Wesentliche Inhalte der Datenschutz-Reform
Bundestag verabschiedet Änderungen des Datenschutzrechtes: Ursprünglich geplante Einführung eines "Datenschutzaudits" ist zunächst einmal aufgeschoben
Künftig müssen vom Arbeitgeber zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat
Von Dr. Michael Rath (*)
(21.07.09) - Der Deutsche Bundestag hat am 3. Juli 2009 und damit am letzten Tag der Sitzungswoche vor der Sommerpause eine Reihe von neuen Bestimmungen im Datenschutz verabschiedet (BT-Drs. 16/12011, 16/13657). Am 10. Juli 2009 haben die Änderungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) auch den Bundesrat passiert. Dr. Michael Rath, Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei der Luther Rechtsanwaltsgesellschaft mbH, erörtert die wesentlichen Inhalte der Datenschutz-Reform.
Im Gesetz werden u. a. die Rechte der Arbeitnehmer und des betrieblichen Datenschutzbeauftragten gestärkt sowie neue Bestimmungen zum Adresshandel eingeführt. Gleichzeitig werden die Befugnisse der Datenschutzbehörden erweitert. Die inzwischen auch personell aufgestockten Datenschutzbehörden sind nunmehr zusätzlich ermächtigt, unzulässige Datenverarbeitungen zu untersagen, wenn diese trotz Aufforderung nicht beseitigt werden. Dabei wurden auch die bei Verstößen gegen das BDSG zu verhängenden Bußgelder erhöht.
Die ursprünglich geplante Einführung eines "Datenschutzaudits", nach dem Unternehmen ihre Datenschutzkonzepte und internen Prozesse sowie technische Einrichtungen prüfen und mit einem speziellen Siegel kennzeichnen lassen können, ist dagegen zunächst einmal aufgeschoben. Vor dem Erlass einer gesetzlichen Regelung soll in einer noch näher zu bezeichnenden Branche ein dreijähriges Modellprojekt stattfinden.
Arbeitnehmerdatenschutz
Als Reaktion auf die zahlreichen Datenschutzskandale der letzten Zeit werden mit dem neuen Gesetz zunächst die Rechte der Arbeitnehmer weiter gestärkt. Die Gesetzesbegründung weist zwar ausdrücklich darauf hin, dass die Neuregelungen weder ein Arbeitnehmerdatenschutzgesetz entbehrlich machen noch inhaltlich präjudizieren sollen. Dennoch ergibt sich aus dem Gesetz, dass nunmehr aufgrund des Erfordernisses konkreter Verdachtsmomente im Einzelfall IT-gestützte Massen-Screenings grundsätzlich ebenso unzulässig sind wie andere rein präventive Maßnahmen des Arbeitgebers (etwa zur Korruptionsbekämpfung).
Daneben hat der Gesetzgeber nun die Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitungsverträge konkretisiert und gleichzeitig Sanktionen für Verstöße vorgesehen. Daher gelten in Zukunft schärfere Bedingungen auch für die diesbezügliche Zusammenarbeit mit Detekteien oder mit auf diese Form der Datenverarbeitung spezialisierten Unternehmen.
Wenn der Arbeitgeber also etwaigen Rechtsverstößen in seinem Unternehmen nachgehen und hierbei die E-Mails seiner Mitarbeiter kontrollieren will, müssen künftig die Voraussetzungen des neu geschaffenen § 32 BDSG gegeben sein. Diese Bestimmung bestätigt dabei die (bislang ohnehin praktizierte) Auslegung des § 28 Abs. 1 BDSG, wonach zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses Daten erhoben werden dürfen. Darüber hinaus – Stichwort allgemeine Kontrolle von Arbeitnehmer-E-Mails – präzisiert die Regelung, bei welchen Tatbeständen Kontrollmaßnahmen erlaubt sind.
Künftig müssen vom Arbeitgeber zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Damit ist nun vom Gesetz explizit angeordnet, dass eine umfassende Interessenabwägung unter Berücksichtung der Verhältnismäßigkeit der Maßnahme vorzunehmen ist. Durch die Betonung des Anlasses der Maßnahme in § 32 Abs. 1 S. 2 BDSG wird vom Gesetzgeber angeordnet, dass Art und Schwere der Straftat sowie Intensität des Verdachts berücksichtigt werden müssen.
