Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Gisa
DATEV eG
Data Migration
Logo Audicon
Home  (IT-)Management

Gesetzgeber ändert das Datenschutzrecht

Von Dr. Michael Rath und Silvia C. Bauer

08.08.2009

Dr. Michael Rath

Dr. Michael Rath 
Dr. Michael Rath Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH in Köln. Seine Tätigkeitsschwerpunkte sind das IT-Recht und der Gewerbliche Rechtsschutz (Wettbewerbs- und Markenrecht).

Silvia C. Bauer


Silvia C. Bauer ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sie berät Unternehmen insbesondere im datenschutzrechtlichen Bereich.

Noch kurz vor der Sommerpause wurden von Bundestag und Bundesrat eine Reihe von neuen Bestimmungen im Datenschutz verabschiedet. In dem neuen Gesetz werden u. a. die Rechte der Arbeitnehmer und des betrieblichen Datenschutzbeauftragten gestärkt sowie schärfere Bestimmungen zum Adresshandel eingeführt. Gleichzeitig werden die Befugnisse der Datenschutzbehörden erweitert. Die inzwischen auch personell aufgestockten Datenschutzbehörden sind nunmehr zusätzlich ermächtigt, unzulässige Datenverarbeitungen zu untersagen, wenn diese trotz Aufforderung nicht beseitigt werden. Dabei wurden auch die bei Verstößen gegen das BDSG zu verhängenden Bußgelder erhöht.

Wesentliche Inhalte der Datenschutz-Reform

Der Deutsche Bundestag hat noch kurz vor der Sommerpause eine Reihe von neuen Bestimmungen im Datenschutz verabschiedet (BT-Drs. 16/12011, 16/13657). Diese Än-derungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) wurden am 10. Juli 2009 auch vom Bun-desrat abgesegnet.

In dem neuen Gesetz werden u. a. die Rechte der Arbeitnehmer und des betrieblichen Datenschutzbeauftragten gestärkt sowie schärfere Bestimmungen zum Adresshandel eingeführt. Gleichzeitig werden die Befugnisse der Datenschutzbehörden erweitert. Die inzwischen auch personell aufgestockten Datenschutzbehörden sind nunmehr zu-sätzlich ermächtigt, unzulässige Datenverarbeitungen zu untersagen, wenn diese trotz Aufforderung nicht beseitigt werden. Dabei wurden auch die bei Verstößen gegen das BDSG zu verhängenden Bußgelder erhöht.

Die ursprünglich geplante Einführung eines "Datenschutzaudits", nach dem Unterneh-men ihre Datenschutzkonzepte und internen Prozesse sowie technische Einrichtun-gen prüfen und mit einem speziellen Siegel kennzeichnen lassen können, ist dagegen zunächst einmal aufgeschoben. Vor dem Erlass einer gesetzlichen Regelung soll in einer noch näher zu bezeichnenden Branche ein dreijähriges Modellprojekt stattfinden.

Arbeitnehmerdatenschutz

Mit den Neuregelungen reagiert der Gesetzgeber auf die zahlreichen Datenschutzskan-dale in der letzten Zeit. Zunächst werden daher die Rechte der Arbeitnehmer weiter ge-stärkt. Die Gesetzesbegründung weist zwar ausdrücklich darauf hin, dass die Neurege-lungen weder ein Arbeitnehmerdatenschutzgesetz entbehrlich machen noch inhaltlich präjudizieren sollen. Dennoch sind nunmehr zur Aufdeckung von Straftaten IT-gestützte Massenscreenings ebenso unzulässig sind wie andere rein präventive Maßnahmen des Arbeitgebers.

