Neuregelungen im Bundesdatenschutzgesetz seit 1. September 2009

Die Bundesdatenschutzgesetz (BDSG)-Novelle II trat zum 1. September 2009 in Kraft. Wesentliche Inhalte sind:

Arbeitnehmerdatenschutz:

Der Schutz von Daten im Beschäftigtenverhältnis wurde neu geregelt. Die Erhebung, Verarbeitung und Nutzung ist nur dann erlaubt, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für die Durchführung oder Beendigung eines solchen erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Arbeitnehmerdaten nur dann erhoben, verarbeitet oder genutzt werden, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat.

Auftragsdatenverarbeitung

Die Neufassung von § 11 BDSG enthält zehn detaillierte Angaben darüber, was bei einer Auftragsdatenverarbeitung im Vertrag schriftlich festzulegen ist. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Neu ist auch, dass das Ergebnis dokumentiert werden muss.

Informationspflichten bei Datenschutzverstößen

Unternehmen sind verpflichtet, der zuständigen Aufsichtsbehörde sowie den Betroffenen unrechtmäßige Übermittlungen besonders sensibler personenbezogener Daten mitzuteilen, wenn sie solche feststellen (§ 42 a BDSG). Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, tritt an ihre Stelle die Information der Öffentlichkeit entweder durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere gleich wirksame Maßnahme.

Betrieblicher Datenschutzbeauftragter

Die Kündigung des Arbeitsverhältnisses des betrieblichen Datenschutzbeauftragten ist während seiner Bestellung und innerhalb eines Jahres nach der Beendigung der Bestellung nur aus wichtigem Grund möglich. Das Unternehmen hat dem betrieblichen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen (§ 4 f Absatz 3 BDSG).

Nutzung von personenbezogenen Daten für eigene Geschäftszwecke

Seit dem 1. September 2009 dürfen selbst erhobene personenbezogene Daten für eigene Werbung und für Zwecke des Adresshandels verwendet werden, wenn der Betroffene schriftlich eingewilligt hat. Wird die Einwilligung z. B. nur telefonisch erteilt, hat das Unternehmen dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen. Bei elektronisch erteilter Einwilligung muss sichergestellt werden, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll die Erklärung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. Der Abschluss eines Vertrages darf nicht von einer Einwilligung des Betroffenen abhängig gemacht werden.

Nach § 28 Absatz 3 BDSG ist die Verarbeitung oder Nutzung von personenbezogenen Daten darüber hinaus dann zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (sog. Listenprivileg) und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Listenmäßig zusammengefasste Daten dürfen verarbeitet und genutzt werden, wenn dies für Zwecke der Werbung für eigene Angebote erforderlich ist und wenn die Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen selbst oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Sie dürfen weiterhin für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen (z. B. als Inhaber oder Einkäufer eines Unternehmens) und unter seiner beruflichen Anschrift oder für Zwecke der Werbung für steuerbegünstigte Spenden verwendet werden. Ausdrücklich erlaubt ist für Zwecke der Werbung für eigene Angebote auch die Hinzuspeicherung weiterer Daten.

Listenmäßig zusammengefasste personenbezogene Daten dürfen ohne Einwilligung der Betroffenen weiterhin auch für Zwecke der Werbung an Dritte weitergegeben werden (Adresshandel). Voraussetzung hierfür ist, dass die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung speichert und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger erteilt. Die Empfänger von Daten müssen die Herkunft der Daten für zwei Jahre dokumentieren und ebenfalls auf Anforderung dem Betroffenen Auskunft erteilen. Weiterhin muss der Empfänger der Daten sicherstellen, dass die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgeht.

Sofern ein Unternehmen personenbezogene Daten nutzt, um Werbung für fremde Angebote zu machen, muss nach dem Wortlaut des Gesetzes bei der Ansprache des Betroffenen zu Werbezwecken für diesen die verantwortliche Stelle für die Nutzung der Daten, also das agierende Unternehmen, eindeutig erkennbar sein.

Diese neuen Pflichten gelten für Daten, die ab dem 1. September 2009 erhoben werden. Für Daten, die vor diesem Stichtag erhoben und gespeichert wurden, gilt eine Übergangsfrist bis zum 31. August 2012 (§ 47 BDSG). Wegen der unterschiedlichen rechtlichen Behandlung der Daten nach Erhebungs- bzw. Speicherungszeitpunkt ist auf eine strikte Trennung der Datenbestände unbedingt zu achten. Zu berücksichtigen ist auch, dass künftig unterschiedliche Pflichten bei der Werbung mit eigenen Daten und der Werbung mit gekauften fremden Daten gelten. Auch hier sollte eine "Vermischung" der Daten vermieden werden.

Geschäftsmäßige Datenverarbeitung für Zwecke der Markt- und Meinungsforschung

Die Datenverarbeitung von Unternehmen, die Markt- und Meinungsforschung betreiben, ist in § 30 a BDSG neu geregelt worden. Zu beachten ist, dass diese Unternehmen künftig Verfahren automatisierter Verarbeitungen der Aufsichtsbehörde melden müssen (§ 4 d BDSG). Eine Ausnahmeregelung gibt es nicht. Sie haben weiterhin unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen ( § 4 f BDSG):

Markt- und Meinungsforscher dürfen die vor dem 1. September 2009 erhobenen und gespeicherten Daten bis spätestens zum 31. August 2010 noch nach den Regeln der alten Fassung des Gesetzes verarbeiten. Für Daten, die ab dem 1. September 2009 erhoben werden, gelten die neuen Bestimmungen.

Verschärfte Straf- und Bußgeldvorschriften

Die Novelle hat neben neuen Straf- und Bußgeldandrohungen auch die bisherigen Bußgelder erheblich angehoben. Ordnungswidrigkeiten können jetzt bis zu 50.000 Euro, in bestimmten Fällen bis zu 300.000 Euro geahndet werden.