Google Street View - Beitrag zu Persönlichkeits- und Datenschutzrecht
Raus aus der SCHUFA - Wie wehre ich mich gegen einen unberechtigten SCHUFA-Eintrag?

Datenschutzrecht aktuell

   

- Die wichtigsten Änderungen zum September 2009 - 

mit Rechtsanwalt Michael Terhaag, LL.M.
- Fachanwalt für IT-Recht

 

 

Wir haben ja im Laufe des Jahres bereits mehrfach zum Thema Datenschutz & Recht berichtet und durften zuletzt auch zahlreich im TV zu aktuellen Fragen Stellung nehmen.

Jetzt sind die ersten Gesetzesänderungen in Kraft getreten. Der große Schwung ist das natürlich so kurz vor der Bundestagswahl noch nicht, dennoch halten wir Sie gern auf dem Laufenden und einige der neuen Regeln sollten nicht unterschätzt werden.

Adresshandel und Werbung

Von besonderem Interesse sind sicher die angedachten  Beschränkung der Verwendung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung. Von Grundsatz her soll zukünftig beides nur noch mit Einwilligung des Betroffenen zulässig sein. Ob die Beschränkungen tatsächlich so erheblich sind, wie vielfach besprochen, bleibt allerdings abzuwarten und darf bezweifelt werden.

Die bislang geltende Regel des Listenprivilegs hatten wir ja bereits mehrfach geschildert und teilweise kritisiert. Hiernach dürfen bestimmte listenmäßig zusammengefasste Daten (z.B. Name und Adresse) für Werbezwecke ohne Einwilligung der Betroffenen verwendet und zu diesem Zweck sogar an Dritte weitergegeben werden. Nach der neuen Regel des § 28 Abs. 3 S.1 BDSG soll das nur noch in engen Grenzen möglich sein.

Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist.

Die Praxis wird zeigen, ob mit den Gesetzesänderungen dieser Stelle eine Verbesserung eintritt. Lediglich dieser Teil des Gesetzes tritt aber ohnehin erst im April 2010 in Kraft.

Höhere Bußgelder

Bereits jetzt zum 1. September wurden indes zum Beispiel die Bußgelder erhöht. Von nun an können sozusagen kleiner Ordnungswidrigkeiten mit einer Geldbuße bis zu 50.000,- Euro (vorher 25.000,- Euro) bestraft und schwerere Ordnungswidrigkeiten mit sogar bis zu 300.000,- Euro (vorher 250.000,- Euro) geahndet werden. Wer weiß, wie selten solche bislang verhängt wurden, wundert sich über diese Maßnahme, die wohl lediglich der Politik nutzen dürfte: „Wir haben sogar die Bußgelder erhöht“. Gerade die Erhöhung von 250 auf 300 Tausend Euro ist hier besonders fragwürdig.

Interssanter ist hier die Tatsache, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, nach dem Willen des Gesetzgebers übersteigen „soll“.
Man könnte denken und man darf es hoffen, dass also im Einzelfall auch noch höhere Bußgelder verhängt werden, aber auch darf der Praktiker Zweifel anmelden...

Verbesserungen für den innerbetrieblichen Datenschutzbeauftragten

War dieser im Datenschutzbereich bislang lediglich nicht den Weisungen der Geschäfstleitung unterworfen, genießt der innerbetrieblichen Datenschutzbeauftragtene von nun an einen erweiterten Kündigungsschutz. Das bedeutet er kann nicht mehr ordentlich gekündigt werden, wobei eine außerordentliche Kündigungsmöglichkeit -etwa wegen schwerer Vergehen- natürlich bestehen bleibt. Sogar nach Abberufung als Datenschutzbeauftragte wirkt der Kündigungsschutz noch ein Jahr fort.

Zudem hat der innerbetriebliche Datenschutzbeauftragte einen gesetzlichen Anspruch auf die Teilnahme an Fort- und Weiterbildungsmaßnahmen "zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde".

