BDSG-Novelle II tritt in Kraft
Morgen tritt die heftig diskutierte BDSG-Novelle II vom 10. Juli 2009 in Kraft. Sie ist mit einer Änderung von 18 Paragraphen die umfangreichste und damit das Kernstück der Datenschutzrechtsnovellen in diesem Jahr. Bereits am 12. Juni 2009 hat der Bundesrat die sog. BDSG-Novelle I verabschiedet, in der vor allem die Zulässigkeit von Scoring und die Datenübermittlung an Auskunfteien neu geregelt werden; sie gilt ab dem 1. April 2010. Ebenfalls schon verabschiedet ist das Gesetz zur Umsetzung der Verbraucherkreditrichtlinie (BDSG-Novelle III), welches neue Transparenzregelungen schafft. Im Folgenden soll ein kurzer Überblick über die wichtigsten Änderungen der Gesetzeslage ab dem 1. September 2009 gegeben werden.
Neuregelung zum Arbeitnehmerdatenschutz (§ 32 BDSG)
Zunächst ist anzumerken, dass der Anwendungsbereich des BDSG im Hinblick auf Arbeitnehmerdaten auf nicht „dateibezogene” Informationen erweitert wurde. § 32 BDSG gilt neuerdings generell für alle Formen der Speicherung oder Übermittlung von Beschäftigtendaten und ist daher auch auf handschriftliche Aufzeichnungen anzuwenden (z.B. Schriftstücke, Dokumentationen, Personalakten). Für die Aufdeckung von Straftaten ist die Datenverarbeitung ab sofort nur noch in engen Grenzen zulässig. So muss ein tatsächlicher Anhaltspunkt bestehen (nicht eine bloße Vermutung), dass der Beschäftigte eine Straftat begangen hat. Der Anhaltspunkt ist zu dokumentieren und die Datenerhebung muss erforderlich sein, um den Sachverhalt aufzuklären ( § 32 Abs.1 S.2 BDSG). Die in der Vergangenheit häufig praktizierten „Massenscreenings” dürften somit zumindest theoretisch nicht mehr vorkommen.
Zulässigkeit der personalisierten Werbung (§ 28 Abs. 3 und 3a BDSG)
Großen Änderungsbedarf gab es auch bei der Regelung zur Zulässigkeit personalisierter Werbung. Folglich sind in diesem Bereich auch die größten Veränderungen gegenüber der bisherigen Rechtslage festzustellen. Im Grundsatz gilt nun das Opt-in-Prinzip. Das besagt, dass der Betroffene der Datennutzung zum Zwecke der Werbung vorher zugestimmt haben muss. Allerdings wird dieses Prinzip durch eine Vielzahl von Ausnahmen durchbrochen: So ist die Datennutzung zum Zwecke der personalisierten Werbung demnach auch zulässig für die Bewerbung eigener Angebote (Produkte, Dienstleistungen) an eigene Kunden oder an Personen, deren Daten aus öffentlich zugänglichen Quellen entnommen werden, sowie bei Geschäftswerbung und für die Spenden-Werbung.
Darüber hinaus gilt für die Werbung (aber nicht für den Adresshandel), dass Daten nach dem Listenprivileg übermittelt werden dürfen, wenn Herkunft und Empfänger zwei Jahre lang dokumentiert werden (§ 34 Abs. 1a s.1 BDSG). Außerdem ist Werbung für fremde Angebote (Beipackwerbung etc.) zulässig, wenn der Absender deutlich erkennbar ausgewiesen wird.
Erweiterte Anforderungen an die Auftragsdatenverarbeitung (§ 11 BDSG)
Zahlreiche Datenschutz-Skandale der letzten Zeit waren auf sog. Auftragsdatenverarbeitungen zurückzuführen. Darunter versteht man die Verträge zur datenschutzrechtlichen Absicherung von Outsourcing. Dabei verbleibt die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber. In Bezug auf den Inhalt einer solchen Vereinbarung bestanden bisher keine Vorgaben. Nun hat der Gesetzgeber eine Reihe von Voraussetzungen aufgestellt: In zehn Punkten reichen sie von der Beschreibung des Vertragsgegenstandes bis hin zur Vernichtung von Datenträgern bei Beendigung des Auftrags. Der Datenschutzbeauftragte des Unternehmens muss die Klauseln aller Verträge zur Auftragsdatenverarbeitung überprüfen und gegebenenfalls auf Änderungen hinwirken.
Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten (§ 4f Abs. 3 BDSG)
Der betriebliche Datenschutzbeauftragte ist nach neuem Recht ausdrücklich vor einer Kündigung geschützt. Ihm kann nur in schwer wiegenden Fällen gekündigt werden. Sinn und Zweck der Neuregelung ist es, einen besonders gewissenhaften Datenschutzbeauftragen vor Benachteiligungen zu schützen. Zudem hat der Arbeitgeber dem Datenschutzbeauftragten die Teilnahme an Fortbildungsmaßnahmen zu ermöglichen und die Kosten dafür zu tragen.
Fazit
Man wird sehen wie die neuen Regeln in der Praxis umgesetzt werden. Die größte Schwachstelle der Neuregelung tritt offen zutage: Insbesondere die Normen zur Zulässigkeit personalisierter Werbung sind von einzigartiger Komplexität. Das verschachtelte Regel-Ausnahme-Verhältnis macht diese kaum noch lesbar. Dies ist in einem derart grundrechtsrelevanten Bereich wie dem Datenschutzrecht zumindest bedenklich. Es scheint, dass die Suche nach einem allen Interessengruppen gerecht werdenden Kompromiss das Endergebnis verwässert hat.
BDSG – Synopse der Gesellschaft für Datenschutz und Datensicherung e.V.
