Der Bundestag hat in seiner Sitzung am 03. Juli nunmehr doch die 2. Datenschutznovelle auf dem Weg gebracht. Die Änderungen des Bundesdatenschutzgesetzes bringen für die praktische Arbeit der Unternehmen erhebliche Konsequenzen mit sich. Die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 wurden nur teilweise umgesetzt.
Vergangenen Mittwoch hatten sich die Koalitionsparteien zunächst im Innenausschuss des Bundestages über die Änderungen des Bundesdatenschutzgesetzes geeinigt. Am 10. Juli 2009 wird auch der Bundesrat über den Gesetzesentwurf abstimmen. Da der Bundesrat im Rahmen der Koalitionsverhandlungen bereits eine Stellungnahme zum ursprünglichen Gesetzesentwurf abgegeben hatte, wird kein Einspruch erwartet, so dass das Gesetz als so gut wie beschloss gilt. Die Gesetzesänderungen sollen bereits am 01. September 2009 in Kraft treten. Für einige Regelungen wird es jedoch lange Übergangsfristen geben.
Die Änderungen des Bundesdatenschutzgesetzes bleiben für die praktische Arbeit der Unternehmen jedoch nicht ohne Folgen.
Zum einen wurde die Stellung des betrieblichen Datenschutzbeauftragten erheblich verbessert. Er genießt nunmehr einen stärkeren Kündigungsschutz. Die Beendigung des Arbeitsverhältnisses und die Abberufung als Datenschutzbeauftragter sind nur noch aus wichtigem Grund möglich. Zudem kann der betriebliche Datenschutzbeauftragte nicht vor Ablauf eines Jahres nach seiner Abberufung als Datenschutzbeauftragter gekündigt werden. Ferner hat er nunmehr einen gesetzlichen Anspruch gegen seinen Arbeitgeber auf Finanzierung seiner Fort- und Weiterbildungskosten.
Erhebliche Konsequenzen für die Unternehmen bringt eine Vorschrift des BDSG mit sich, die die Unternehmen bei Datenschutzvorfällen, wie z.B. beim Abhandenkommen von Konto- oder Gesundheitsdaten verpflichtet, nicht nur die Aufsichtsbehörden unverzüglich zu informieren, sondern auch die Betroffenen. Sofern aufgrund des Umfangs des Verstoßes erforderlich, hat die Information über den Datenschutzvorfall durch Anzeigen in mindesten zwei bundesweit erscheinenden Tageszeitungen - über mindestens eine halbe Seite - zu geschehen, was eine selbst finanzierte, erhebliche Imageschädigung bedeutet.
Des Weiteren hat der Gesetzgeber die Sanktionen für Datenschutzverstöße dahingehend verschärft, dass Bußgelder erhöht und die Eingriffsrechte der Aufsichtsbehörden erweitert wurden. Es bleibt abzuwarten, ob für die Umsetzung eine personelle Verstärkung der Aufsichtsbehörden erfolgen wird.
Eine wichtige, im ursprünglichen Gesetzesentwurf nicht vorgesehene Änderung, betrifft die so genannte Dienstleisterkontrolle. Schon nach jetziger Gesetzeslage müssen Unternehmen, die im Rahmen des Near- und Offshoring Daten einem Dritten zugänglich machen, durch Kontrollen und vertragliche Regelungen mit ihren Dienstleistern einen gesetzeskonformen Umgang des Dienstleisters mit ihren Daten gewährleisten. Die entsprechende Vorschrift des BDSG (§ 11) ist deutlich dahingehend verschärft worden, dass der Gesetzgeber den wesentlichen Inhalt des Dienstleistervertrages vorschreibt. Die Unternehmen müssen also die Verträge mit ihren Dienstleistern einer datenschutzrechtlichen Überprüfung unterziehen und gegebenenfalls diese um die gesetzlichen Anforderungen ergänzen.
Überwiegend wurden die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 jedoch nicht umgesetzt. Insbesondere das Herzstück der Reform, das Listenprivileg, das als Ursache für die Datenschutzskandale des letzten Jahres galt, wurde nicht abgeschafft. Das bedeutet, dass die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in gewissem Umfang weiterhin, ohne Einwilligung der Betroffenen - erlaubt- ist. Dabei handelt es sich um Daten wie der Name, Beruf, Adresse, Geburtsjahr oder Titel. Nur diese listenmäßige Zusammenfassung der Daten war und ist weiterhin privilegiert. Der Betroffene hat nur ein Widerspruchsrecht. Damit er dieses Recht besser als bisher ausüben kann, muss der Betroffene von der verantwortlichen Stelle über die Weitergabe und die Verwendung seiner Daten zu Werbezwecken in einer geeigneten und transparenten Form aufgeklärt werden. Ferner wurde eine zweijährige Dokumentationspflicht über die Herkunft bzw. die Weitergabe der Daten eingeführt. Die Betroffenen müssen über die gespeicherten Daten und ihrer Quelle informiert werden.
Auch sollte eigentlich die Einführung eines Datenschutzsiegels für mehr Transparenz für die Verbraucher und zu Wettbewerbsvorteilen für die Unternehmen sorgen. Das entsprechende Datenschutzauditgesetz wird aber vorerst nicht kommen, da der bisherige Gesetzesentwurf als zu bürokratisch galt. Auch der Erlass eines Arbeitnehmerdatenschutzgesetzes wurde vorerst verschoben. Im Bundesdatenschutzgesetz wurde lediglich zur Klarstellung die Zulässigkeit der Datenerhebung und –verarbeitung von Beschäftigtendaten neu geregelt.
Weitere Informationen zu dem Thema Datenschutz finden Sie auf
www.intersoft-consulting.de/...
