In dem überarbeiteten Gesetz, das noch am 10. Juli 2009 von Bundesrat ratifiziert werden muss, werden unter anderem die Rechte der Arbeitnehmer und des betrieblichen Datenschutzbeauftragten gestärkt sowie neue Bestimmungen zum Adresshandel eingeführt. Gleichzeitig werden die Befugnisse der Datenschutzbehörden erweitert. Die inzwischen auch personell aufgestockten Datenschutzbehörden sind nunmehr zusätzlich ermächtigt, unzulässige Datenverarbeitungen zu untersagen, wenn diese trotz Aufforderung nicht beseitigt werden. Dabei wurden auch die bei Verstößen gegen das BDSG zu verhängenden Bußgelder erhöht.
Die ursprünglich geplante Einführung eines "Datenschutzaudits", nach dem Unternehmen ihre Datenschutzkonzepte und internen Prozesse sowie technische Einrichtungen prüfen und mit einem speziellen Siegel kennzeichnen lassen können, ist dagegen zunächst einmal aufgeschoben. Zunächst soll in einer noch näher zu bezeichnenden Branche ein dreijähriges Modellprojekt betrieben werden.
Arbeitnehmer werden besser geschützt
Mit dem neuen Gesetz werden zunächst die Rechte der Arbeitnehmer weiter gestärkt. Damit reagiert der Gesetzgeber auf die zahlreichen Datenschutzskandale der letzten Zeit. Die Gesetzesbegründung weist zudem ausdrücklich darauf hin, dass die Neuregelungen weder ein Arbeitnehmerdatenschutzgesetz entbehrlich machen noch inhaltlich etwas vorwegnehmen.
Die Neuregelung schränkt die Recherchemöglichkeiten der Arbeitgeber ein. Weder IT-gestützte Massen-Screenings (etwa bei konkreten Verdachtsmomenten) noch andere rein präventive Maßnahmen (etwa zur Korruptionsbekämpfung, wenn personenbezogene Daten involviert sind) sind künftig zulässig. Zudem gelten schärfere Bedingungen, wenn Detekteien oder anderer spezialisierte Unternehmen eingeschaltet werden. Der Gesetzgeber hat die Anforderungen an die Verträge zur Auftragsdatenverarbeitung verschärft und gleichzeitig Sanktionen für Verstöße eingeführt.
Grundsätzlich erlaubt das Bundesdatenschutzgesetz den Arbeitgebern zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses Daten zu erheben. Die neue Fassung des BDSG sagt jedoch konkret bei welchen Tatbeständen eine Kontrolle erlaubt sind. Nur wenn es einen konkreten Verdacht gibt, dass ein Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat, darf ein Arbeitgeber etwaigen Rechtsverstößen nachgehen, indem er die E-Mails kontrolliert. Die Anhaltspunkte, die den Verdacht begründen, müssen dokumentiert werden.
Der Gesetzgeber hält die Unternehmen an, genau abzuwägen und die Verhältnismäßigkeit zu wahren. Sowohl Art und Schwere der Straftat sowie Intensität des Verdachts sollen Beachtung finden. Damit untermauert das Gesetz die Bedeutung des erst kürzlich geschaffene "IT-Grundrecht", das das allgemeine Persönlichkeitsrecht unter anderem von Arbeitnehmern stärkt. Unterm Strich sind die Unternehmen künftig aufgefordert, den Sachverhalt intensiv zu ermitteln, bevor sie Kontroll- und Überwachungsmaßnahmen einleiten. Sie dürfen nur dann tätig werden, wenn sich der Verdacht auf den jeweiligen Betroffenen konkretisiert hat.
Stärkung des Datenschutzbeauftragten
Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten wird verbessert. Das Gesetz jetzt stellt ihn mit anderen privilegierten Funktionsträgern wie dem Betriebsrat gleich. Damit ist der Datenschutzbeauftragte selbst ein Jahr nach Ausscheiden aus dem Amt vor Kündigung geschützt. Zudem wird ausdrücklich festgelegt, dass er auf Kosten des Unternehmens an Schulungs- und Weiterbildungsmaßnahmen teilnehmen darf.
Unternehmen und die Datenschutzbeauftragten müssen bestimmte Verstöße gegen das Datenschutzrecht aktiv melden und die jeweiligen Betroffenen informieren. Diese Pflicht ist zunächst auf besonders sensible, personenbezogene Daten beschränkt. Darunter fallen Gesundheitsdaten sowie Informationen über Bank- und Kreditkartenkonten. Zudem setzt der Tatbestand eine drohende schwerwiegende Beeinträchtigung von Rechten oder schutzwürdigen Interessen des hiervon Betroffenen voraus. Mit dem BDSG wurde auch Telemedien- und des Telekommunikationsgesetz geändert, so dass auch Service-Provider und Diensteanbieter in der Meldepflicht sind, wenn Bestands- oder Nutzungsdaten unrechtsmäßig übermittelt wurden.