Neue und erste Regeln speziell zum Arbeitnehmerdatenschutz

Bislang standen einen Beschäftigten, wie jeder anderen Person auch, lediglich diverse schwammige Interessenabwägungen des Allheilmittels des § 28 BDSG zur Seite. Bei genauerer Betrachtung wurde hierdurch häufig zumindest aus dessen Sicht eher ein Freibrief für den Arbeitgeber begründet. 

Die neue Regelung des § 32 BDSG konkretisiert und ersetzt die allgemeinen Grundsätze und soll dem besonderen Schutzbedürfnis von abhängig Beschäftigten Rechnung tragen. Grundsätzlich sollen personenbezogene Daten von Arbeitnehmern für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet und genutzt werden dürfen, wenn

dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.“

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Arbeitnehmers nur dann erhoben, verarbeitet oder genutzt werden dürfen,

"wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind."

Wichtig ist hierbei, dass anders lautende Betriebsvereinbarungen aus der Vergangenheit damit ihre Gültigkeit könnten und daher unbedingt angepasst werden sollten.

Besondere Informations- und Anzeigepflichten für besondere Daten

Unternehmen, die besondere Daten speichern und feststellen, dass diese unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und deswegen schwerwiegende Beeinträchtigungen für die Betroffenen drohen, haben dies unverzüglich der zuständigen Datenschutz-Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Zu diesen besonders geschützten personenbezogene gehören zum Beispiel solche

  • über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, aber auch
  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen sowie
  • personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
  • personenbezogene Daten zur Bank- und Kreditkartenkonten.

Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.

Auch hier sind wir besonders gespannt, wie und ob die Vorschriften in der Praxis umgesetzt werden.

Neue Richtlinien für die Auftragsdatenvereinbarung

Man könnte Ihn auch den „Callcenter“-abschnitt nennen. § 11 BDSG regelt für Verträge, bei denen Daten im Auftrag durch Dritte erhoben, verarbeitet und genutzt werden, anhand eines genau definierten Kataloges, wie diese Auftragsverträge ausgestaltet sein sollen.
Gemäß Absatz 2 dieser Norm ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach […] zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber hat sich zudem vor Beginn der Datenverarbeitung und vor allem auch in Zukunft sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Ausblick

Insgesamt gehen die Bestrebungen durchaus in die Richtige Richtung. Teilweise sind neue, hohe Anforderungen geregelt, bei deren Verstoß teilweise hohe Bußgelder drohen. Es wird an den Datenschutz-Aufsichtsbehörden und letztendlich auch gerichten sein, hier in der Praxis das teilweise durchaus schwarfe Schwert des BDSG auch einmal in die Hand zu nehmen und nicht weiter ein solches Schattendasein fristen zu lassen, wie in der Vergangenheit.

Unternehmen und nicht nur solche die mit Daten handeln oder diese für Dritte verwalten, sind gehalten sich mit dem Datenschutz zu beschäftigen und die neuen  aber auch alten Bestimmungen zu befolgen. Nur damit stellen Sie weitestgehend sicher, dass nicht gerade ihr Geschäft es ist, welches mit den neuen Ordungsmittelrahmen Bekanntschaft macht oder -um einiges wahrscheinlicher- von einem unliebsamen Konkurrenten aus dem Gesetz gegen unlauteren Wettbewerb abgemahnt wird.

So wird es auch hier wohl so sein, dass erste Entscheidungen eher zwischen Wettbewerbern über das UWG erwirkt werden, als das die Datenschutzaufsichtsbehörden tätig werden. Aber wir lassen uns auch gern überraschen.

Schreiben Sie uns ruhig hierzu Ihre Meinung. Selbstverständlich könne Sie auch gern unser anwaltliche Beratung zum Thema Datenschutz zurückzugreifen. Email oder Anruf genügt...

In den Videofenstern finden Sie so noch einige Ausschnitte von den Auftritten des Verfassers zum Datenschutz (aus Februar 2009).

Get the Flash Player to see this video.