Dies belegt die Bedeutung des erst kürzlich durch das Bundesverfassungsgericht geschaffene "IT-Grundrecht" und die damit einher gehende Stärkung des allgemeinen Persönlichkeitsrechtes auch von Arbeitnehmern. Die Regelung orientiert sich in ihrem Wortlaut erkennbar an § 100 Abs. 3 Telekommunikationsgesetz (TKG) und gibt inhaltlich im Wesentlichen die bisherige Rechtsprechung wieder.
Im Ergebnis sind die Unternehmen künftig gehalten, vor der Ergreifung von Kontroll- und Überwachungsmaßnahmen intensive Sachverhaltsermittlung zu betreiben und grundsätzlich nur dann tätig zu werden, wenn sich der Verdacht auf den jeweiligen Betroffenen konkretisiert hat. Laut Gesetzesbegründung ist es aber trotz § 32 BDSG möglich, auch eine freiwillig erteilte Einwilligung des Beschäftigten einzuholen (§ 4 a BDSG). Ohne eine solche Abrede oder die Einhaltung der neuen Regelung des § 32 BDSG sind aber künftig IT-basierte Kontrollen grundsätzlich verboten.
Stärkung der Rechte des Datenschutzbeauftragten
In § 4 f BDSG wird der betriebliche Datenschutzbeauftragte jetzt privilegierten Funktionsträgern aus anderen, vergleichbaren Bereichen (wie etwa dem Betriebsrat) gleichgestellt, indem dessen Kündigungsschutz verbessert wird. Der Kündigungsschutz wirkt nun sogar für ein Jahr nach Abberufung vom Amt des Datenschutzbeauftragten, § 4 f Abs. 6 BDSG. Zudem wird ausdrücklich festgelegt, dass der Datenschutzbeauftragte im Unternehmen berechtigt ist, auf Kosten des Unternehmens an Schulungs- und Weiterbildungsmaßnahmen teilzunehmen.
Mitteilungspflichten
Unter Hinzuziehung des betrieblichen Datenschutzbeauftragten müssen nach dem neuen § 42 a BDSG nichtöffentliche Stellen und ihnen datenschutzrechtlich gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen bestimmte Verstöße gegen das Datenschutzrecht aktiv melden und die jeweiligen Betroffenen informieren. Diese Pflicht ist zunächst auf besonders sensible, personenbezogene Daten beschränkt. Darunter fallen Gesundheitsdaten oder Daten, die Bank- oder Kreditkartenkonten betreffen, von denen Dritte unrechtmäßig Kenntnis bekommen haben.
Zudem setzt der Tatbestand eine drohende schwerwiegende Beeinträchtigung von Rechten oder schutzwürdigen Interessen des hiervon Betroffenen voraus. Allerdings werden durch eine Änderung des Telemedien- und des Telekommunikationsgesetzes auch Diensteanbieter im Internet bei unrechtmäßiger Übermittlung von Bestands- oder Nutzungsdaten nun dieser Meldepflicht unterworfen.
Die Mitteilung an die zuständigen Stellen hat grundsätzlich unverzüglich zu erfolgen. Sofern die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen würde, kann diese alternativ auch durch Anzeigen in zwei bundesweit erscheinenden Tageszeitungen oder andere gleich geeignete Maßnahmen erfolgen. Die Informationserteilung darf sich allerdings gegenüber dem Betroffenen verzögern, solange dies etwa aus Gründen der Strafverfolgung geboten ist oder andernfalls Rückschlüsse auf "Datenschutzlecks" möglich wären, deren Aufspüren zu weiteren Verletzungen führen könnte.
Diese Ausnahme-Berechtigung zur verzögerten Mitteilung ist für die Beurteilung entscheidend, ob sogar ordnungswidrig gehandelt wurde und damit Geldbuße zu zahlen ist. Denn nach § 43 Abs. 2 Nr. 7 BDSG kann nunmehr mit Bußgeld belegt werden, wer seinen Pflichten nach § 42 a BDSG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt.
