Sie sind hier: Home » Fachartikel » Recht

Wesentliche Inhalte der Datenschutz-Reform


Bundestag verabschiedet Änderungen des Datenschutzrechtes: Ursprünglich geplante Einführung eines "Datenschutzaudits" ist zunächst einmal aufgeschoben
Künftig müssen vom Arbeitgeber zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat




Von Dr. Michael Rath (*)

(21.07.09) - Der Deutsche Bundestag hat am 3. Juli 2009 und damit am letzten Tag der Sitzungswoche vor der Sommerpause eine Reihe von neuen Bestimmungen im Datenschutz verabschiedet (BT-Drs. 16/12011, 16/13657). Am 10. Juli 2009 haben die Änderungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) auch den Bundesrat passiert. Dr. Michael Rath, Rechtsanwalt, Fachanwalt für IT-Recht und Partner bei der
Luther Rechtsanwaltsgesellschaft mbH, erörtert die wesentlichen Inhalte der Datenschutz-Reform.

Im Gesetz werden u. a. die Rechte der Arbeitnehmer und des betrieblichen Datenschutzbeauftragten gestärkt sowie neue Bestimmungen zum Adresshandel eingeführt. Gleichzeitig werden die Befugnisse der Datenschutzbehörden erweitert. Die inzwischen auch personell aufgestockten Datenschutzbehörden sind nunmehr zusätzlich ermächtigt, unzulässige Datenverarbeitungen zu untersagen, wenn diese trotz Aufforderung nicht beseitigt werden. Dabei wurden auch die bei Verstößen gegen das BDSG zu verhängenden Bußgelder erhöht.

Die ursprünglich geplante Einführung eines "Datenschutzaudits", nach dem Unternehmen ihre Datenschutzkonzepte und internen Prozesse sowie technische Einrichtungen prüfen und mit einem speziellen Siegel kennzeichnen lassen können, ist dagegen zunächst einmal aufgeschoben. Vor dem Erlass einer gesetzlichen Regelung soll in einer noch näher zu bezeichnenden Branche ein dreijähriges Modellprojekt stattfinden.

Arbeitnehmerdatenschutz
Als Reaktion auf die zahlreichen Datenschutzskandale der letzten Zeit werden mit dem neuen Gesetz zunächst die Rechte der Arbeitnehmer weiter gestärkt. Die Gesetzesbegründung weist zwar ausdrücklich darauf hin, dass die Neuregelungen weder ein Arbeitnehmerdatenschutzgesetz entbehrlich machen noch inhaltlich präjudizieren sollen. Dennoch ergibt sich aus dem Gesetz, dass nunmehr aufgrund des Erfordernisses konkreter Verdachtsmomente im Einzelfall IT-gestützte Massen-Screenings grundsätzlich ebenso unzulässig sind wie andere rein präventive Maßnahmen des Arbeitgebers (etwa zur Korruptionsbekämpfung).

Daneben hat der Gesetzgeber nun die Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitungsverträge konkretisiert und gleichzeitig Sanktionen für Verstöße vorgesehen. Daher gelten in Zukunft schärfere Bedingungen auch für die diesbezügliche Zusammenarbeit mit Detekteien oder mit auf diese Form der Datenverarbeitung spezialisierten Unternehmen.

Wenn der Arbeitgeber also etwaigen Rechtsverstößen in seinem Unternehmen nachgehen und hierbei die E-Mails seiner Mitarbeiter kontrollieren will, müssen künftig die Voraussetzungen des neu geschaffenen § 32 BDSG gegeben sein. Diese Bestimmung bestätigt dabei die (bislang ohnehin praktizierte) Auslegung des § 28 Abs. 1 BDSG, wonach zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses Daten erhoben werden dürfen. Darüber hinaus – Stichwort allgemeine Kontrolle von Arbeitnehmer-E-Mails – präzisiert die Regelung, bei welchen Tatbeständen Kontrollmaßnahmen erlaubt sind.

Künftig müssen vom Arbeitgeber zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Damit ist nun vom Gesetz explizit angeordnet, dass eine umfassende Interessenabwägung unter Berücksichtung der Verhältnismäßigkeit der Maßnahme vorzunehmen ist. Durch die Betonung des Anlasses der Maßnahme in § 32 Abs. 1 S. 2 BDSG wird vom Gesetzgeber angeordnet, dass Art und Schwere der Straftat sowie Intensität des Verdachts berücksichtigt werden müssen.