Autorin: Faezeh Shokrian, Rechtsanwältin und Consultant für Datenschutz und IT-Compliance, intersoft consulting services GmbH
Vergangenen Mittwoch hatten sich die Koalitionsparteien zunächst im Innenausschuss des Bundestages über die Änderungen des Bundesdatenschutzgesetzes geeinigt. Am 10. Juli 2009 wird auch der Bundesrat über den Gesetzesentwurf abstimmen. Da der Bundesrat im Rahmen der Koalitionsverhandlungen bereits eine Stellungnahme zum ursprünglichen Gesetzesentwurf abgegeben hatte, wird kein Einspruch erwartet, so dass das Gesetz als so gut wie beschloss gilt. Die Gesetzesänderungen sollen bereits am 01. September 2009 in Kraft treten. Für einige Regelungen wird es jedoch lange Übergangsfristen geben.
Die Änderungen des Bundesdatenschutzgesetzes bleiben für die praktische Arbeit der Unternehmen jedoch nicht ohne Folgen.
Zum einen wurde die Stellung des betrieblichen Datenschutzbeauftragten erheblich verbessert. Er genießt nunmehr einen stärkeren Kündigungsschutz. Die Beendigung des Arbeitsverhältnisses und die Abberufung als Datenschutzbeauftragter sind nur noch aus wichtigem Grund möglich. Zudem kann der betriebliche Datenschutzbeauftragte nicht vor Ablauf eines Jahres nach seiner Abberufung als Datenschutzbeauftragter gekündigt werden. Ferner hat er nunmehr einen gesetzlichen Anspruch gegen seinen Arbeitgeber auf Finanzierung seiner Fort- und Weiterbildungskosten.
Erhebliche Konsequenzen für die Unternehmen bringt eine Vorschrift des BDSG mit sich, die die Unternehmen bei Datenschutzvorfällen, wie z.B. beim Abhandenkommen von Konto- oder Gesundheitsdaten verpflichtet, nicht nur die Aufsichtsbehörden unverzüglich zu informieren, sondern auch die Betroffenen. Sofern aufgrund des Umfangs des Verstoßes erforderlich, hat die Information über den Datenschutzvorfall durch Anzeigen in mindesten zwei bundesweit erscheinenden Tageszeitungen - über mindestens eine halbe Seite - zu geschehen, was eine selbst finanzierte, erhebliche Imageschädigung bedeutet.
Des Weiteren hat der Gesetzgeber die Sanktionen für Datenschutzverstöße dahingehend verschärft, dass Bußgelder erhöht und die Eingriffsrechte der Aufsichtsbehörden erweitert wurden. Es bleibt abzuwarten, ob für die Umsetzung eine personelle Verstärkung der Aufsichtsbehörden erfolgen wird.
Eine wichtige, im ursprünglichen Gesetzesentwurf nicht vorgesehene Änderung, betrifft die so genannte Dienstleisterkontrolle. Schon nach jetziger Gesetzeslage müssen Unternehmen, die im Rahmen des Near- und Offshoring Daten einem Dritten zugänglich machen, durch Kontrollen und vertragliche Regelungen mit ihren Dienstleistern einen gesetzeskonformen Umgang des Dienstleisters mit ihren Daten gewährleisten. Die entsprechende Vorschrift des BDSG (§ 11) ist deutlich dahingehend verschärft worden, dass der Gesetzgeber den wesentlichen Inhalt des Dienstleistervertrages vorschreibt. Die Unternehmen müssen also die Verträge mit ihren Dienstleistern einer datenschutzrechtlichen Überprüfung unterziehen und gegebenenfalls diese um die gesetzlichen Anforderungen ergänzen.
Überwiegend wurden die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 jedoch nicht umgesetzt. Insbesondere das Herzstück der Reform, das Listenprivileg, das als Ursache für die Datenschutzskandale des letzten Jahres galt, wurde nicht abgeschafft. Das bedeutet, dass die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in gewissem Umfang weiterhin, ohne Einwilligung der Betroffenen - erlaubt- ist. Dabei handelt es sich um Daten wie der Name, Beruf, Adresse, Geburtsjahr oder Titel. Nur diese listenmäßige Zusammenfassung der Daten war und ist weiterhin privilegiert. Der Betroffene hat nur ein Widerspruchsrecht. Damit er dieses Recht besser als bisher ausüben kann, muss der Betroffene von der verantwortlichen Stelle über die Weitergabe und die Verwendung seiner Daten zu Werbezwecken in einer geeigneten und transparenten Form aufgeklärt werden. Ferner wurde eine zweijährige Dokumentationspflicht über die Herkunft bzw. die Weitergabe der Daten eingeführt. Die Betroffenen müssen über die gespeicherten Daten und ihrer Quelle informiert werden.
Auch sollte eigentlich die Einführung eines Datenschutzsiegels für mehr Transparenz für die Verbraucher und zu Wettbewerbsvorteilen für die Unternehmen sorgen. Das entsprechende Datenschutzauditgesetz wird aber vorerst nicht kommen, da der bisherige Gesetzesentwurf als zu bürokratisch galt. Auch der Erlass eines Arbeitnehmerdatenschutzgesetzes wurde vorerst verschoben. Im Bundesdatenschutzgesetz wurde lediglich zur Klarstellung die Zulässigkeit der Datenerhebung und –verarbeitung von Beschäftigtendaten neu geregelt.
Weitere Informationen zu dem Thema Datenschutz finden Sie auf
www.intersoft-consulting.de/...
Autorin: Faezeh Shokrian, Rechtsanwältin und Consultant für Datenschutz und IT-Compliance, intersoft consulting services GmbH