Auftragsdatenverarbeitung
Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt § 11 Abs. 2 BDSG jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf, die in einer zwingend schriftlichen Auftragserteilung thematisiert werden müssen. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages nach § 43 a Abs. 1 Nr. 2 b BDSG ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.
Neuerungen im Bereich Adresshandel und Werbung
Das neue BDSG sieht Beschränkungen im Bereich Adresshandel und Werbung vor, denen allerdings großzügige Ausnahmen und Übergangsfristen (zum Teil bis zum 31. August 2012) gegenüberstehen. Unternehmen müssen danach künftig grundsätzlich eine qualifizierte Einwilligung der Verbraucher einholen, bevor sie deren Daten weitergeben (§ 28 Abs. 3 BDSG). Sie müssen zudem die Empfänger von Werbeschreiben auch darüber informieren, woher diese Daten ursprünglich stammen, § 34 Abs. 1 a BDSG. Dies soll eine Überprüfung der Rechtmäßigkeit von Datenerhebung und anschließender Verarbeitung ermöglichen.
Erfreulicherweise ist das sog. Listenprivileg, nach dem bestimmte listenmäßig oder sonst zusammengefasste Daten auch ohne Einwilligung verarbeitet werden können, mit Einschränkungen erhalten geblieben. Dazu zählt etwa die Geschäftswerbung: Es ist ohne Einwilligung erlaubt, Betroffenen im Rahmen ihrer beruflichen Tätigkeit an deren Geschäftsadresse Werbung zu senden, auch wenn diese bislang noch nicht zum Kundenstamm gehörten (geschäftliche Neukundenakquise). Weitere Ausnahmen gelten für den Bereich der Bewerbung von Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach näher definierten Transparenzgeboten.
Wie bisher darf der Nutzung allerdings kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegenstehen. Das entgegenstehende Interesse wird regelmäßig angenommen, wenn der Empfänger bspw. nach der erforderlichen Aufklärung über sein Recht zum Widerspruch dem Erhalt der Werbung widersprochen hat.
Kommentar und Ausblick
Trotz dieser Reform einzelner Regelungen des Datenschutzrechtes sind die gesetzgeberischen Aktivitäten zur Neuregelung des Datenschutzrechtes noch nicht abgeschlossen. Eine Arbeitsgruppe der Bundesressorts prüft derzeit weiteren Handlungsbedarf und wird möglicherweise noch vor der nächsten Bundestagswahl weitere Entwürfe für ein umfassendes Arbeitnehmerdatenschutzgesetz vorlegen. Die bislang zum Schutz der Arbeitnehmer erlassenen Regelungen dürften allerdings schon jetzt in der Praxis zu zahlreichen Konflikten mit etablierten Prozessen im Unternehmen führen.
So werden durch das neue Gesetz, das in großen Teilen bereits ab September 2009 gilt, präventive und etwa im Rahmen der Korruptionsbekämpfung möglicherweise sogar notwendige Maßnahmen unterbunden. Ein angemessener Ausgleich zwischen Arbeitnehmer- und Arbeitgeberinteressen ist mit diesem Verbot jedoch noch nicht gefunden. Zudem sind die Unternehmen aufgerufen, ihre internen Datenschutz-Vorgänge auf den Prüfstand zu stellen, um dem novellierten Datenschutzgesetz und den nunmehr etablierten Mitteilungspflichten sowie den Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitung nachzukommen.
Hinweis auf Datenschutz-Workshops
Die Novellierung des Datenschutzrechts hat direkte Auswirkungen auf die Datenschutzorganisation in Ihren Unternehmen. Machen Sie sich daher mit den aktuellen Gesetzesänderungen sowie den Neuerungen im Arbeitnehmerdatenschutz vertraut und diskutieren Sie mit uns Ihre künftige Datenschutzstrategie.
Die Luther Rechtsanwaltsgesellschaft mbH lädt Sie bereits jetzt zu ihrem Datenschutz-Workshops (u.a. in Köln am 9. September 2009) ein. Details und weitere Termine an anderen Standorten unserer Kanzlei finden Sie auf der Homepage der Kanzlei. (Luther Rechtsanwaltsgesellschaft: ra9
Autorenhinweis:
(*) Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH.
Luther Rechtsanwaltsgesellschaft: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>