Dies belegt die Bedeutung des erst kürzlich durch das Bundesverfassungsgericht geschaffene "IT-Grundrecht" und die damit einher gehende Stärkung des allgemeinen Persönlichkeitsrechtes auch von Arbeitnehmern. Die Regelung orientiert sich in ihrem Wortlaut erkennbar an § 100 Abs. 3 Telekommunikationsgesetz (TKG) und gibt inhaltlich im Wesentlichen die bisherige Rechtsprechung wieder.

Im Ergebnis sind die Unternehmen künftig gehalten, vor der Ergreifung von Kontroll- und Überwachungsmaßnahmen intensive Sachverhaltsermittlung zu betreiben und grundsätzlich nur dann tätig zu werden, wenn sich der Verdacht auf den jeweiligen Betroffenen konkretisiert hat. Laut Gesetzesbegründung ist es aber trotz § 32 BDSG möglich, auch eine freiwillig erteilte Einwilligung des Beschäftigten einzuholen (§ 4 a BDSG). Ohne eine solche Abrede oder die Einhaltung der neuen Regelung des § 32 BDSG sind aber künftig IT-basierte Kontrollen grundsätzlich verboten.

Stärkung der Rechte des Datenschutzbeauftragten
In § 4 f BDSG wird der betriebliche Datenschutzbeauftragte jetzt privilegierten Funktionsträgern aus anderen, vergleichbaren Bereichen (wie etwa dem Betriebsrat) gleichgestellt, indem dessen Kündigungsschutz verbessert wird. Der Kündigungsschutz wirkt nun sogar für ein Jahr nach Abberufung vom Amt des Datenschutzbeauftragten, § 4 f Abs. 6 BDSG. Zudem wird ausdrücklich festgelegt, dass der Datenschutzbeauftragte im Unternehmen berechtigt ist, auf Kosten des Unternehmens an Schulungs- und Weiterbildungsmaßnahmen teilzunehmen.

Mitteilungspflichten
Unter Hinzuziehung des betrieblichen Datenschutzbeauftragten müssen nach dem neuen § 42 a BDSG nichtöffentliche Stellen und ihnen datenschutzrechtlich gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen bestimmte Verstöße gegen das Datenschutzrecht aktiv melden und die jeweiligen Betroffenen informieren. Diese Pflicht ist zunächst auf besonders sensible, personenbezogene Daten beschränkt. Darunter fallen Gesundheitsdaten oder Daten, die Bank- oder Kreditkartenkonten betreffen, von denen Dritte unrechtmäßig Kenntnis bekommen haben.

Zudem setzt der Tatbestand eine drohende schwerwiegende Beeinträchtigung von Rechten oder schutzwürdigen Interessen des hiervon Betroffenen voraus. Allerdings werden durch eine Änderung des Telemedien- und des Telekommunikationsgesetzes auch Diensteanbieter im Internet bei unrechtmäßiger Übermittlung von Bestands- oder Nutzungsdaten nun dieser Meldepflicht unterworfen.

Die Mitteilung an die zuständigen Stellen hat grundsätzlich unverzüglich zu erfolgen. Sofern die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen würde, kann diese alternativ auch durch Anzeigen in zwei bundesweit erscheinenden Tageszeitungen oder andere gleich geeignete Maßnahmen erfolgen. Die Informationserteilung darf sich allerdings gegenüber dem Betroffenen verzögern, solange dies etwa aus Gründen der Strafverfolgung geboten ist oder andernfalls Rückschlüsse auf "Datenschutzlecks" möglich wären, deren Aufspüren zu weiteren Verletzungen führen könnte.

Diese Ausnahme-Berechtigung zur verzögerten Mitteilung ist für die Beurteilung entscheidend, ob sogar ordnungswidrig gehandelt wurde und damit Geldbuße zu zahlen ist. Denn nach § 43 Abs. 2 Nr. 7 BDSG kann nunmehr mit Bußgeld belegt werden, wer seinen Pflichten nach § 42 a BDSG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt.

Auftragsdatenverarbeitung
Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt § 11 Abs. 2 BDSG jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf, die in einer zwingend schriftlichen Auftragserteilung thematisiert werden müssen. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages nach § 43 a Abs. 1 Nr. 2 b BDSG ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.

