In ihren letzten Sitzungen vor der Sommerpause verabschiedeten der Bundestag und der Bundesrat eine Reform des Bundesdatenschutzgesetzes (BDSG):
Änderungen im Umgang mit Kundendaten
- Einwilligungsvorbehalt bei Werbung
Die Verwendung personenbezogener Daten für Werbezwecke bedarf in Zukunft grundsätzlich der Einwilligung des Betroffenen. Hiervon sieht das Gesetz aber immer noch verschiedene Ausnahmen vor. Das Einwilligungserfordernis gilt unter anderem nicht für Eigenwerbung, berufsbezogene Werbung und für Spendenwerbung gemeinnütziger Organisationen.
Eine Einwilligung ist außerdem entbehrlich, wenn bei einer Datennutzung der Nutzende und bei Datenübermittlungen die erstmalig erhebende Stelle für den Betroffenen eindeutig aus der Werbung erkennbar sind. Bei Datenübermittlungen für Zwecke der Werbung hat der Betroffene einen Auskunftsanspruch, um die Herkunft und Empfänger seiner Daten konkret zu erfahren.
Das Gesetz sieht zur Anpassung an die Änderungen eine Übergangsfrist von drei Jahren vor. - Kopplungsverbot
Das geänderte BDSG enthält nunmehr ein Kopplungsverbot, wonach es verboten ist, den Abschluss eines Vertrages von der Einwilligung des Betroffenen in die Verwendung seiner Daten für Zwecke der Werbung abhängig zu machen.
Eine solchermaßen erzwungene Einwilligung ist unwirksam, wenn für den Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne Einwilligung nicht zumutbar ist. Erfasst sind damit zum einen marktbeherrschende Unternehmen, aber auch marktweite Absprachen und sogar Fälle, in denen faktisch ein Vertrag nur zu bekommen ist, wenn eine Einwilligung in die Verarbeitung der Daten für Werbezwecke gegeben wird. - Einschränkung der Markt- oder Meinungsforschung
Bei Markt- oder Meinungsforschung dürfen personenbezogene Daten nicht für andere Zwecke verwendet werden und müssen so früh wie möglich anonymisiert oder pseudonymisiert werden. - Informationspflichten
Aus § 44a BDSG ergibt sich zukünftig die Pflicht der Unternehmen, die zuständigen behördlichen Stellen in allen Fällen zu informieren, in denen personenbezogene Daten im Sinne des BDSG unrechtmäßig an Dritte übermittelt wurden. Hiervon sind unter anderem Daten zu Bank- und Kreditkartenkonten sowie Bestands- und Nutzungs- bzw. Verkehrsdaten aus der Telefon- und Internetnutzung umfasst.
Zudem sollen die Betroffenen über die Datenweitergabe benachrichtigt werden. Ist eine solche Benachrichtigung aufgrund der Vielzahl der Betroffenen nicht möglich, so ist die Öffentlichkeit über den Datenverlust zu informieren (durch halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen).
Änderungen beim Arbeitnehmerdatenschutz
Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, also immer wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist.
Zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen wurden, dürfen personenbezogene Daten eines Beschäftigten nur verwendet werden, wenn tatsächliche Anhaltspunkte auf eine Straftat vorhanden sind; diese Anhaltspunkte müssen dokumentiert werden. Die Rechtmäßigkeit von Maßnahmen zur Verhütung von Straftaten und sonstigen Rechtsverstößen im Beschäftigungsverhältnis ist danach zu beurteilen, ob die Maßnahmen „zur Durchführung des Beschäftigungsverhältnisses erforderlich“ sind.
Konkretisierung der Auftragsdatenverarbeitung
Die Anforderungen bei der Auftragsdatenverarbeitung werden insofern präzisiert, als nunmehr vorgegeben wird, welchen Mindestinhalt der schriftlich zu erteilende Auftrag enthalten muss.
Zudem wird der Zeitpunkt konkretisiert, zu dem der Auftraggeber sich von der Einhaltung der Datensicherheit beim Auftragnehmer zu überzeugen hat. Dies hat erstmals vor Beginn der Datenverarbeitung zu erfolgen und anschließend – je nach Ausgestaltung und Dauer – regelmäßig. Eine ebenfalls vorgesehene Dokumentation führt zur Nachprüfbarkeit durch die Aufsichtsbehörde.
Stärkung der Durchsetzung des Datenschutzes
- Kündigungsschutz für betriebliche Datenschutzbeauftragte
Das Gesetz stärkt die Stellung des internen betrieblichen Beauftragten für den Datenschutz. Eine Kündigung ist nunmehr grundsätzlich nicht mehr möglich und zwar auch noch bis zu einem Jahr nach dem Ende seiner Tätigkeit.
Auch wird ihm ein Anspruch auf Fortbildung zum Erhalt seiner Fachkunde eingeräumt. - Zwangsmaßnahmen und Bußgelder
Die Eingriffsbefugnisse der Aufsichtsbehörden werden gestärkt. Sie können in Zukunft bei unzulässigen Datenverarbeitungen Anordnungen erlassen und die Datenverarbeitung als letztes Mittel sogar untersagen.
Der Bußgeldrahmen wird für formelle Verstöße auf bis zu 50.000 EUR verdoppelt und für materielle Verstöße von 250.000 EUR auf bis zu 300.000 EUR erweitert. Vorgesehen wird die Möglichkeit, einen wirtschaftlichen Vorteil des Täters aus der Ordnungswidrigkeit abzuschöpfen.
Die Neuregelungen sind zum 1. September 2009 in Kraft getreten.