27. Juli 2009 - BDSG-Novelle

Neues Datenschutzgesetz: Einige Leerformeln, aber auch echte Inhalte

Ein echter Kündigungsschutz, aber nur für den internen DSB – verstärkte Pflichten zur Anonymisierung von Daten – engere formale Vorgaben für die Auftragsdatenverarbeitung – eine dürftige Basisregelung für den Arbeitnehmerdatenschutz – umfassendere Befugnisse für die Aufsichtsbehörden – prangerartige Meldepflichten bei Datenschutzverstößen – komplizierte Vorgaben für die Verwendung von Daten bei Werbemaßnahmen: So lassen sich die wesentlichen Neuregelungen in Schlagworten zusammenfassen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Am 3.7.2009 um 17.51 Uhr war es doch noch so weit: Nachdem der Bundestag vorher schon neue Regelungen zum Scoring im BDSG beschlossen hatte („BDSG-Novelle I“, siehe dazu die Seiten 14 und 15), änderte er durch die „BDSG-Novelle II“ eine ganze Reihe von Einzelpunkten des Gesetzes.

Änderungen auf den letzten Drücker

Viel später hätte die Entscheidung nicht mehr fallen dürfen, handelte es sich doch um die letzte reguläre Sitzung des Bundestags vor den Wahlen (siehe „Außer Spesen nichts gewesen“ aus dem Juli). Im Folgenden sind die wichtigsten Änderungen skizziert.

Der interne DSB genießt in Zukunft einen echten Kündigungsschutz

Das Arbeitsverhältnis eines Datenschutzbeauftragten darf künftig nur noch dann gekündigt werden, wenn Tatsachen vorliegen, die eine fristlose Kündigung rechtfertigen. So lässt sich der Inhalt der neuen Sätze 5 und 6 in § 4f Absatz 3 BDSG zusammenfassen.

Damit wird der DSB stärker gegen Pressionen geschützt, denen er sich ausgesetzt sehen kann, wenn er nicht wie gewünscht „funktioniert“. Allerdings stellt die Regelung ausdrücklich darauf ab, dass der DSB in einem „Arbeitsverhältnis“ steht.

Im Klartext: Einem externen Datenschutzbeauftragten hilft die Regelung nicht, denn er ist kein Arbeitnehmer, sondern Selbstständiger. Sehr wohl nützt sie dagegen dem internen DSB, denn er ist stets Arbeitnehmer.

Daten müssen zukünftig möglichst anonymisiert werden

Eine Verpflichtung zu „Datenvermeidung und Datensparsamkeit“ enthielt bisher § 3a BDSG. Freilich enthielt sie die Einschränkung, dass eine Pflicht zur Anonymisierung – oder, wenn das nicht möglich ist, zur Pseudonymisierung – von Daten nur unter der Voraussetzung bestand, dass „der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht“. Wegen dieser Einschränkung lief die Pflicht oft ins Leere.

Künftig gilt dagegen: Die Pflicht besteht zunächst einmal immer. Auf den Aufwand, der mit ihrer Erfüllung verbunden ist, kommt es dabei noch nicht an. Nur ausnahmsweise entfällt sie dann, wenn ein „im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßiger Aufwand“ erforderlich ist.

Die neue Vorschrift kehrt also das bisherige Regel-Ausnahme-Verhältnis um! Das ist zu begrüßen. Man muss freilich kein Prophet sein, um zu ahnen, dass sich die Aufsichtsbehörden zumindest anfangs nicht auf eine gemeinsame Linie einigen können, wie der Begriff „unverhältnismäßiger Aufwand“ zu interpretieren ist. Ein Bußgeld droht bei Verstößen nach wie vor nicht.

Der Arbeitnehmerdatenschutz wird in Ansätzen geregelt

Eher zur symbolischen Gesetzgebung ist die neue Regelung des § 32 „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ zu rechnen.

Um die Fragen des Arbeitnehmerdatenschutzes wirklich zu regeln, ist sie viel zu knapp ausgefallen. Aufgenommen sind lediglich wenige, fast durchgehend unstreitige Grundsätze wie etwa die Erforderlichkeit einer Datenerhebung bei der Begründung eines Beschäftigungsverhältnisses.

Die Diskussion um den Arbeitnehmerdatenschutz wird mit dieser Vorschrift auf keinen Fall zur Ruhe kommen.