Wenn der Arbeitgeber etwaigen Rechtsverstößen in seinem Unternehmen nachgehen und hierbei die E-Mails seiner Mitarbeiter kontrollieren will, sind jetzt die Voraussetzun-gen des neu geschaffenen § 32 BDSG zu beachten.  Nach § 32 Abs. 1 BDSG dürfen - wie auch bisher - Beschäftigtendaten zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses erhoben, verarbeitet und genutzt werden. Diese Daten dürfen jedoch zur Aufdeckung von Straftaten künftig nur noch erhoben, verarbeitet und genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Arbeitnehmer im Beschäftigungsverhältnis eine Straftat begangen hat. Dabei ist auch der Grundsatz der Verhältnismäßigkeit zu beachten. Das Gesetz regelt nun explizit, dass vor bspw. der Kontrolle von E-Mails eine umfassende Abwägung der Interessen von Arbeitgeber und Arbeitnehmer unter Berücksichtung der Verhältnismäßigkeit der Maßnahme vorzunehmen ist. Durch die Betonung des Anlasses der Maßnahme in § 32 Abs. 1 S. 2 BDSG wird vom Gesetzgeber angeordnet, dass dabei die Art und Schwere der Straftat sowie Intensität des Verdachts berücksichtigt werden müssen. Die Regelung orientiert sich in ihrem Wortlaut erkennbar an § 100 Abs. 3 Telekommunikationsgesetz (TKG) und gibt inhaltlich im Wesentlichen die bisherige Rechtsprechung wieder. Im Ergebnis sind die Unternehmen künftig gehalten, vor der Ergreifung von Kontroll- und Überwachungsmaßnahmen intensive Sachverhaltsermittlung zu betreiben und grund-sätzlich nur dann tätig zu werden, wenn sich der Verdacht auf den jeweiligen Betroffenen konkretisiert hat.

Daneben hat der Gesetzgeber nun die Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitungsverträge konkretisiert und gleichzeitig Sanktionen für Verstöße vorgesehen. Daher gelten in Zukunft auch schärfere Bedingungen für die im Rahmen der Aufdeckung von Straftaten häufig notwendigen Zusammenarbeit mit Detekteien oder mit auf diese Form der Datenverarbeitung spezialisierten Unternehmen.

Stärkung der Rechte des Datenschutzbeauftragten

In § 4 f BDSG wird der betriebliche Datenschutzbeauftragte jetzt teilweise privilegierten Funktionsträgern aus anderen, vergleichbaren Bereichen (wie etwa dem Betriebsrat) gleichgestellt, indem dessen Kündigungsschutz verbessert wird. Der Kündigungs-schutz wirkt nun sogar für ein Jahr nach Abberufung vom Amt des Datenschutzbeauftragten, § 4 f Abs. 6 BDSG. Zudem wird ausdrücklich festgelegt, dass der Datenschutzbeauftragte im Unternehmen berechtigt ist, auf Kosten des Unternehmens an Schulungs- und Weiterbildungsmaßnahmen teilzunehmen.

Mitteilungspflichten

Unter Hinzuziehung des betrieblichen Datenschutzbeauftragten müssen nach dem neuen § 42 a BDSG nichtöffentliche Stellen und ihnen datenschutzrechtlich gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen bestimmte Verstöße gegen das Datenschutzrecht aktiv melden und die jeweiligen Betroffenen informieren. Diese Pflicht ist zunächst auf besonders sensible, personenbezogene Daten wie Gesundheitsdaten oder Bankdaten beschränkt. Zudem setzt der Tatbestand eine drohende schwerwiegende Beeinträchtigung von Rechten oder schutzwürdigen Interessen der hiervon Betroffenen voraus. Daneben sind nun auch Diensteanbieter im Internet bei unrechtmäßiger Übermittlung von Bestands- oder Nutzungsdaten dieser Meldepflicht unterworfen.

