Kabinett beschließt große Datenschutznovelle
Gestern hat das Bundeskabinett eine Novelle des Datenschutzrechts beschlossen. Anlass für die Neuregelungen sind die jüngsten Skandale um die illegale Verwendung und Weitergabe von Kundendaten in der Privatwirtschaft. Um solche Pannen künftig zu verhindern, sollen nun die Rechte von Verbrauchern gestärkt werden. Dazu sieht die Kabinettvorlage Änderungen im BDSG, im TMG und im TKG sowie die Einführung eines neuen Datenschutzauditgesetzes (DSAG) vor.
Einführung des „Permission-Marketing“
Kernstück der Neuregelung ist die Änderung des § 28 BDSG; er erlaubt die Nutzung von Daten durch private Stellen für die eigenen Geschäftszwecke. Im Datenschutzrecht unterliegt jede Nutzung personenbezogener Daten einem Erlaubnisvorbehalt (§ 4 BDSG). Das heißt, sie ist nur dann gestattet, wenn der Betroffene einwilligt oder das Gesetz sie in dem konkreten Fall für zulässig erklärt. Wollen Unternehmen Informationen über ihre Kunden auch für Werbung verwenden oder verkaufen, so können sie das bisher unter den Voraussetzungen des § 28 Abs. 3 Nr. 3 BDSG tun. Diese Norm erlaubt die Nutzung, wenn es sich um listenmäßig zusammengefasste Daten wie Name, Beruf, Titel, Anschrift und Geburtsjahr handelt. Jede Verwendung, die über dieses sog. Listenprivileg hinausgeht bedarf dann wieder einer Einwilligung.
Der § 28 BDSG-E dreht diese Regelung um und verlangt grundsätzlich die Einwilligung, wenn Daten für Werbezwecke verwendet werden („opt-in-Lösung“). Damit wird das sog. Permission-Marketing eingeführt. Nur ausnahmsweise ist eine Zustimmung entbehrlich; so gilt das Listenprivileg weiterhin auch für die Eigenwerbung, für die Meinungsforschung und für Spendenwerbung. Flankiert wird dieses Zustimmungserfordernis von den neuen Abs. 3a und b, die Anforderungen an die Einwilligung stellen und ein Kopplungsverbot normieren: Marktbeherrschende Unternehmen dürfen einen Vertragsschluss nicht von einer Einwilligung abhängig machen.
Neue Informationspflichten
Der neue § 42 a BDSG-E legt allen datenverarbeitenden Stellen die Pflicht auf, die Aufsichtsbehörden und den Betroffenen zu informieren, wenn sie unrechtmäßig Kenntnis von Daten erlangt haben. Außerdem wird die Stellung der betrieblichen Datenschutzbeauftragten (§ 4f BDSG) gestärk: Ihnen kann nur noch in Ausnahmefällen gekündigt werden. In § 43 BDSG will man die Bußgelder bei Verstößen gegen das BDSG erhöhen. Weitere Änderungen des Kabinettentwurfs passen v.a. die anderen Normen an die Neuregelungen an. Die Änderungen im TMG und TKG dienen dazu, die neuen Informationspflichten nach § 42 a BDSG-E auch auf Dienstanbieter zu erstrecken.
In dieser Synopse (PDF) wird der Entwurf dem aktuellen Text des BDSG gegenübergestellt; Änderungen sind hervorgehoben.
