Neue Regeln zum Datenschutz

Werbung
Neue Regeln zum
Datenschutz
Inhalt
Novelle des Bundesdatenschutzgesetzes 2009
Am 3. Juli 2009 hat der Bundestag die Novelle des Bundesdatenschutzgesetzes (BDSG) verabschiedet, die in weiten Teilen am 1. September 2009 in
Kraft treten wird. Hintergrund der Novelle waren verschiedene sogenannte
Datenskandale großer deutscher Konzerne mit bislang ungekannter Medienbegleitung in Deutschland sowie der (versuchte) Verkauf von Millionen
von Kontakt- und Marketingdaten.
Ziel der Novelle ist eine Verschärfung der bestehenden Vorschriften des
BDSG in punktuellen Bereichen sowie eine bessere Durchsetzbarkeit der
bestehenden (und neuen) Regelungen in der Praxis.
Nachdem die BDSG Novelle im Frühjahr 2009 zunehmend zum Gegenstand
parteipolitischen Taktierens vor der Bundestagswahl wurde, konnte in letzter
Sitzung vor der Sommerpause noch ein Kompromiss im Innenausschuss
erzielt werden, auf Grundlage dessen – zusammen mit dem aktualisierten
Gesetzesentwurf – der Bundestag die BDSG Novelle verabschiedete1. Dabei kam es auch zu verschiedenen „Last-minute“ Änderungen, wie z.B. den
Änderungen des zwingenden Inhalts von Auftragsdatenverarbeitungsverträgen nach § 11 BDSG.
Im Laufe des Gesetzgebungsverfahrens wurden verschiedene Regelungen
sehr kontrovers diskutiert und waren Gegenstand intensiver Lobbyarbeit,
insbesondere die Abschaffung bzw. Einschränkung des sogenannten Listenprivilegs für Werbeaktionen. Andere, für die Unternehmenspraxis durchaus signifikante Verschärfungen des BDSG waren kaum Gegenstand der
öffentlichen Diskussion.
1
Vgl.: http://dip21.bundestag.de/dip21/btd/16/120/1612011.pdf
und: http://dip21.bundestag.de/dip21/btd/16/136/1613657.pdf
Juli 2009
Novelle des
Bundesdatenschutzgesetzes 2009
1
Die Neuerungen im
Überblick
3
Gesamtbewertung
7
Von der Aufnahme detaillierter Regelungen zum Arbeitnehmerdatenschutz,
ursprünglich ebenfalls für diese Legislaturperiode vorgesehen, wurde jedoch
Abstand genommen; es wurde lediglich eine kurze allgemein gehaltene Vorschrift zu Beschäftigtendaten in einem neu geschaffenen § 32 BDSG aufgenommen und das Vorhaben (erneut) in die nächste Legislaturperiode verschoben. Ebenso wurde von dem ursprünglich vorgesehenen Datenschutzauditgesetz Abstand genommen, unter dem sich Unternehmen von zertifizierten Prüfern hätten auditieren lassen können. Gleichermaßen ist das heftig umstrittene Verbandsklagerecht nicht enthalten.
Die nachfolgende Übersicht stellt die wesentlichen gesetzlichen Neuerungen
im Rahmen des BDSG vor, jeweils mit einem kurzen Kommentar über die
Konsequenzen in der Praxis.
Juli 2009
Die Neuerungen im Überblick
Neuerung
Kommentar
Arbeitnehmerdatenschutz
Daten der Arbeitnehmer dürfen genutzt
werden,
(a)
(b)
soweit für Zwecke des Beschäftigtenverhältnis erforderlich;
zur Aufdeckung von Straftaten,
die im Beschäftigtenverhältnis
begangen wurden, wenn zu dokumentierende tatsächliche Verdachtsmomente vorliegen.
Geschützt sind auch nichtelektronische Dokumente mit Personenbezug.
Keine wirkliche Neuerung, sondern nur
Nachzeichnung der etablierten Rechtsprechung.
Unter b) bleibt offen, inwieweit insbesondere E-Mails, die häufig dem Telekommunikationsgeheimnis unterliegen,
ebenfalls genutzt werden können und
ob eine Nutzung zur Aufdeckung von
Verstößen, die keine Straftaten darstellen, möglich ist.
Einbeziehung nicht-elektronischer Dokumente erschwert Kontrollen des Arbeitgebers erheblich.
Kündigungsschutz des Datenschutzbeauftragten
Datenschutzbeauftragte genießen besonderen Kündigungsschutz, etwa vergleichbar dem Immissionsschutzbeauftragten, Störfallbeauftragten oder Betriebsratsmitgliedern.
Arbeitgeber hat Teilnahme an Fortbildungen zu ermöglichen und zu bezahlen.
Betrifft sämtliche Unternehmen, die einen Datenschutzbeauftragten bestellen müssen.
Nicht betroffen sind folglich Unternehmen, die einen Datenschutzbeauftragten nicht bestellen müssen sowie solche, die einen externen Datenschutzbeauftragten bestellt haben.
Auftragsdatenverarbeitung
Rechte und Pflichten innerhalb Auftragsdatenverarbeitungsverhältnisse
sind detaillierter festzulegen als bisher.
Auftraggeber muss sich vor Beginn der
Datenverarbeitung und sodann regelmäßig von der Einhaltung der wesentlichen Bestimmungen beim Auftragnehmer überzeugen.
Betrifft sämtliche Unternehmen, die
Daten im Auftrag von externen Stellen
verarbeiten lassen, z.B. im Bereich der
Zahlungsverkehrsabwicklung oder anlässlich eines IT-Outsourcing.
Ist bußgeldbewehrt.
Bestehende Auftragsdatenverarbeitungen sollten entsprechend überprüft
werden.
Neue Regeln zum Datenschutz
3
Neuerung
Kommentar
Kopplungsverbot
Vertragsabschluss darf nicht von der
Einwilligung des Betroffenen zur Nutzung seiner Daten, insbesondere zu
Werbezwecken, abhängig gemacht werden, wenn der Betroffene ansonsten
keinen Zugang zu gleichwertigen vertraglichen Leistungen hätte.
Betrifft vor allem Monopolisten und Unternehmen im Bereich der Daseinsvorsorge (z.B. Elektrizität, Wasser). Kann
aber auch Nicht-Monopolisten einschränken, wenn es eine einheitliche
Marktpraxis gibt, wie wenn z.B. – hypothetisch – generell ein Konto nur dann
eröffnet werden könnte, wenn der
Kunde zuvor in die Nutzung seiner Daten für Werbezwecke eingewilligt hätte.
Datenvermeidung und -sparsamkeit
Generell sind so wenig personenbezogene Daten wie möglich zu nutzen. Personenbezogene Daten sind zu pseudonymisieren oder zu anonymisieren, soweit nicht unverhältnismäßig.
Bleibt trotz erweitertem Anwendungsbereich bloße Zielvorgabe, die nicht
bußgeldbewehrt ist.
Werbung und Adresshandel
Nutzung der Daten mit Einwilligung des
Betroffenen weitgehend unbeschränkt
möglich. Einwilligung kann auch elektronisch, d.h. etwa im Internet, erteilt werden.
Reste der sog. opt-in Lösung. Adresshändler und sonstige Werbetreibende
werden vermehrt über Anreizsysteme
(z.B. Bonusprogramme, Clubmitgliedschaften) nachdenken, um potentielle
Kunden zur Einwilligung zu motivieren.
Ohne (nicht gegen!) Einwilligung des
Betroffenen – und immer vorausgesetzt,
dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen – weiterhin möglich sind z.B:
Rechtssicherheit für alle Werbetreibenden, die Vertragsdaten für Werbezwecke umwidmen möchten.
(a)
Werbung für eigene Angebote:
bestimmte Daten wie Name, Anschrift, Berufsbezeichnung können
genutzt werden, wenn diese bereits im Rahmen eines Vertrags mit
der Person erhoben wurden und
die Erhebung zulässig war; oder
die Daten aus allgemein zugänglichen Verzeichnissen (z.B. Telefonbuch) entnommen wurden.
(b)
Werbung im Hinblick auf die berufliche Tätigkeit eines Betroffenen
Juli 2009
Interessante Möglichkeit der Direktansprache unter der beruflichen Anschrift
Neuerung
Kommentar
und unter seiner beruflichen Anschrift: bestimmte Daten wie Name, Anschrift und Berufsbezeichnung dürfen genutzt und ggf. auch
übermittelt werden.
z.B. für Fachverlage, Büroartikelhersteller, Anbieter von Fachseminaren.
(c)
Werbung für steuerbegünstigte
Spenden: bestimmte Daten wie
Name, Anschrift und Berufsbezeichnung dürfen genutzt und ggf.
auch übermittelt werden
Erlaubt insbesondere als gemeinnützig
anerkannten Organisationen die Nutzung von Daten.