Die zuständigen Stellen sind unverzüglich zu informieren. Sofern sich die Betroffenen nur mit unverhältnismäßigen hohem Aufwand benachrichtigen lassen, können die Unternehmen beziehungsweise Provider auch Anzeigen in zwei bundesweit erscheinenden Tageszeiten schalten oder andere vergleichbare Maßnahmen einleiten. Nur aus Gründen der Strafverfolgung darf die Benachrichtigung zurückgehalten werden. Die Ausnahme zur verzögerten Mitteilung ist bei der Beurteilung entscheidend, ob ordnungswidrig gehandelt wurde und damit Geldbuße zu zahlen ist.
Zehn Punkte für die Auftragsdatenverarbeitung
Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt das BDSG (§ 11 Abs. 2) jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf. Sie müssen in der schriftlichen Auftragserteilung thematisiert werden. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.
Die zehn Punkte lauten:
-
Leistungsumfang der Arbeiten sowie vorübergehende beziehungsweise dauernde Datenspeicherung;
-
Transport- und Versendungsformen des Datenmaterials;
-
klare Kompetenz- und Pflichtenabgrenzung zwischen Auftraggeber und Auftragnehmer;
-
Festlegung über Einzelweisungen durch den Auftraggeber, anweisungsberechtigte Personen des Auftraggebers;
-
Sicherheitsmaßnahmen;
-
Vernichtung und Entsorgung von Schriftstücken und sonstigen Datenträgern;
-
Protokollierung;
-
Maßnahmen beim Verlust von Datenträgern;
-
Einschaltung von Subunternehmen;
-
Kündigungsmöglichkeiten und Vertragsstrafen bei Datenschutzverletzungen.
Adresshandel wird erschwert
Das neue BDSG sieht Beschränkungen im Bereich Adresshandel und Werbung vor, denen allerdings großzügige Ausnahmen und Übergangsfristen (zum Teil bis zum 31. August 2012) gegenüberstehen. Unternehmen müssen danach künftig grundsätzlich eine qualifizierte Einwilligung der Verbraucher einholen, bevor sie deren Daten weitergeben. Sie müssen zudem die Empfänger von Werbeschreiben auch darüber informieren, woher diese Daten ursprünglich stammen. Dies soll eine Überprüfung der Rechtmäßigkeit von Datenerhebung und anschließender Verarbeitung ermöglichen.
Erfreulicherweise ist das so genannte Listenprivileg, nach dem bestimmte listenmäßig oder sonst zusammengefasste Daten auch ohne Einwilligung verarbeitet werden können, mit Einschränkungen erhalten geblieben. Dazu zählt etwa die Geschäftswerbung: Es ist ohne Einwilligung erlaubt, Betroffenen im Rahmen ihrer beruflichen Tätigkeit an deren Geschäftsadresse Werbung zu senden, auch wenn diese bislang noch nicht zum Kundenstamm gehörten (geschäftliche Neukundenakquise). Weitere Ausnahmen gelten für den Bereich der Bewerbung von Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach näher definierten Transparenzgeboten.
Wie bisher darf der Nutzung allerdings kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegenstehen. Das entgegenstehende Interesse wird regelmäßig angenommen, wenn der Empfänger beispielsweise nach der erforderlichen Aufklärung über sein Recht zum Widerspruch dem Erhalt der Werbung widersprochen hat.
Kommentar und Ausblick
Trotz dieser Reform sind die gesetzgeberischen Aktivitäten zur Neuregelung des Datenschutzrechtes noch nicht abgeschlossen. Eine Arbeitsgruppe der Bundesressorts prüft derzeit weiteren Handlungsbedarf und wird möglicherweise noch vor der nächsten Bundestagswahl weitere Entwürfe für ein umfassendes Arbeitnehmerdatenschutzgesetz vorlegen. Die bislang zum Schutz der Arbeitnehmer erlassenen Regelungen dürften zu zahlreichen Konflikten mit etablierten Abläufen im Unternehmen führen. So werden durch das neue Gesetz, das in großen Teilen bereits ab Anfang September 2009 gilt, präventive und etwa im Rahmen der Korruptionsbekämpfung möglicherweise sogar notwendige Maßnahmen unterbunden. Ein angemessener Ausgleich zwischen Arbeitnehmer- und Arbeitgeberinteressen ist mit diesem Verbot jedoch noch nicht gefunden. Zudem sind die Unternehmen aufgerufen, ihre internen Datenschutz-Vorgänge auf den Prüfstand zu stellen, um dem novellierten Datenschutzgesetz und den nunmehr etablierten Mitteilungspflichten sowie den Anforderungen an die schriftliche Fixierung der Auftragsdatenverarbeitung nachzukommen.