankbetreiber. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: UrhG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Mandantenfall

- CRM-Anbieter betreibt eine personenbezogene Kundendatenbank und fragt, wie er gleichzeitig Datenbankherstellerrecht gegenüber Dritten schützt und DSGVO-Betroffenenrechte erfüllt.
- Unternehmen erhält von einem Betroffenen eine Auskunftsanfrage nach Art. 15 DSGVO für eine komplexe Datenbankstruktur und fragt, ob es dabei das Datenbankherstellerrecht verletzt.
- Startup kauft eine personenbezogene Adressdatenbank und muss prüfen, ob die Nutzung DSGVO-konform ist und welches Datenbankschutzrecht der Verkäufer übertragen hat.

## Erste Schritte

1. Datenbankschutz ermitteln: Welcher Schutztatbestand gilt für die betreffende Datenbank (§ 4 Abs. 2 UrhG / §§ 87a ff. UrhG)?
2. Personenbezug feststellen: Enthält die Datenbank personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO?
3. Rechtsgrundlage nach DSGVO prüfen: Welche Rechtsgrundlage (Art. 6 DSGVO) legitimiert die Verarbeitung der Daten in der Datenbank?
4. Betroffenenrechte und Datenbankschutz abwägen: Auskunft (Art. 15 DSGVO) vs. Schutz von Geschäftsgeheimnissen und Datenbankstrukturen.
5. Privacy-by-Design prüfen: Art. 25 DSGVO — ist die Datenbankstruktur so gestaltet, dass Datenschutzgrundsätze von Beginn an umgesetzt sind?
6. Auftragsverarbeitung und Datenbankrecht klären: Wer ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) und wer Datenbankinhaber?

## Rechtsrahmen

- Art. 4 Nr. 1 DSGVO: Personenbezogene Daten — breites Verständnis; jede Information, die eine natürliche Person identifizierbar macht.
- Art. 6 DSGVO: Rechtsgrundlagen für Verarbeitung — Einwilligung, Vertrag, berechtigtes Interesse.
- Art. 15-22 DSGVO: Betroffenenrechte — Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
- Art. 25 DSGVO: Privacy-by-Design und Privacy-by-Default für Datenbankarchitektur.
- §§ 87a-87e UrhG: Datenbankherstellerrecht schützt die Investition — gilt neben DSGVO, nicht statt ihr.
- EuGH C-203/02 (BHB/William Hill): Auch personenbezogene Datenbanken können Datenbankherstellerrecht genießen.

## Prüfraster

- Sind personenbezogene Daten in der Datenbank enthalten, und auf welcher DSGVO-Rechtsgrundlage werden sie verarbeitet?
- Können Betroffenenrechte (Auskunft, Löschung) erfüllt werden, ohne die Datenbankstruktur als Geschäftsgeheimnis zu offenbaren?
- Sind technische Maßnahmen vorhanden, um Betroffenenrechte umzusetzen (Lösch-Routinen, Auskunftsschnittstellen)?
- Ist die Auftragsverarbeitung (Art. 28 DSGVO) korrekt dokumentiert, wenn ein Dienstleister die Datenbank betreibt?
- Werden bei Datenbankübertragungen (M&A, Lizenz) die DSGVO-Anforderungen für Drittlandtransfers (Art. 44 ff. DSGVO) berücksichtigt?
- Ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich — z. B. bei umfangreicher systematischer Überwachung?
- Gibt es einen Interessenkonflikt zwischen Datenminimierungspflicht (Art. 5 Abs. 1 lit. c DSGVO) und dem Ziel, eine umfassende Datenbank aufzubauen?

## Typische Fallstricke

- Auskunftsanspruch nach Art. 15 DSGVO berechtigt Betroffene nicht zur Offenlegung der gesamten Datenbankstruktur — nur zu ihren eigenen Daten.
- Löschpflichten (Art. 17 DSGVO) können Datenbankintegrität stören — technische Lösung ohne Verlust des Datenbankcharakters erforderlich.
- Rechtmäßige Datenbankherstellung schützt nicht vor DSGVO-Bußgeldern bei fehlender Verarbeitungsrechtsgrundlage.
- Datenübertragungsrecht (Art. 20 DSGVO) kann faktisch zur Herausgabe wesentlicher Datenbankteile zwingen — Rechte abwägen.
- Anonymisierte Daten unterliegen nicht mehr der DSGVO, können aber weiterhin Datenbankschutz genießen.

## Quellen

- [Art. 4 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/4.html)
- [Art. 6 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/6.html)
- [Art. 15-22 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/15.html)
- [Art. 25 DSGVO — dejure.org](https://dejure.org/gesetze/DSGVO/25.html)
- [§ 87a UrhG — dejure.org](https://dejure.org/gesetze/UrhG/87a.html)
- [RL 96/9/EG — EUR-Lex](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A31996L0009)