Neuerungen im Bereich Adresshandel und Werbung
Das neue BDSG sieht Beschränkungen im Bereich Adresshandel und Werbung vor, denen allerdings großzügige Ausnahmen und Übergangsfristen (zum Teil bis zum 31. August 2012) gegenüberstehen. Unternehmen müssen danach künftig grundsätzlich eine qualifizierte Einwilligung der Verbraucher einholen, bevor sie deren Daten weitergeben (§ 28 Abs. 3 BDSG). Sie müssen zudem die Empfänger von Werbeschreiben auch darüber informieren, woher diese Daten ursprünglich stammen, § 34 Abs. 1 a BDSG. Dies soll eine Überprüfung der Rechtmäßigkeit von Datenerhebung und anschließender Verarbeitung ermöglichen.

Erfreulicherweise ist das sog. Listenprivileg, nach dem bestimmte listenmäßig oder sonst zusammengefasste Daten auch ohne Einwilligung verarbeitet werden können, mit Einschränkungen erhalten geblieben. Dazu zählt etwa die Geschäftswerbung: Es ist ohne Einwilligung erlaubt, Betroffenen im Rahmen ihrer beruflichen Tätigkeit an deren Geschäftsadresse Werbung zu senden, auch wenn diese bislang noch nicht zum Kundenstamm gehörten (geschäftliche Neukundenakquise). Weitere Ausnahmen gelten für den Bereich der Bewerbung von Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach näher definierten Transparenzgeboten.

Wie bisher darf der Nutzung allerdings kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegenstehen. Das entgegenstehende Interesse wird regelmäßig angenommen, wenn der Empfänger bspw. nach der erforderlichen Aufklärung über sein Recht zum Widerspruch dem Erhalt der Werbung widersprochen hat.

Kommentar und Ausblick
Trotz dieser Reform einzelner Regelungen des Datenschutzrechtes sind die gesetzgeberischen Aktivitäten zur Neuregelung des Datenschutzrechtes noch nicht abgeschlossen. Eine Arbeitsgruppe der Bundesressorts prüft derzeit weiteren Handlungsbedarf und wird möglicherweise noch vor der nächsten Bundestagswahl weitere Entwürfe für ein umfassendes Arbeitnehmerdatenschutzgesetz vorlegen. Die bislang zum Schutz der Arbeitnehmer erlassenen Regelungen dürften allerdings schon jetzt in der Praxis zu zahlreichen Konflikten mit etablierten Prozessen im Unternehmen führen.

So werden durch das neue Gesetz, das in großen Teilen bereits ab September 2009 gilt, präventive und etwa im Rahmen der Korruptionsbekämpfung möglicherweise sogar notwendige Maßnahmen unterbunden. Ein angemessener Ausgleich zwischen Arbeitnehmer- und Arbeitgeberinteressen ist mit diesem Verbot jedoch noch nicht gefunden. Zudem sind die Unternehmen aufgerufen, ihre internen Datenschutz-Vorgänge auf den Prüfstand zu stellen, um dem novellierten Datenschutzgesetz und den nunmehr etablierten Mitteilungspflichten sowie den Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitung nachzukommen.

Hinweis auf Datenschutz-Workshops
Die Novellierung des Datenschutzrechts hat direkte Auswirkungen auf die Datenschutzorganisation in Ihren Unternehmen. Machen Sie sich daher mit den aktuellen Gesetzesänderungen sowie den Neuerungen im Arbeitnehmerdatenschutz vertraut und diskutieren Sie mit uns Ihre künftige Datenschutzstrategie.

Die Luther Rechtsanwaltsgesellschaft mbH lädt Sie bereits jetzt zu ihrem Datenschutz-Workshops (u.a. in Köln am 9. September 2009) ein. Details und weitere Termine an anderen Standorten unserer Kanzlei finden Sie auf der Homepage der Kanzlei. (Luther Rechtsanwaltsgesellschaft: ra9

Autorenhinweis:
(*) Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH.

Luther Rechtsanwaltsgesellschaft: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Recht

  • Cyberkrieg: Wenn der Verhandlungspartner fehlt

    Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.

  • Nutzung von "Compliance-Storage"

    Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.

  • Umsetzung in nationales Recht: FATCA wird konkret

    Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.

  • Compliance im Außenhandel

    Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

Meldungen: Recht

  • Cyberkrieg: Wenn der Verhandlungspartner fehlt

    Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.

  • Nutzung von "Compliance-Storage"

    Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.

  • Umsetzung in nationales Recht: FATCA wird konkret

    Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.

  • Compliance im Außenhandel

    Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen