Änderung des Datenschutzrechts ab 1. September 2009


20. August 2009, von in Neuigkeiten

Nach den massiven Datenschutzskandalen der vergangenen Monate hat der Bundestag das Bundesdatenschutzgesetz (BDSG) geändert und so den Datenschutz für Verbraucher gestärkt.

Die Änderungen wurden in die BDSG Novellen I, II und III unterteilt, wobei die BDSG Novelle II bereits am 1. September 2009 in Kraft tritt. Am 1. April 2010 soll dann die BDSG Novelle I in Kraft treten und am 11. Juni 2010 die BDSG Novelle III.

Die  Änderungen zum 1. September 2009 betreffen insbesondere die Zulässigkeit der personalisierten Werbung, den Arbeitnehmerdatenschutz und die Auftragsdatenverarbeitung. Neu sind auch Informationspflichten von Unternehmen bei Datenschutzpannen, erweiterte Kompetenzen der Aufsichtsbehörden und eine Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten.

Dazu ein kurzer Überblick:

Personalisierte Werbung

Wie bisher ist auch künftig die Einwilligung des Betroffenen in die Verwendung seiner personenbezogenen Daten erforderlich.

Eine schriftliche Einwilligung muss auch weiterhin drucktechnisch besonders hervorgehoben sein. Erfolgt die Einwilligung durch Ankreuzen, so muss sie ausdrücklich für die konkrete Art der Verwendung (Werbung, Markt- und Meinungsforschung) erfolgen, wenn sie innerhalb von AGB oder im Zusammenhang mit mehreren Erklärungen abgegeben wird.

Nicht zulässig ist, dass der Betroffene ein Kästchen ankreuzen muss, wenn er die Verwendung seiner Daten ausschließen möchte.

Neu hingegen ist, dass Einwilligungen, die nicht schriftlich erfolgt sind – etwa mündlich im Laden oder am Telefon – künftig vom Erklärungsempfänger schriftlich bestätigt werden müssen.

Insbesondere diese Pflicht zur schriftlichen Bestätigung einer nur mündlich erteilten Einwilligung dürfte Unternehmen vor erhebliche Herausforderungen stellen, denn mit dem Wirksamwerden der neuen Regelungen müssen die Geschäftsprozesse den neuen Anforderungen kurzfristig angepasst werden.

Wenn die Einwilligung elektronisch, etwa im Internet, erteilt wurde, muss sie jederzeit abrufbar und mit Wirkung für die Zukunft widerrufbar sein. Hierauf ist der Betroffen jeweils hinzuweisen.

Werbung mit eigenen Daten

Die Eigenwerbung eines Unternehmens mit eigenen Kundendaten, die im Rahmen einer Vertragsbeziehung erhoben wurden, bleibt unter den bisherigen Voraussetzungen weiter zulässig, wobei das werbende Unternehmen jeweils klar erkennbar sein muss.

Werbung mit fremden Daten

Neben der eigenen Erhebung von Daten besteht die Möglichkeit, Daten von Dritten, z. B. von Adressenverlagen, zu beziehen. Für die Nutzung und Weitergabe der Daten ist nicht in jedem Fall die Zustimmung des Betroffenen erforderlich.

Schon bisher ist die Übermittlung oder Nutzung personenbezogener Daten auch ohne Einwilligung der betroffenen Personen für Zwecke der Werbung und der Markt- und Meinungsforschung unter der Voraussetzung zulässig, dass es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt und sich die Daten auf bestimmte Angaben beschränken und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat.

Dieses so genannte Listenprivileg betrifft folgende Daten: Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift, Geburtsjahr (nicht Geburtsdatum!).

Daher können Unternehmen ganze Listen mit einzelnen Verbraucherdaten ohne Zustimmung der betroffenen Personen verkaufen, was den Adressenhandel möglich macht. Da gerade auch in diesem Bereich in der Vergangenheit vermehrt Fälle von unerlaubtem Handel mit personenbezogenen Daten bekannt geworden sind, wurde heftig um die Abschaffung des Listenprivilegs gerungen. Nun wird das Listenprivileg zwar nicht vollkommen abgeschafft, aber erheblich eingeschränkt.