Die Mitteilung an die zuständigen Stellen hat grundsätzlich unverzüglich zu erfolgen. Sofern die Information der Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen würde, kann diese alternativ auch durch Anzeigen in zwei bundesweit erscheinenden Tageszeiten oder andere gleich geeignete Maßnahmen erfolgen. Die Informationserteilung darf sich allerdings gegenüber dem Betroffenen verzögern, solange dies etwa aus Gründen der Strafverfolgung geboten ist oder andernfalls Rückschlüsse auf "Datenschutzlecks" möglich wären, deren Aufspüren zu weiteren Verletzungen führen könnte. Diese Ausnahme-Berechtigung zur verzögerten Mitteilung ist für die Beurteilung entscheidend, ob sogar ordnungswidrig gehandelt wurde und damit eine Geldbuße zu zahlen ist: Nach § 43 Abs. 2 Nr. 7 BDSG kann nunmehr mit Bußgeld belegt werden, wer seinen Pflichten nach § 42 a BDSG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt.

Auftragsdatenverarbeitung     

Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt § 11 Abs. 2 BDSG jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf, die in einer zwingend schriftlichen Auftragserteilung thematisiert werden müssen. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages nach § 43 a Abs. 1 Nr. 2 b BDSG ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.

Neuerungen im Bereich Adresshandel und Werbung

Das neue BDSG sieht Beschränkungen im Bereich Adresshandel und Werbung vor, denen allerdings großzügige Ausnahmen und Übergangsfristen (zum Teil bis zum 31. August 2012) gegenüberstehen. Unternehmen müssen danach künftig grundsätzlich eine qualifizierte Einwilligung der Verbraucher einholen, bevor sie deren Daten weitergeben (§ 28 Abs. 3 BDSG). Sie müssen zudem die Empfänger von Werbeschreiben auch darüber informieren, woher diese Daten ursprünglich stammen, § 34 Abs. 1 a BDSG. Dies soll eine Überprüfung der Rechtmäßigkeit von Datenerhebung und anschließender Verarbeitung ermöglichen.

Erfreulicherweise ist das sog. Listenprivileg, nach dem bestimmte listenmäßig oder sonst zusammengefasste Daten auch ohne Einwilligung verarbeitet werden können, mit Einschränkungen erhalten geblieben. Dazu zählt etwa die Geschäftswerbung: Es ist ohne Einwilligung erlaubt, Betroffenen im Rahmen ihrer beruflichen Tätigkeit an deren Geschäftsadresse Werbung zu senden, auch wenn diese bislang noch nicht zum Kundenstamm gehörten (geschäftliche Neukundenakquise). Weitere Ausnahmen gelten für den Bereich der Bewerbung von Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach näher definierten Transparenzgeboten.

Wie bisher darf der Nutzung allerdings kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegenstehen. Das entgegenstehende Interesse wird regelmäßig angenommen, wenn der Empfänger bspw. nach der erforderlichen Aufklärung über sein Recht zum Widerspruch dem Erhalt der Werbung widersprochen hat.

Kommentar und Ausblick

Trotz dieser Reform des Datenschutzrechtes sind die gesetzgeberischen Aktivitäten zur Neuregelung des Datenschutzes noch nicht abgeschlossen. Eine Arbeitsgruppe der Bundesressorts prüft derzeit weiteren Handlungsbedarf und wird möglicherweise noch vor der nächsten Bundestagswahl weitere Entwürfe für ein umfassendes Arbeitnehmerdatenschutzgesetz vorlegen. Die bislang zum Schutz der Arbeitnehmer erlassenen Regelungen dürften allerdings schon jetzt in der Praxis zu zahlreichen Konflikten mit etablierten Prozessen im Unternehmen führen. So werden durch das neue Gesetz, das in großen Teilen bereits ab 1. September 2009 gilt, präventive (und möglicherweise sogar im Rahmen der Korruptionsbekämpfung gebotene Maßnahmen) eingeschränkt. Ein angemessener Ausgleich zwischen Arbeitnehmer- und Arbeitgeberinteressen ist mit diesem Verbot jedoch noch nicht gefunden.

In jeden Fall sind die Unternehmen aufgerufen, ihre internen Datenschutz-Vorgänge (insbesondere in Bezug auf die Verwendung von Marketing-Daten) auf den Prüfstand zu stellen, um dem novellierten Datenschutzgesetz und den nunmehr etablierten Mitteilungspflichten sowie den Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitung nachzukommen.

Newsletter
 hier abonnieren