- Anzeigen -

Sie sind hier: Home » Fachartikel » Recht

Datenschutz: Dienstleisterkontrolle verschärft


Gesetzesänderung verschärft Regelungen für Datenschutz in Unternehmen
Änderungen des Bundesdatenschutzgesetzes bleiben für die praktische Arbeit der Unternehmen nicht ohne Folgen


Von Faezeh Shokrian, Rechtsanwältin und Consultant für Datenschutz und IT-Compliance, intersoft consulting services GmbH

(10.07.09) - Der Bundestag hat in seiner Sitzung am 03. Juli nunmehr doch die 2. Datenschutznovelle auf dem Weg gebracht. Die Änderungen des Bundesdatenschutzgesetzes bringen für die praktische Arbeit der Unternehmen erhebliche Konsequenzen mit sich. Die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 wurden nur teilweise umgesetzt. Vergangenen Mittwoch hatten sich die Koalitionsparteien zunächst im Innenausschuss des Bundestages über die Änderungen des Bundesdatenschutzgesetzes geeinigt.

Am 10. Juli 2009 wird auch der Bundesrat über den Gesetzesentwurf abstimmen. Da der Bundesrat im Rahmen der Koalitionsverhandlungen bereits eine Stellungnahme zum ursprünglichen Gesetzesentwurf abgegeben hatte, wird kein Einspruch erwartet, so dass das Gesetz als so gut wie beschloss gilt. Die Gesetzesänderungen sollen bereits am 01.September 2009 in Kraft treten. Für einige Regelungen wird es jedoch lange Übergangsfristen geben.

Die Änderungen des Bundesdatenschutzgesetzes bleiben für die praktische Arbeit der Unternehmen jedoch nicht ohne Folgen.

>> Zum einen wurde die Stellung des betrieblichen Datenschutzbeauftragten erheblich verbessert. Er genießt nunmehr einen stärkeren Kündigungsschutz. Die Beendigung des Arbeitsverhältnisses und die Abberufung als Datenschutzbeauftragter sind nur noch aus wichtigem Grund möglich. Zudem kann der betriebliche Datenschutzbeauftragte nicht vor Ablauf eines Jahres nach seiner Abberufung als Datenschutzbeauftragter gekündigt werden. Ferner hat er nunmehr einen gesetzlichen Anspruch gegen seinen Arbeitgeber auf Finanzierung seiner Fort- und Weiterbildungskosten.

>> Erhebliche Konsequenzen für die Unternehmen bringt eine Vorschrift des BDSG mit sich, die die Unternehmen bei Datenschutzvorfällen, wie z.B. beim Abhandenkommen von Konto- oder Gesundheitsdaten verpflichtet, nicht nur die Aufsichtsbehörden unverzüglich zu informieren, sondern auch die Betroffenen. Sofern aufgrund des Umfangs des Verstoßes erforderlich, hat die Information über den Datenschutzvorfall durch Anzeigen in mindesten zwei bundesweit erscheinenden Tageszeitungen - über mindestens eine halbe Seite - zu geschehen, was eine selbst finanzierte, erhebliche Imageschädigung bedeutet.

>> Des Weiteren hat der Gesetzgeber die Sanktionen für Datenschutzverstöße dahingehend verschärft, dass Bußgelder erhöht und die Eingriffsrechte der Aufsichtsbehörden erweitert wurden. Es bleibt abzuwarten, ob für die Umsetzung eine personelle Verstärkung der Aufsichtsbehörden erfolgen wird.

>> Eine wichtige, im ursprünglichen Gesetzesentwurf nicht vorgesehene Änderung, betrifft die so genannte Dienstleisterkontrolle. Schon nach jetziger Gesetzeslage müssen Unternehmen, die im Rahmen des Near- und Offshoring Daten einem Dritten zugänglich machen, durch Kontrollen und vertragliche Regelungen mit ihren Dienstleistern einen gesetzeskonformen Umgang des Dienstleisters mit ihren Daten gewährleisten. Die entsprechende Vorschrift des BDSG (§ 11) ist deutlich dahingehend verschärft worden, dass der Gesetzgeber den wesentlichen Inhalt des Dienstleistervertrages vorschreibt. Die Unternehmen müssen also die Verträge mit ihren Dienstleistern einer datenschutzrechtlichen Überprüfung unterziehen und gegebenenfalls diese um die gesetzlichen Anforderungen ergänzen.

Überwiegend wurden die Ankündigungen der Koalitionsparteien im Rahmen des so genannten Datenschutzgipfels im September 2008 jedoch nicht umgesetzt. Insbesondere das Herzstück der Reform, das Listenprivileg, das als Ursache für die Datenschutzskandale des letzten Jahres galt, wurde nicht abgeschafft. Das bedeutet, dass die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in gewissem Umfang weiterhin, ohne Einwilligung der Betroffenen - erlaubt- ist. Dabei handelt es sich um Daten wie der Name, Beruf, Adresse, Geburtsjahr oder Titel. Nur diese listenmäßige Zusammenfassung der Daten war und ist weiterhin privilegiert. Der Betroffene hat nur ein Widerspruchsrecht. Damit er dieses Recht besser als bisher ausüben kann, muss der Betroffene von der verantwortlichen Stelle über die Weitergabe und die Verwendung seiner Daten zu Werbezwecken in einer geeigneten und transparenten Form aufgeklärt werden. Ferner wurde eine zweijährige Dokumentationspflicht über die Herkunft bzw. die Weitergabe der Daten eingeführt. Die Betroffenen müssen über die gespeicherten Daten und ihrer Quelle informiert werden.

Auch sollte eigentlich die Einführung eines Datenschutzsiegels für mehr Transparenz für die Verbraucher und zu Wettbewerbsvorteilen für die Unternehmen sorgen. Das entsprechende Datenschutzauditgesetz wird aber vorerst nicht kommen, da der bisherige Gesetzesentwurf als zu bürokratisch galt. Auch der Erlass eines Arbeitnehmerdatenschutzgesetzes wurde vorerst verschoben. Im Bundesdatenschutzgesetz wurde lediglich zur Klarstellung die Zulässigkeit der Datenerhebung und Datenverarbeitung von Beschäftigtendaten neu geregelt. (intersoft consulting services: ra)

intersoft consulting services: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Recht

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

  • Im Fokus: Unternehmensexterne Compliance-Beratung

    Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

  • Compliance bei Datentransfers im Konzern

    In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

  • Compliance und Datenschutz im Unternehmen

    Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

  • Arbeitsrecht und Compliance-Regelungen

    Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.