Bundesdatenschutzgesetz Novelle 2

Seit dem 01.09.09 ist die zweite Novelle des Bundesdatenschutzgesetzes in Kraft. Sie wartet mit zahlreichen Neuerungen und Verbesserungen im Datenschutz auf. Nachfolgend möchte ich einige der Neuerungen und deren Auswirkungen vorstellen.

Auftragsdatenverarbeitung

Häufig kommt es gerade in kleinen und mittelständischen Unternehmen sowie in Gesundheitseinrichtungen zur Auftragsdatenverarbeitung. Diese war bisher meist durch Verträge geregelt, in denen zum Thema Datenschutz höchstens ein Satz  wie etwa „Wir verpflichten uns das BDSG einzuhalten“ zu lesen war.

Diese Zeit ist nun vorbei, die Neufassung des § 11 regelt zum einen die Punkte, die im Vertrag aufgeführt sein müssen und zum anderen die Pflicht des Auftraggebers zu Kontrollen der Einhaltung beim Auftragnehmer. Die vertraglich zu beschreibenden Sachverhalte sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber hat die Kontrollen vor Beginn und regelmäßig während der Datenverarbeitung durchzuführen und zu protokollieren.

Arbeitnehmerdatenschutz

Nach den letzten Datenschutzskandalen hat der Arbeitnehmerdatenschutz wörtlichen Einzug in das BDSG gehalten. Die Zulässigkeit der Erhebung von Arbeitnehmerdaten wird in § 32 geregelt. Personenbezogene Daten von Beschäftigten dürfen nur noch für die Zwecke des Beschäftigungsverhältnisses erhoben werden, wenn diese für Begründung, Durchführung oder Beendigung des solchen Verhältnisses notwendig sind. Die Erhebung von Daten zur Aufdeckung von Straftaten ist nur noch zulässig bei konkretem Verdacht und dann auch nur auf die betroffene Person bezogen. Ein Massenscreening ist somit nicht mehr zulässig. Die genau Auflistung, wer als Beschäftigter zählt, finden Sie in § 3 Abs. 11.

Kündigungsschutz für Datenschutzbeauftragte

Endlich hält auch der Kündigungsschutz Einzug in das BDSG. In § 4f Abs. 3 wird dem betrieblichen DSB ein Kündigungsschutz gewährt, der bis Ablauf eines Jahres nach seiner Abberufung als DSB gültig ist. Eine Kündung ist in dieser Zeit nur bei Tatsachen zulässig, die eine fristlose Kündigung rechtfertigen.

Fortbildungen Datenschutzbeauftragte

Im gleichen Absatz (§ 4f Abs. 3) wird bestimmt, dass der betriebliche DSB zur Erhaltung seiner Fachkunde das Recht hat, an Fort- und Weiterbildungsveranstaltungen teilzunehmen. Die Kosten hierfür hat der Arbeitgeber zu tragen.

Daten für Marketingzwecke und Adresshandel

Nach wie vor ist das Listenprivileg gültig, d.h. Listendaten dürfen weiterhin für Eigenwerbung, berufsbezogene und Spendenwerbung genutzt werden. Die Übermittlung ist zulässig, wenn Herkunft und Empfänger gespeichert werden (s. Auskunftsansprüche). Betroffene haben das Recht der werblichen Verwendung ihrer Daten zu widersprechen.

Auskunftsansprüche

Sowohl § 33 (Benachrichtigung) als auch § 34 (Auskunft) sind geändert worden. Im Bezug auf die Benachrichtigungspflicht ist die Ausnahme, dass bei allgemein zugänglichen Quellen und einem unverhältnismäßig hohem Aufwand für die Benachrichtigung der Einsatz für Markt- und Meinungsforschung ohne Benachrichtigung zulässig ist.

§ 34 ist umfangreicher überarbeitet und tritt teilweise erst mit der Novelle 1 im April 2010 in Kraft. Die bereit jetzt gültigen Änderungen betreffen die Speicherpflicht über die Herkunft der Daten, die in § 28 (Scoringwerte etc.) beschrieben sind. So hat die übermittelnde Stelle die Herkunft und den Empfänger der Daten für zwei Jahre zu speichern und dem Betroffenen auf Anfrage Auskunft hierüber zu erteilen.

Pflicht zur Selbstanzeige

Bisher konnte man der Aufsichtsbehörde Verstöße gegen die Datenschutzbestimmungen melden, musste dies aber nicht. Nun besteht bei zu unrecht gespeicherten oder genutzten Daten die Pflicht, sowohl die Aufsichtsbehörde als auch die Betroffenen unverzüglich zu informieren (§ 42a).

Wenn der Aufwand der Benachrichtigung der Betroffenen zu hoch ist, muss in zwei bundesweit erscheinenden Tageszeitungen Anzeigenschaltungen zum Sachverhalt erfolgen.  Auch der Umfang der Benachrichtigung ist definiert.  Den Betroffenen muss das Unternehmen eine Beschreibung der Art der unrechtmäßigen Kenntniserlangungen und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen zukommen lassen. Die Meldung an die Behörde muss zusätzlich noch mögliche nachteilige Folgen und die Maßnahmen zur Beseitigung des Missstandes enthalten. Bei Verstößen kommt das neue Bußgeld in Höhe bis 300.000 Euro oder in Höhe des wirtschaftlichen Vorteils zum Tragen.

Generelle Datensparsamkeit

In der Neufassung des § 3a wird nun für alle Erhebungen, Verarbeitungen und Nutzungen die Pflicht zur Datensparsamkeit und Anonymisierung festgelegt. So müssen alle Daten anonymisiert werden, wenn nicht hierzu ein unverhältnismäßig hoher Aufwand nötig ist und dies der Einsatzzweck der Daten zulässt. Zudem muss bei der Auswahl und Herstellung von Softwareprodukten darauf geachtet werden, dass diese so wenig personenbezogene Daten benutzen wie möglich.

Erweiterung der Behördenbefugnisse

Durch die Erweiterung des § 38 haben die Aufsichtsbehörden nun nicht nur die Befugnis technische oder organisatorische Mängel zu beseitigen, sondern sie dürfen nun generell die Beseitigung von Datenschutzverstößen anordnen und bei Nicht-Abschaffung Bußgelder verhängen.

Ausblick

In wenigen Monaten, am 01.04.2010, tritt die erste Novelle des Bundesdatenschutzgesetzes in Kraft und mit ihr halten weitere Verbesserungen zum Datenschutz Einzug in das Gesetz. Auch diese Änderungen werden Sie hier zu gegebener Zeit nachlesen können.

Alle Angabe und Beschreibungen sind ohne Gewähr auf Vollständigkeit und Richtigkeit!