Ab Juli gültig

Neues Datenschutzrecht nimmt Unternehmen in die Pflicht

Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.
Das voraussichtlich zum Juli dieses Jahres aktualisierte Datenschutzgesetz fordert von den Betrieben veränderte Strukturen.
Foto: Pixelio/geralt

Nicht nur sorglose Urlauber oder deutsche Steuerfahnder kaufen CDs aus dubiosen Quellen im Ausland. Auch kriminelle Banden verschaffen sich Zugang zu Speichermedien mit umfangreichen Adress- und Kontodaten. Oftmals resultieren Datenverluste auch aus reiner Nachlässigkeit. Nun sollen neue Compliance-Vorschriften den Datenschwund eindämmen und die Bürger schützen. Für zahlreiche Unternehmen heißt das: Sie müssen neue Strukturen schaffen!

Am 10. Dezember 2008 hat die Bundesregierung den "Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits" beschlossen. Der Entwurf wurde am 13. Februar 2009 im Bundesrat beraten und soll nach aktueller Planung bereits im Juli 2009 in Kraft treten.

Die wichtigsten Änderungen

In diesen Punkten unterscheidet sich die BDSG-Novelle vom bislang gültigen Datenschutzrecht:

  • Informationspflicht bei Datensicherheitsverletzungen: Sollte ein Unternehmen personenbezogene Daten verlieren, sprich: sollten unbefugte Dritte Kenntnis davon erlangen, so muss die betreffende Organisation die zuständige Aufsichtsbehörde sowie ihre Kunden unaufgefordert informieren. Wenn die individuelle Information aller potenziell Betroffenen aufgrund der Vielzahl von Personen nicht möglich ist, ist es unabdingbar, dass die Allgemeinheit von der Datenschutzverletzung erfährt.

  • Abschaffung des Listenprivilegs zur Werbenutzung von Daten: Personenbezogene Daten dürfen künftig nur noch dann zu Werbezwecken an Dritte weitergegeben werden, wenn der Betroffene ausdrücklich zustimmt. Eine allgemeine Zustimmung in den AGB genügt nicht. Es gilt eine Übergangsfrist von drei Jahren. (Siehe auch: "Datenschutz: Der BVDW wird aktiv".)

  • Allgemeines Koppelungsverbot: Der Abschluss eines Vertrags darf nicht von einer Einwilligung des Kunden in eine Verwendung seiner Daten zu Werbezwecken abhängig gemacht werden. Diese Verpflichtung gilt allerdings nur für Monopolanbieter.

  • Erweiterung der Bußgeldtatbestände samt Gewinnabschöpfung: Der Bußgeldrahmen bei Datenschutzverstößen wird angehoben. Bei Verletzungen von Verfahrensvorschriften steigt er auf 50.000 Euro (derzeit 25.000 Euro), für Verstöße gegen materielle Datenschutzbestimmungen auf 300.000 Euro (derzeit 250.000 Euro). Liegt der wirtschaftliche Vorteil, den das Unternehmen durch die Verstöße erlangt, über diesen Beträgen, so können die Bußgelder entsprechend steigen.

  • Einführung eines freiwilligen Datenschutzaudits: Das eigenständige Datenschutzauditgesetz (DSAG-E) soll es den Unternehmen ermöglichen, unter bestimmten Voraussetzungen ein behördliches Qualitätssiegel für ein Datenschutzkonzept oder eine technische Einrichtung zu erwerben.