Ein Siegel für beseren Datenschutz
Mit der Einführung eines Datenschutzauditgesetzes wird der Gesetzgebungsauftrag in § 9a BDSG erfüllt; bisher existieren solche Audit-Vorschriften nur in manchen Bundesländern. Das Gesetz regelt, unter welchen Umständen ein Datenschutz-Siegel an Unternehmen vergeben werden darf. Dazu heißt es in dem Schreiben zur Kabinettvorlage:
„Erstes Hauptziel des Entwurfs ist die Schaffung eines freiwilligen, gesetzlich geregelten und unbürokratischen Datenschutzauditverfahrens, das marktorientierte Anreize zur Verbesserung des Datenschutzes in Unternehmen setzt. Im Rahmen dieses Verfahrens können Unternehmen ein Datenschutzauditsiegel erwerben, wenn sie sich einem regelmäßigen datenschutzrechtlichen Kontrollverfahren anschließen und Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. (…)
Erwerb und werbewirksamer Einsatz des Datenschutzsiegels eröffnen den Unternehmen die Möglichkeit, Vorteile gegenüber Wettbewerbern zu erzielen. Gleichzeitig erhöhen sie das Datenschutzniveau und schaffen mehr Transparenz für die Bürgerinnen und Bürger. Auf diese Weise verbindet das Datenschutzaudit Maßnahmen der Wirtschaftsförderung mit der Förderung des Datenschutzes.“
Im Einzlenen regelt das DSAG die Anforderungen an die privaten Kontrollstellen (§§ 5, 6 DSAG-E), die das Siegel erteilen dürfen. Hier gelten spezielle Voraussetzungen für das Personal; dieses muss zuverlässig, unabhängig und fachlich geeignet sein. Letzteres wird in § 5 Abs. 3 DSAG-E konkretisiert:
„Über die erforderliche fachliche Eignung verfügt, wer auf Grund seiner Ausbildung, beruflichen Bildung und praktischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm obliegenden Aufgaben befähigt ist. Im Bereich Recht sind nachzuweisen:
1. der Abschluss eines Studiums der Rechtswissenschaft oder eines Studiums auf einem anderen Gebiet mit rechtswissenschaftlichen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Rechtswissenschaft nicht unterschreiten, an einer deutschen Hochschule oder ein gleichwertiger ausländischer Abschluss sowie eine dreijährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet des Datenschutzrechts oder
2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht sowie eine mindestens
fünfjährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet des Datenschutzrechts.Im Bereich Informationstechnik sind nachzuweisen:
1. der Abschluss eines Studiums der Informatik, der Wirtschaftsinformatik oder eines Studiums auf einem anderen Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen Hochschule oder ein gleichwertiger ausländischer Abschluss sowie eine dreijährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet der Informationstechnik oder
2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der Informationstechnik sowie eine mindestens fünfjährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet der Informationstechnik.
Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwerdens für die Kontrollstelle nicht seit mehr als drei Jahren unterbrochen sein.“
Bundeseinheitliche Kontrolle
Die Kontrollstellen werden von den Behörden der Bundesländer beaufsichtigt (§ 7, 8 DSAG-E). Um eine bundeseinheitliche Kontrolle zu gewährleisten, müssen sie zuvor vom Bundesdatenschutzbeauftragten zugelassen werden (§ 4 DSAG-E). Außerdem ist er vor Vergabe eines Siegels zu benachrichtigen; bei ihm werden auch Verzeichnisse über ausgezeichnete Datenschutzkonzepte und die zugelassenen Kontrollstellen geführt (§ 9 DSAG-E). Desweiteren sieht das neue Gesetz die Einrichtung eines Datenschutzauditausschusses (§§ 11 – 14 DSAG-E) vor. Dieses Gremium setzt sich aus Vertretern der Bundes- und Landesverwaltung, der Datenschutzbehörden sowie aus Mitgliedern von Unternehmen und Verbänden zusammen. Es soll „Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit“ erlassen; der Ausschuss untersteht der Rechtsaufsicht des Bundesinnenministeriums.
„Monströser bürokratischer Aufwand“?
Das Datenschutzauditgesetz wird von vielen Seiten mit Kritik befeuert: Insbesondere die Länder wehren sich gegen die Mehrbelastung der Aufsichtsbehörden; der Vollzugsaufwand stehe in keinem Verhältnis zum Nutzen. Das Kabinett geht aber davon aus, dass zumindest die finanzielle Belastung auf die Antragsteller abgewälzt werden kann. Thilo Weichert vom ULD ist vom gesamten Konzept alles andere als überzeugt:
„Der Entwurf vereinigt fast alle Fehler, die bei einem Auditgesetz gemacht werden können, und garantiert so weder Unabhängigkeit der Bewertung und Qualität, noch Transparenz, noch Rechtssicherheit. Er erlegt den ohnehin schon durch Arbeit überlasteten Aufsichtsbehörden mit der nachträglichen Verifizierung von Auditerklärungen zusätzliche
bürokratische Bürden ohne materiellen Datenschutzgewinn auf.“
Mangelnde Transparenz
Jedenfalls trägt die Novelle nicht zu einem übersichtlicheren Datenschutzrecht bei. Insbesondere das BDSG krankt schon lange an seinen umfangreichen Paragraphen. Unzählige Ausnahmen und Rückausnahmen machen das Gesetz kaum lesbar, geschweige denn verständlich. Das ist bei einem Gesetz, das der Wahrungen von Grundrechten dient, ein äußerst kritischer Zustand. Eine große Datenschutzrechtnovelle ist eigentlich die ideale Chance, hier etwas Grundlegendes zu ändern. Diese Gelegenheit wurde vom vorliegenden Entwurf leider nicht wahrgenommen. Statt dessen wurde v.a. der § 28 BDSG noch verworrener gefasst: Eine Stärkung der Verbraucherrechte durch die opt-in-Lösung im Rahmen von Kundenwerbung wird nur vorgetäuscht. Tatsächlich dürfte der Wirtschaft durch die vielen Ausnahmen noch immer ein breiter Handlungsspielraum verbleiben.
