Gesetz ist verabschiedet

Unternehmen müssen Neuerungen im Datenschutz rasch umsetzen

15.07.2009
Von  und RA Udo  Steger
Martin Schweinoch ist Anwalt im Fachbereich IT, Internet & E-Business von SKW Schwarz. Martin Schweinoch leitet diesen Fachbereich.
Am vergangenen Freitag hat der Gesetzgeber die zweite Reform des übergreifenden Bundesdatenschutzgesetzes (BDSG) in diesem Jahr verabschiedet. Sie führt zu vielfachen Änderungen, die praktisch alle Unternehmen betreffen. Die Änderungen müssen kurzfristig umgesetzt werden, da das neue BDSG in weiten Teilen bereits ab dem 1. September 2009 gilt.

Veranlasst durch die Datenskandale der jüngeren Zeit hat der Gesetzgeber neben der schon länger geplanten ersten Datenschutzreform für Scoring und Auskunfteien parallel eine zweite Reform angestoßen. Die erste Reform wurde im Juni 2009 abgeschlossen, die zweite Reform hat am 10. Juli 2009 den Bundesrat passiert. Beide Reformen bewirken vielfache Änderungen im BDSG, das übergreifend den Datenschutz regelt.

Themen wichtiger Änderungen

Wichtige Änderungen betreffen die betrieblichen Datenschutzbeauftragten, den neu geregelten Arbeitnehmerdatenschutz, erhöhte Anforderungen an eine Einwilligung des Betroffenen in die Verwendung seiner Daten, strengere Anforderungen an die Auftragsdatenverarbeitung, Regelungen für Scoring und Auskunfteien, geänderte Voraussetzungen für die Werbung mit eigenen Daten eines Unternehmens und mit fremden Daten, neue Informations- und Veröffentlichungspflichten beim Datenschutz sowie verschärfte Bußgeld- und Strafvorschriften. Die Neuerungen decken also viele Datenschutzaspekte ab. Da sie in weiten Teilen bereits ab 1. September 2009 gelten, müssen Unternehmen bis dahin nicht nur ihre bisher verwendeten Verfahren und bestehenden Verträge überprüfen, sondern notwendige Änderungen auch praktisch umsetzen. Wichtige Änderungen im Überblick:

- Datenschutzbeauftragter

Datenschutzbeauftragte genießen zukünftig einen erhöhten Kündigungsschutz. Ihr Anstellungsverhältnis kann bis ein Jahr nach der Amtszeit nur aus wichtigem Grund gekündigt werden. Unternehmen, die sich mit Markt- oder Meinungsforschung oder anonymisierter Übermittlung personenbezogener Daten befassen, müssen nun stets einen Datenschutzbeauftragten bestellen.

- Arbeitnehmerdatenschutz

Neu geregelt wird der Schutz von Daten im Beschäftigungsverhältnis. Sie dürfen nur für dessen Anbahnung, Durchführung und Abwicklung verwendet werden. Für die Verwendung zur Aufdeckung von Straftaten muss ein konkreter Verdacht gegen den betreffenden Beschäftigten dokumentiert vorliegen. Diese Regelungen gelten auch für nicht-elektronische Daten, etwa Akten und handschriftliche Aufzeichnungen.

- Datensicherheit

Personenbezogene Daten sind zur Sicherung gegen unberechtigten Zugang, Zugriff und Weitergabe dem Stand der Technik entsprechend zu verschlüsseln. Sie sind zu anonymisieren oder zu pseudonymisieren, sobald es nach ihrem Verwendungszweck ohne unverhältnismäßigen Aufwand möglich ist.

- Auftragsdatenverarbeitung

Die Anforderungen an die Beauftragung Dritter mit der Verarbeitung personenbezogener Daten steigen. Der stets schriftlich zu erteilende Auftrag muss konkrete Regelungen vieler Einzelheiten für den Umgang mit den Daten enthalten (etwa Umfang, Art und Zweck, technische und organisatorische Maßnahmen, Kontroll- und Weisungsrechte des Auftraggebers, etc.). Der Auftraggeber muss sich vor Auftragserteilung von den technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen - und dies regelmäßig wiederholen. Es drohen Bußgelder, wenn ein Auftrag nicht ordnungsgemäß erteilt wird oder die Vorab-Kontrolle des Auftragnehmers unterbleibt. Das alles gilt auch für Wartungs- und Pflegearbeiten durch Dritte, etwa eine Fernwartung.