Für die Auftragsdatenverarbeitung gibt es Vorgaben im Detail

Künftig regelt das Gesetz im Detail, was bei der Erteilung eines Auftrags schriftlich festzulegen ist (Zehnpunkte-katalog in § 11 Abs. 2 Satz 2 BDSG). Hinzu kommt die klare Verpflichtung des Auftraggebers, sich künftig „vor Beginn der Datenverarbeitung und dann regelmäßig“ zu vergewissern, dass der Auftragnehmer die nötigen technischen und organisatorischen Maßnahmen der Datensicherung trifft (§ 11 Abs. 2 Satz 4 BDSG),

Viele DSB werden sich über diese Neuerungen wundern. Denn wer verantwortungsbewusst arbeitet, hat diese Grundsätze schon bisher von sich aus eingehalten. Und ob sich die anderen durch längere Paragrafen werden beeindrucken lassen? Wer allerdings meint, hier weiterhin „schlampen“ zu können, sollte bedenken, dass bei Verstößen ein Bußgeld droht (siehe dazu den angepassten Bußgeldtatbestand des § 43 Abs. 1 Nr. 2b BDSG).

Offen bleibt auch nach der Änderung des BDSG, wie weit der Begriff der „Auftragsdatenverarbeitung“ reicht und wann die nach Datenschutz-Recht unzulässige „Funktionsübertragung“ beginnt.

Die Aufsichtsbehörden können künftig stärker zupacken

Bisher konnten die Aufsichtsbehörden nur Maßnahmen anordnen, mit denen Mängel im technisch-organisatorischen Bereich beseitigt werden (§ 38 Abs. 5 Satz 1 des geltenden BDSG). Künftig können sie generell „Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten“ anordnen.

Es ist allerdings zu erwarten, dass von dieser erweiterten Befugnis zunächst kaum Gebrauch gemacht wird. Denn die meist zu knappe personelle Ausstattung der Datenschutzaufsicht ändert sich durch die Neuregelung nicht.

Datenschutzpranger wird eingeführt

Eine Art „Datenschutzpranger“ hat die Gesetzesnovelle mit der „Informa-tionspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ geschaffen (§ 42a BDSG). Unter anderem bei Daten zu Bank- oder Kreditkartenkonten muss die speichernde Stelle die Aufsichtsbehörde und die Betroffenen informieren, wenn diese Daten unrechtmäßig an Dritte übermittelt wurden. Geschieht dies nicht, droht ein Bußgeld (§ 43 Abs. 1 Nr. 7 BDSG).

Eine solche Benachrichtigung darf in Strafverfahren und Ordnungswidrigkeitenverfahren nur verwendet werden, wenn der Benachrichtigungspflichtige zugestimmt hat.

Dieser Schutz vor Selbstbelastung ist weniger stark, als es scheint. Denn eine solche „Verwendung der Mitteilung“ liegt nicht vor, wenn ihr Inhalt lediglich als Anlass genommen wird, andere Beweismittel (etwa belastende Unterlagen) zu suchen.

Das steht zwar nicht im Gesetz, ist aber aus anderen Fällen von „Beweisverwertungsverboten“ bekannt.

Das Listenprivileg lebt im Verborgenen unverändert fort

Von einzigartiger Kompliziertheit ist die neue Regelung zur Verwendung von Daten für Werbezwecke. Am wichtigsten für die Praxis ist dabei die zeitliche Übergangsregelung des § 47 BDSG: Für Daten, die vor dem 1. Juli 2009 erhoben oder gespeichert wurden, gelten die neuen Regelungen erst ab dem 1. September 2012.

Das bedeutet: Die vielen Unternehmen, die in den letzten Monaten ganz bewusst in großem Umfang alle verfügbaren Datenbestände gekauft haben, werden belohnt. Sie können sich bis zum 1. September 2012 für diese Datenbestände weiterhin auf das „Listenprivileg“ in der bisher geltenden Fassung berufen.

Im Übrigen wird das Listenprivileg formal abgeschafft. Wer wissen will, was stattdessen künftig gilt, muss sich durch die Neufassung von § 28 Abs. 3 BDSG kämpfen, dabei ergänzend die neu eingefügten Absätze 3a und 3b berücksichtigen und darf nicht übersehen, dass das öffentlich so stark hervorgehobene Auskunftsrecht des Betroffenen über die Herkunft der Daten jeweils zwei Jahre nach der Speicherung seiner Daten ins Leere läuft.

Denn nur so lange muss die speichernde Stelle die Herkunft der „Werbedaten“ und deren Empfänger speichern (§ 34 Abs. 1a BDSG). Zu diesem Thema lesen Sie hier demnächst einen eigenen Beitrag.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln