Stärkung des Datenschutzbeauftragten
Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten wird verbessert. Das Gesetz jetzt stellt ihn mit anderen privilegierten Funktionsträgern wie dem Betriebsrat gleich. Damit ist der Datenschutzbeauftragte selbst ein Jahr nach Ausscheiden aus dem Amt vor Kündigung geschützt. Zudem wird ausdrücklich festgelegt, dass er auf Kosten des Unternehmens an Schulungs- und Weiterbildungsmaßnahmen teilnehmen darf.
Unternehmen und die Datenschutzbeauftragten müssen bestimmte Verstöße gegen das Datenschutzrecht aktiv melden und die jeweiligen Betroffenen informieren. Diese Pflicht ist zunächst auf besonders sensible, personenbezogene Daten beschränkt. Darunter fallen Gesundheitsdaten sowie Informationen über Bank- und Kreditkartenkonten. Zudem setzt der Tatbestand eine drohende schwerwiegende Beeinträchtigung von Rechten oder schutzwürdigen Interessen des hiervon Betroffenen voraus. Mit dem BDSG wurde auch Telemedien- und des Telekommunikationsgesetz geändert, so dass auch Service-Provider und Diensteanbieter in der Meldepflicht sind, wenn Bestands- oder Nutzungsdaten unrechtsmäßig übermittelt wurden.
Die zuständigen Stellen sind unverzüglich zu informieren. Sofern sich die Betroffenen nur mit unverhältnismäßigen hohem Aufwand benachrichtigen lassen, können die Unternehmen beziehungsweise Provider auch Anzeigen in zwei bundesweit erscheinenden Tageszeiten schalten oder andere vergleichbare Maßnahmen einleiten. Nur aus Gründen der Strafverfolgung darf die Benachrichtigung zurückgehalten werden. Die Ausnahme zur verzögerten Mitteilung ist bei der Beurteilung entscheidend, ob ordnungswidrig gehandelt wurde und damit Geldbuße zu zahlen ist.
Zehn Punkte für die Auftragsdatenverarbeitung
Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt das BDSG (§ 11 Abs. 2) jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf. Sie müssen in der schriftlichen Auftragserteilung thematisiert werden. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.
Die zehn Punkte lauten:
-
Leistungsumfang der Arbeiten sowie vorübergehende beziehungsweise dauernde Datenspeicherung;
-
Transport- und Versendungsformen des Datenmaterials;
-
klare Kompetenz- und Pflichtenabgrenzung zwischen Auftraggeber und Auftragnehmer;
-
Festlegung über Einzelweisungen durch den Auftraggeber, anweisungsberechtigte Personen des Auftraggebers;
-
Sicherheitsmaßnahmen;
-
Vernichtung und Entsorgung von Schriftstücken und sonstigen Datenträgern;
-
Protokollierung;
-
Maßnahmen beim Verlust von Datenträgern;
-
Einschaltung von Subunternehmen;
-
Kündigungsmöglichkeiten und Vertragsstrafen bei Datenschutzverletzungen.