- Scoring und Datenübermittlung an Auskunfteien

Die Übermittlung von Kundendaten an Auskunfteien wird ausdrücklich geregelt. Bei Negativ-Daten (ausbleibende Zahlungen etc.) entsprechen die Voraussetzungen im Wesentlichen der bisherigen Rechtsprechung. Unklar bleibt teilweise, für welche Positiv-Daten (Kontodaten etc.) eine Übermittlung mit Einwilligung des Betroffenen zulässig ist. Wesentliche Änderungen übermittelter Daten sind innerhalb eines Monats nachzumelden, bei einem Verstoß droht Bußgeld. Diese Regelungen gelten möglicherweise auch für konzerninterne Zahlungserfahrungs-Datenbanken.

- Einwilligung des Betroffenen in die Verwendung seiner Daten

Eine schriftliche Einwilligung muss auch weiterhin drucktechnisch besonders hervorgehoben sein. Eine mündliche erklärte Einwilligung (etwa am Telefon) ist künftig anschließend vom Einwilligungsempfänger (Unternehmen) schriftlich zu bestätigen, was eine besondere Herausforderung für die Praxis darstellt.

- Werbung mit eigenen Daten

Die Werbung eines Unternehmens mit selbst erhobenen Daten für eigene Leistungen bleibt unter den bisherigen Voraussetzungen weiter zulässig, wobei die verantwortliche Stelle dabei klar erkennbar sein muss. Werbung für Leistungen anderer Unternehmen darf beigefügt werden, wenn sie damit im Zusammenhang steht.

- Werbung mit fremden Daten

Das vieldiskutierte "Listenprivileg" für den Adresshandel wurde nicht abgeschafft, aber deutlich eingeschränkt. Die bisherigen Listendaten dürfen für Werbezwecke nur verwendet werden, wenn das verantwortliche Unternehmen für Adressaten klar erkennbar ist. Die übermittelnde Stelle muss Datenherkunft und -empfänger zwei Jahre speichern, entsprechendes gilt auf Seiten des Datenempfängers. Auf Anforderung ist dem Betroffenen auch Auskunft über Ursprung und Empfänger seiner Daten zu erteilen. Verstöße sind mit Bußgeld bedroht. Diese Pflichten gelten für Neudaten bereits ab dem 1. September 2009, müssen also bereits zuvor organisatorisch und technisch umgesetzt werden. Sie betreffen insbesondere auch die Empfänger der Daten, etwa die Kunden von Adresshändlern.

- Informations- und Veröffentlichungspflichten bei Datenschutzverstößen

Bei schwereren Datenschutzverstößen müssen die Aufsichtsbehörde und die Betroffenen informiert werden, letztere bei unangemessenem Aufwand einer direkten Benachrichtigung durch öffentliche Information, zum Beispiel Anzeige in Tageszeitungen. Das gilt zwar nur bei Verstößen, die besonders schutzwürdigen Daten betreffen, etwa Gesundheitsdaten oder Kontoinformationen. Die Informationspflicht über eigene Datenschutzverstöße dürfte aber erhebliche Folgen für das betroffene Unternehmen haben.

- Verschärfte Straf- und Bußgeldvorschriften

Es wurden nicht nur neue Straf- und Bußgeldandrohungen eingeführt, sondern auch die möglichen Bußgelder erheblich gesteigert. So können für als leichter eingestufte Ordnungswidrigkeiten nun Bußgelder bis 50.000 Euro statt 25.000 Euro, in schweren Fällen bis 300.000 Euro anfallen. Wenn der Vorteil des Datenschutzverletzers größer ist, können auch höhere Bußgelder verhängt werden.

- Geltung der Neuregelungen und Übergangsvorschriften

Die meisten Neuerungen gelten schon ab 1. September 2009. Die Änderungen für Scoring und Auskunfteien sowie die Pflichten zu erweiterten Auskunft an Betroffene mit entsprechenden Speicherpflichten gilt ab dem 1. April 2010. Die verschärften Anforderungen für das "Listenprivileg" wirken für Neudaten ab dem 1. September 2009, nur für Altdaten gelten bisherige Regelungen für Markt- und Meinungsforschung noch bis 1. August 2010 sowie für Werbung bis 31. August 2012 fort. Für alle Neudaten müssen die Neuregelungen also schon zum 1. September 2009 praktisch umgesetzt sein.

Handlungsbedarf für Unternehmen

Die Neuerungen stellen Unternehmen aller Branchen vor erhebliche Herausforderungen, die kurzfristig zu lösen sind. Die Regelungen sind teilweise sehr komplex und reichen weiter, als sie oben kurz dargestellt werden können. Eine Umsetzung kann nicht schematisch erfolgen. Umso dringender müssen Unternehmen bestehende Verfahren und Verträge überprüfen und anpassen, auch für Auftragsdatenverarbeitung, sowie die technische Umsetzung durchführen.

Weiterführende Informationen finden Sie in einer Sonderausgabe des IT-Tickers von SKW Schwarz. (hk)