(d)
Generell für Zwecke der Werbung:
bestimmte Daten wie Name, Anschrift und Berufsbezeichnung dürfen übermittelt werden, soweit für
den Betroffenen nachvollziehbar
ist, woher seine Daten kommen
und er der Nutzung effektiv widersprechen kann.
Weitestgehender Erlaubnistatbestand.
Adresshändler, Verlage und sonstige
professionell Werbetreibende können
die Herausgabe von Daten in erster Linie hierauf stützen.
Sog. Beipackwerbung und Empfehlungswerbung sind daneben auch zukünftig möglich.
Markt- und Meinungsforschung
Datenspeicherung muss Aufsichtsbehörde angezeigt werden.
Datennutzung wurde insgesamt gegenüber Werbung privilegiert.
Bußgeldbewehrte Anzeigepflicht trifft
alle Markt- oder Meinungsforschungsunternehmen – auch solche, die dies
zu verschleierter Werbung oder Gewinnspielen einsetzen.
Informationspflicht (Selbstanzeige)
Unternehmen, deren Daten Dritten unrechtmäßig zur Kenntnis gelangt sind
(sei es durch eine unzulässige Übermittlung, ein Sicherheitsleck oder einen Hackerangriff), haben die Aufsichtsbehörde
und die Betroffenen hierüber zu informieren, wenn eine schwerwiegende
Beeinträchtigung droht. Falls eine Information der Betroffenen zu aufwendig ist,
hat eine Veröffentlichung in zwei Tageszeitungen zu erfolgen. Beispiele: Verlust
von Kreditkarten-, Sozialversicherungsoder Krankendaten.
Betrifft uneingeschränkt sämtliche Unternehmen, da jedes Unternehmen
personenbezogene Daten speichert.
Kann erhebliche Aufwendungen verursachen und zu Reputationsschaden
führen.
Neue Regeln zum Datenschutz
5
Neuerung
Kommentar
Gewinnabschöpfung
Geldbußen sollen einen etwaigen wirtschaftlichen Gewinn aus der Verletzung
des Datenschutzrechts übersteigen.
Verstöße gegen das Datenschutzrecht
sollen sich nicht „lohnen“. Die Gewinnabschöpfung ist weder der Höhe nach
noch zeitlich begrenzt!
Ordnungswidrigkeiten und Bußgelder
Ergänzung des Ordnungswidrigkeitskatalogs.
Ordnungswidrigkeiten können zudem
grundsätzlich mit einer Geldbuße bis zu
EUR 50.000 (vorher: bis EUR 25.000)
und, in besonders gelagerten Fällen, bis
zu EUR 300.000 (vorher: EUR 250.000)
geahndet werden.
Ausweitung und Verschärfung der
Sanktionen; insbesondere sind nun
auch die mangelhafte Erteilung eines
Auftrags zur Auftragsdatenverarbeitung und die unzureichende Überwachung des Auftraggebers ordnungswidrig.
Erweiterte Eingriffsbefugnisse der Aufsichtsbehörden
Aufsichtsbehörden dürfen nicht nur weiterhin Bußgelder verhängen, sondern
auch die Beseitigung festgestellter Verstöße anordnen und, bei schwerwiegenden Verstößen, bestimmte Verfahren
untersagen.
Erhebliche Eingriffsbefugnisse in betroffene Unternehmen.
In Kraft treten
Die Änderungen werden zum
1. September 2009 wirksam.
Längere Übergangsfristen gelten für
Markt- und Meinungsforschung (bis
31. August 2010) sowie für die Werbung
(bis 31. August 2012).
Juli 2009
Ergebnis intensiver Lobbyarbeit.
Gesamtbewertung
Ein realistisches Bild der Verschärfungen durch die BDSG Novelle ergibt
sich erst aus der Gesamtschau der folgenden oben genannten Änderungen:
– Informationspflicht (Selbstanzeige) bei unzulässigen Übermittlungen/Datenlecks,
– Erweiterte Eingriffsbefugnisse der Aufsichtsbehörden, und
– Erweiterter Bußgeldrahmen mit möglicher Gewinnabschöpfung.
Das Risiko von negativen (Rechts-) Folgen, die bei Datenschutzverstößen –
insbesondere unzulässigen Übermittlungen – nunmehr realistisch drohen,
hat sich erheblich erhöht; eine Kettenreaktion könnte künftig eintreten:
Selbstanzeige mit entsprechender Öffentlichkeit (Mediatisierung), daraufhin
Untersuchung durch die zuständige Datenschutzaufsichtsbehörde (mit jetzt
erweitertem Eingriffsinstrumentarium) und Verhängung eines Bußgelds mit
im schlimmsten Fall Gewinnabschöpfung auch für die Vergangenheit.
