Der Bundestag hat in seiner Sitzung am 3. Juli nunmehr doch noch die 2. Datenschutznovelle als absoluten Schnellschuss auf dem Weg gebracht. Die Änderungen des Bundesdatenschutzgesetzes bringen für die praktische Arbeit der Unternehmen erhebliche Konsequenzen mit sich. Die Gesetzesänderungen sollen bereits am 1.September 2009 in Kraft treten. Für einige Regelungen wird es jedoch lange Übergangsfristen geben.
Die Änderungen des
Bundesdatenschutzgesetzes bleiben für die praktische Arbeit der Unternehmen
jedoch nicht ohne Folgen und hinterläßt z.Zt. viele offene
Fragen:
§
Zum einen
wurde die Stellung des betrieblichen Datenschutzbeauftragten
erheblich verbessert. Er genießt nunmehr einen stärkeren Kündigungsschutz. Die
Beendigung des Arbeitsverhältnisses und die Abberufung als
Datenschutzbeauftragter sind nur noch aus wichtigem Grund möglich. Zudem kann
der betriebliche Datenschutzbeauftragte nicht vor Ablauf eines Jahres nach
seiner Abberufung als Datenschutzbeauftragter gekündigt werden. Ferner hat er
nunmehr einen gesetzlichen Anspruch gegen seinen Arbeitgeber auf Finanzierung
seiner Fort- und Weiterbildungskosten.
§
Erhebliche Konsequenzen für die
Unternehmen bringt eine Vorschrift des BDSG mit sich, die die Unternehmen bei
Datenschutzvorfällen,
wie z.B. beim Abhandenkommen von Passwort-, Login-, Konto- oder
Gesundheitsdaten verpflichtet, nicht nur die Aufsichtsbehörden unverzüglich zu
informieren, sondern auch die Betroffenen. Sofern aufgrund des
Umfangs des Verstoßes erforderlich, hat die Information über den
Datenschutzvorfall durch Anzeigen in mindesten zwei bundesweit erscheinenden
Tageszeitungen - über mindestens eine halbe Seite - zu geschehen, was eine
selbst finanzierte, erhebliche Imageschädigung bedeutet.
§
Eine
wichtige, im ursprünglichen Gesetzesentwurf nicht vorgesehene Änderung,
betrifft jetzt die so genannte Dienstleisterkontrolle.
Schon nach der alten Gesetzeslage müssen Unternehmen, die Daten einem
Dritten zugänglich machen (sog. Near- & Offshore-IT-Outsourcing), durch
Kontrollen und vertragliche Regelungen mit ihren Dienstleistern einen
gesetzeskonformen Umgang des Dienstleisters mit ihren Daten gewährleisten. Die
entsprechende Vorschrift des BDSG (§ 11 "Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten im Auftrag - sog.
Auftragsdatenverarbeitung") ist jetzt deutlich noch
dahingehend verschärft worden, dass der Gesetzgeber den wesentlichen Inhalt des
Dienstleistervertrages von gesetzseswegen vorschreibt. Die Unternehmen
müssen dabei die Verträge mit ihren Dienstleistern einer datenschutzrechtlichen Überprüfung
unterziehen und gegebenenfalls diese um die gesetzlichen
Anforderungen ergänzen.
§
Die großspurigen Ankündigungen
der Regierung allerdings im Rahmen des großen Datenschutzgipfels
im September 2008 wurden nicht umgesetzt: Insbesondere
das eigentliche Herzstück der Reform, das sog. Listenprivileg, das als Ursache für
die Datenschutzskandale des letzten Jahres galt, wurde nicht abgeschafft. Das
bedeutet, dass die Verwendung personenbezogener Daten zu Zwecken der
Werbung, Markt- und
Meinungsforschung in gewissem Umfang weiterhin, ohne
Einwilligung der Betroffenen - erlaubt- ist. Dabei handelt es sich um Daten wie
der Name, Beruf, Adresse, Geburtsjahr oder Titel. Nur diese listenmäßige
Zusammenfassung der Daten war und ist weiterhin privilegiert. Der Betroffene hat
nur ein Widerspruchsrecht. Damit er dieses Recht besser als bisher ausüben kann,
muss der Betroffene von der verantwortlichen Stelle über die Weitergabe und die
Verwendung seiner Daten zu Werbezwecken in einer geeigneten und transparenten
Form aufgeklärt werden. Ferner wurde eine zweijährige Dokumentationspflicht über
die Herkunft bzw. die Weitergabe der Daten eingeführt. Die Betroffenen müssen
über die gespeicherten Daten und ihrer Quelle informiert werden.
Kommentar:
Listenmäßig erfasste Daten wie etwa Name, Beruf, Adresse, Geburtsjahr oder Titel
sollen jetzt weiterhin ohne Einwilligung weitergegeben werden dürfen,
sofern die Betroffenen über die Herkunft der Angaben informiert werden. Damit
soll ihnen ermöglicht werden, einer solchen Weitergabe und Nutzung ihrer Daten
wirksam zu widersprechen. Dieses so gennante "Listenprivileg" war der
Kernstreitpunkt in den Diskussionen um die "BDSG-Novelle II" zwischen Politik,
Datenschützern, Versandhändlern und der werbetreibenden Wirtschaft. Die
gesamte Tele-Marketing und Call-Center-Branche tobt zwar
z.Zt.
- da jetzt erst einmal bis zu den ersten Grundsatzurteilen jede Menge
rechtlicher Unklarheiten bestehen, was überhaupt noch gemacht werden darf und
was nicht)
§
Auch
sollte eigentlich die Einführung eines Datenschutzsiegels für
mehr Transparenz für die Verbraucher und zu Wettbewerbsvorteilen für
die IT-Unternehmen sorgen. Das entsprechende Datenschutzauditgesetz
(BDSAuditG) wird aber vorerst nicht kommen, da der bisherige
Gesetzesentwurf als zu bürokratisch galt. Das Auditgesetz wird in die nächste
Legislaturperiode vertagt; zunächst soll ein dreijähriges Pilotprojekt für eine
Branche erfolgen.
§
Im
Gegensatz zu der im Febr. 2009 noch von Innenminister Schäuble
angekündigte - und im Rahmen der Telekom-, Lidl- oder
Mehdorn-Bahn-Skandale des letzten Jahres viel zitierten -
Arbeitnehmer-Datenschutz traute sich die Regierung nicht mehr heran. Im
Bundesdatenschutzgesetz wurde lediglich zur Klarstellung die Zulässigkeit der
Datenerhebung und –verarbeitung von Beschäftigtendaten neu geregelt. Die Politik
plant jetzt erst in der nächsten Legislaturperiode eine Regelung des
Datenschutzrechts für Beschäftigte anzugehen.