Bonn, 18.August 2009 (mr)

Nach zähen Verhandungen in den Ausschüssen haben Bundestag und Bundesrat noch unmittelbar vor der Sommerpause eine umfassende Änderung des Bundesdatenschutzgesetzes (BDSG) mit Wirkung zum 1. September 2009 auf den Weg gebracht. Nachfolgend finden Sie die wichtigsten Änderungen zusammengefasst.

Datenverschlüsselung:

Bei der Übermittlung von Daten soll künftig immer von der Möglichkeit sicherer Verschlüsselung Gebrauch gemacht werden. Ferner sind Daten zu anonymisieren bzw. zu pseudonymisieren , sobald ist der Zweck zulässt.

Arbeitnehmerdatenschutz:

Die Aufnahme des Arbeitnehmer-Datenschutzes in das BDSG erfolgt zwar formell, bringt aber nicht die erwartete Stärkung der Arbeitnehmerposition in Fragen der Angemessenheit. Überwiegend wird die ohnehin bestehende Rechtspraxis abgebildet.

Erwähnenswert ist jedoch, dass der Datenschutz bei den Arbeitnehmerdaten nicht auf elektronische Daten beschränkt bleibt. Er umfasst jetzt auch jede anderweitige Aufzeichnung, so z.B. auch handschriftliche Notizen in einer Papierakte. Hier ist eine Überprüfung der betrieblichen Praxis anzuraten.

Datenschutzbeauftragter im Betrieb:

Das Gesetz führt einen erweiterten Kündigungsschutz für den betrieblichen Datenschutzbeauftragten für die Dauer seiner Bestellung und bis zu einem Jahr danach ein. Ferner wird der Betrieb verpflichtet, dem betrieblichen Datenschutzbeauftragten zum Erhalt und Ausbau seiner Fachkunde den Besuch von Fort- und Weiterbildungsveranstaltungen zu gestatten und zu bezahlen. Unternehmen sollten hierzu prüfen, ob ein interner oder externer Datenschutzbeauftragter für sie wirtschaftlicher ist.

Auftragsweise Datenverarbeitung:

Hier finden die Erfahrung aus den Skandalen 2008 mit ausgelagerten Analysen z.B. durch Detekteien und den Datenmißbrauch in Callcentern wieder.

Ab sofort sind alle entsprechenden Aufträge mit einer Reihe von verpflichtenden Regelungsinhalten zu versehen, die in §11 aufgeführt sind.

Zudem hat der Auftraggeber sich vor der Aufnahme der Verarbeitung und danach regelmäßig von den entsprechenden Vorkehrungen und deren Einhaltung zu überzeugen. Diese Prüfungen hat er zu dokumentieren.

Sollte er die Regelungen nicht in den Vertrag übernommen haben oder die vorherige Prüfung nicht durchgeführt haben, so kann gegen ihn ein empfindliches Bussgeld verhängt werden. Zusätzlich kann die weitere Verarbeitung von der Aufsichtsbehörde untersagt werden. Entstandene wirtschaftliche Vorteile können abgeschöpft werden.

Bei der besonderen Sensibilität dieses Themas empfiehlt es sich, von einem Sachverständigen ein Lieferanten-Audit zum Datenschutz als Gutachten durchführen zu lassen.

Einwilligung für Werbung:

Ab September muss eine mündliche Einwilligung schriftlich bestätigt werden. Elektronisch gegebene Einwilligungen sind zu protokollieren; Ihr Inhalt muss für dem Betroffenen jederzeit elektronisch einsehbar sein; Der Betroffene muss die Einwilligung jederzeit mit Wirkung für die Zukunft wiederrufen können. Eine schriftliche Einwilligung muss als solche klar erkennbar sein, insbesondere muss sie aus umfassenderen Regelungen deutlich sichtbar hervorgehoben werden.

Verträge dürfen nicht von Einwilligungen abhängig gemacht werden. Derartige erwirkte Einwilligungen sind nichtig.

Die Werbung selbst muss den Empfänger der Einwilligung erkennbar machen. Auf Nachfrage muss der Werbende in der Lage sein, die Herkunft einer Einwilligung z.B. bei Kauf von Adressverlagen über zwei Jahre zurück zu benennen.

Allerdings können Adressen, die bereits vor dem 1.September 2009 für Werbung verwendet wurden, noch bis zum 1.September 2012 nach den bisher geltenden Regelungen genutzt werden.

Künftig grundsätzlich erlaubt ist die personalisierte Werbung an geschäftliche Adressen, ohne dass es hierfür einer Einwilligung bedarf.

Markt- und Meinungsforschung:

Dieser Bereich wird künftig gesondert geregelt. So ist jedes Verfahren der zuständigen Aufsichtsbehörde vorab zu melden, und jedes Unternehmen dieser Gruppe hat, unabhängig von seiner Mitarbeiterzahl, einen eigenen Datenschutzbeauftragten intern oder extern zu bestellen. Über die weiteren Änderungen sollten sich betroffene Unternehmen individuell beraten lassen.

Auftraggeber sollten beachten, dass sie im Rahmen ihres Auftrages die oben schon erwähnten Regelungen zur auftragsweisen Datenverarbeitungen umsetzen.

Meldepflicht

Das Gesetz sieht in §42a jetzt eine unverzügliche Informationspflicht vor, wenn einem Unternehmen besondere personenbezogen Daten vorliegen oder zur Kenntnis geraten, die unrechtmäßig erhoben oder übermittelt wurden.

Neben den als sensibel eingestufen Daten nach §3(9) BDSG über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszubehörigkeit, Gesundheit oder das Sexualleben sollen auch Daten der Meldepflicht unterliegen, die erkennbar einem Berufsgeheimnis unterliegen, sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht hierauf beziehen, oder Bank- und Kreditkartenkonten betreffen.

In diesen Fällen sind Sie verpflichtet, unverzüglich die zuständige Aufsichtsbehörde und die Betroffenen zu informieren. Unterbleibt diese Meldung, kann ein Bussgeld von bis zu 300 Tsd. Euro verhängt werden.

Eine zweite Stufe der Datenschutznovelle mit Schwerpunkt auf Auskunfteien und Scoring-Verfahren wird zum April 2010 in Kraft treten. Umfassende Informationen zum Datenschutz finden Sie im Internet unter der Adresse http://www.privacy-audit.de .