Unternehmen werden angesichts dieses realistisch gewordenen Szenarios
eine Strategie entwerfen müssen, wie sie bei intern festgestellten unzulässigen Übermittlungen oder Datenlecks konkret vorgehen wollen.
Aus Risiko Management Sicht heraus wurden letztlich sowohl der mögliche
Schaden als auch die Eintrittswahrscheinlichkeit von negativen (Rechts-)
Folgen bei Datenschutzverstößen durch die BDSG Novelle erhöht. Verstärkend kommt die seit 2008 zunehmende öffentliche Wahrnehmung und mediale Begleitung bei Datenschutzverstößen großer Unternehmensgruppen
hinzu (Reputationsverlust / Druck auf die Geschäftsleitung).
Juli 2009
Berlin
Linklaters LLP
Potsdamer Platz 5
10785 Berlin
Postfach 30 18 50
10746 Berlin
Tel: (+49) 30 21496-0
Fax: (+49) 30 21496-100
Redakteure:
Düsseldorf
Linklaters LLP
Königsallee 49-51
40212 Düsseldorf
Postfach 10 35 41
40026 Düsseldorf
Tel: (+49) 211 22977-0
Fax: (+49) 211 22977-435
Dr. Daniel Pauly
Dr. Konrad Berger
E-Mail: [email protected]
E-Mail: [email protected]
Diese Veröffentlichung verfolgt ausschließlich den Zweck, bestimmte Themen anzusprechen und erhebt keinen Anspruch
auf Vollständigkeit; diese Veröffentlichung stellt keine Rechtsberatung dar. Sollten Sie weitere Fragen bezüglich der hier
angesprochenen oder hinsichtlich anderer rechtlicher Themen haben, so wenden Sie sich bitte an Ihren Ansprechpartner
bei Linklaters LLP oder an den Herausgeber.
© Linklaters LLP. Alle Rechte vorbehalten 2009
Wichtige Informationen bezüglich unserer aufsichtsrechtlichen Stellung finden Sie unter www.linklaters.com/regulation.
Frankfurt am Main
Linklaters LLP
Mainzer Landstraße 16
60325 Frankfurt am Main
Postfach 17 01 11
60075 Frankfurt am Main
Tel: (+49) 69 71003-0
Fax: (+49) 69 71003-333
Ihre Kontakt-Daten sind in unserer Datenbank gespeichert. Sie werden von unseren verschiedenen internationalen Büros
ausschließlich für interne Zwecke und für diese oder ähnliche Marketing-Aktionen genutzt. Eine Weitergabe an Dritte für
deren Zwecke findet nicht statt. Wenn Sie diese Publikation nicht mehr erhalten möchten oder Ihre Daten nicht korrekt
sind, teilen Sie uns dies bitte per E-Mail an [email protected] mit.
Linklaters ist seit dem 1. Mai 2007 eine Limited Liability Partnership (LLP) englischen Rechts. Die Bezugnahme auf Linklaters in diesem Dokument meint Linklaters LLP und ggf. verbundene Gesellschaften weltweit.
Linklaters LLP ist eine in England und Wales unter OC326345 registrierte Limited Liability Partnership und unterliegt als
Anwaltskanzlei den Bestimmungen der Solicitors Regulation Authority. Der Begriff "Partner" bezeichnet in Bezug auf die
Linklaters LLP Gesellschafter sowie Mitarbeiter der LLP oder der mit ihr verbundenen Kanzleien oder sonstigen Gesellschaften mit entsprechender Position und Qualifikation. Eine Liste der Namen der Gesellschafter der Linklaters LLP und
der Personen, die zwar nicht Gesellschafter sind, aber als Partner bezeichnet werden, sowie ihrer jeweiligen fachlichen
Qualifikation steht am eingetragenen Sitz der Firma in One Silk Street, London EC2Y 8HQ, England, oder unter
www.linklaters.com zur Verfügung. Bei diesen Personen handelt es sich um deutsche oder ausländische Rechtsanwälte,
die an ihrem jeweiligen Standort als nationale, europäische oder ausländische Anwälte registriert sind.
München
Linklaters LLP
Prinzregentenplatz 10
81675 München
Postfach 80 15 20
81615 München
Tel: (+49) 89 41808-0
Fax: (+49) 89 41808-100
8