So dürfen die listenmäßig erfassten Daten auch weiterhin ohne Zustimmung weitergegeben werden. Die Weitergabe muss künftig aber zwei Jahre dokumentiert werden. Der Empfänger der Daten wiederum muss die Herkunft der Daten nunmehr für zwei Jahre dokumentieren. Auf Anforderung ist dem Betroffenen Auskunft über die Herkunft der gespeicherten Daten und den Empfänger zu erteilen.

Auch dürfen die Listendaten für Werbezwecke nur noch dann verwendet werden, wenn das werbende Unternehmen für den Adressaten klar erkennbar ist.

Für Daten, die ab dem 1. September 2009 erhoben werden (Neudaten) gelten diese Pflichten bereits ab dem 1. September 2009. Für zuvor erhobene Daten (Altdaten) gilt eine Übergangsfrist  im Bereich Markt- und Meinungsforschung bis zum 1. August 2010 und für Werbung bis zum 31. August 2012.

Verstöße gegen diese Vorschriften sind mit Bußgeld bedroht.

Informationspflichten bei Datenschutzverstößen

Bei schwereren Datenschutzverstößen ist das betroffene Unternehmen nunmehr verpflichtet, die Aufsichtsbehörde und die Betroffenen zu informieren, sofern es sich um besonders sensible und schutzwürdige Daten handelt, wie etwa Gesundheitsdaten oder Kontoinformationen. Bei unangemessenem Aufwand einer direkten Benachrichtigung der Betroffenen sind diese durch öffentliche Information, z. B. durch eine  Anzeige in Tageszeitungen, zu informieren.

Arbeitnehmerdatenschutz

Neu geregelt wird der Schutz von Daten im Beschäftigungsverhältnis. Sie dürfen nur für dessen Anbahnung, Durchführung und Abwicklung verwendet werden. Insoweit ergibt sich kein Unterschied zur bisherigen Rechtslage. Neu hingegen ist eine Regelung, die die Verwendung von Daten zur Aufdeckung von Straftaten betrifft.

Für die Verwendung personenbezogener Arbeitnehmerdaten zur Aufdeckung von Straftaten muss ein konkreter Verdacht gegen den Beschäftigten dokumentiert vorliegen. Das heißt, es müssen tatsächliche, dokumentierte Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Damit soll dem Massenscoring Einhalt geboten werden.

Die Regelungen gelten auch für nicht-elektronische Daten, etwa Akten und handschriftliche Aufzeichnungen.

Auftragsdatenverarbeitung

Auch die Anforderungen an die Beauftragung Dritter mit der Verarbeitung personenbezogener Daten (Outsourcing) steigen.

Der Auftrag muss immer schriftlich erteilt werden und eine konkrete Regelungen für den Umgang mit den Daten enthalten, etwa zu Umfang, Art und Zweck der Nutzung der Daten, zu technischen und organisatorischen Maßnahmen oder auch zu Kontroll- und Weisungsrechten des Auftraggebers. Der Auftraggeber muss sich vor der Auftragserteilung und  ab dann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen und das Ergebnis dokumentieren.

Bei Verstößen  drohen auch hier Bußgelder.

Betrieblicher Datenschutzbeauftragter

Betriebliche Datenschutzbeauftragte genießen zukünftig einen erhöhten Kündigungsschutz. Ihr Anstellungsverhältnis kann während der Amtszeit und bis ein Jahr danach nur aus wichtigem Grund gekündigt werden. Zudem ist ihr Anspruch auf Fort- und Weiterbildung nunmehr gesetzlich festgeschrieben.

Verschärfte Straf- und Bußgeldvorschriften und erweiterte Kompetenzen der Aufsichtsbehörden

Neben der Einführung von neuen Straf- und Bußgeldandrohungen sind auch die bereits bestehenden Bußgelder erheblich angehoben worden. So können für als leichter eingestufte Ordnungswidrigkeiten nun Bußgelder bis 50.000 Euro statt 25.000 Euro, in schweren Fällen sogar bis 300.000 Euro anfallen. Wenn der wirtschaftliche Vorteil des Datenschutzverletzers größer ist, können auch höhere Bußgelder verhängt werden. Dadurch wird es möglich, den mit unerlaubten Methoden erzielten Gewinn abzuschöpfen.

Neben der Verhängung von Bußgeldern ist es den Aufsichtsbehörden nun auch erlaubt, Geschäftspraktiken zu untersagen.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert