computerwoche.de

Archiv

Datenschutzgesetz

Die Neuerungen auf einen Blick

08.07.2009
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:

Stärkung des Datenschutzbeauftragten

Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten wird verbessert. Das Gesetz jetzt stellt ihn mit anderen privilegierten Funktionsträgern wie dem Betriebsrat gleich. Damit ist der Datenschutzbeauftragte selbst ein Jahr nach Ausscheiden aus dem Amt vor Kündigung geschützt. Zudem wird ausdrücklich festgelegt, dass er auf Kosten des Unternehmens an Schulungs- und Weiterbildungsmaßnahmen teilnehmen darf.

Unternehmen und die Datenschutzbeauftragten müssen bestimmte Verstöße gegen das Datenschutzrecht aktiv melden und die jeweiligen Betroffenen informieren. Diese Pflicht ist zunächst auf besonders sensible, personenbezogene Daten beschränkt. Darunter fallen Gesundheitsdaten sowie Informationen über Bank- und Kreditkartenkonten. Zudem setzt der Tatbestand eine drohende schwerwiegende Beeinträchtigung von Rechten oder schutzwürdigen Interessen des hiervon Betroffenen voraus. Mit dem BDSG wurde auch Telemedien- und des Telekommunikationsgesetz geändert, so dass auch Service-Provider und Diensteanbieter in der Meldepflicht sind, wenn Bestands- oder Nutzungsdaten unrechtsmäßig übermittelt wurden.

Die zuständigen Stellen sind unverzüglich zu informieren. Sofern sich die Betroffenen nur mit unverhältnismäßigen hohem Aufwand benachrichtigen lassen, können die Unternehmen beziehungsweise Provider auch Anzeigen in zwei bundesweit erscheinenden Tageszeiten schalten oder andere vergleichbare Maßnahmen einleiten. Nur aus Gründen der Strafverfolgung darf die Benachrichtigung zurückgehalten werden. Die Ausnahme zur verzögerten Mitteilung ist bei der Beurteilung entscheidend, ob ordnungswidrig gehandelt wurde und damit Geldbuße zu zahlen ist.

Zehn Punkte für die Auftragsdatenverarbeitung

Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt das BDSG (§ 11 Abs. 2) jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf. Sie müssen in der schriftlichen Auftragserteilung thematisiert werden. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.

Die zehn Punkte lauten:

  • Leistungsumfang der Arbeiten sowie vorübergehende beziehungsweise dauernde Datenspeicherung;

  • Transport- und Versendungsformen des Datenmaterials;

  • klare Kompetenz- und Pflichtenabgrenzung zwischen Auftraggeber und Auftragnehmer;

  • Festlegung über Einzelweisungen durch den Auftraggeber, anweisungsberechtigte Personen des Auftraggebers;

  • Sicherheitsmaßnahmen;

  • Vernichtung und Entsorgung von Schriftstücken und sonstigen Datenträgern;

  • Protokollierung;

  • Maßnahmen beim Verlust von Datenträgern;

  • Einschaltung von Subunternehmen;

  • Kündigungsmöglichkeiten und Vertragsstrafen bei Datenschutzverletzungen.