Nachrichten für Datenschutzbeauftragte

Änderungen des BDSG treten in Kraft

(01.09.2009) • Zum heutigen 1. September treten weitreichende Änderungen des Bundesdatenschutzgesetzes (BDSG) in Kraft. Eine Übersicht über die Änderungen sortiert nach Paragrafen erhalten Sie hier.

Die Novellierung ist zum Teil auf die Datenschutzskandale des letzten Winters zurückzuführen und stellt einen Kompromiss der großen Koalition dar. Während der (Werbe-) Wirtschaft die Änderungen zu weitreichend sind, kritisieren Verbraucherschützer die Neuregelung als unzureichend.

Fakt ist jedoch, dass der neue Gesetzestext zum 1.9. in Kraft tritt. Betriebliche Datenschutzbeauftragte sollten jetzt folgendes überprüfen:

Auftragsdatenverarbeitung:
Enthalten die schriftlichen Verträge alle Angaben, wie sie in § 11 Abs. 2 BDSG gefordert werden? Neue Verträge sind unter Nennung dieser Angaben abzuschließen. Alte Verträge sollten ergänzt werden (wenn dies nicht geschieht, ist jedoch kein Bußgeld vorgesehen). Außerdem hat sich der Auftraggeber beim Auftragnehmer davon zu überzeugen, dass er die technischen und organisatorischen Maßnahmen einhält. Die Kontrollen sind zu dokumentieren (§ 11 Abs. 2 Satz 4 und 5).
Daten für Werbung und Adresshandel:
Personenbezogene Daten dürfen für Werbung und Adresshandel verwendet werden, wenn die neuen Vorschriften des § 28 Abs. 3 bis 4 BDSG beachtet werden. Hier kommt es gegenüber der alten Rechtslage zu Einschränkungen. Wichtig ist insbesondere, dass das Listenprivileg nur noch in den genannten Fällen des Abs. 3 Satz 2 und Satz 4 greift. Demnach sind in vielen Fällen Empfänger und Herkunft von Datenlisten zwei Jahre lang zu dokumentieren.
Diese Regelung gilt vorerst nur für Daten, die nach dem 1.9.2009 erhoben oder gespeichert wurden – für Altdaten kann noch die alte (einfachere) Regel verwendet werden (längstens bis zum 31.8.2012).
Beachten Sie auch, dass in Verträgen ein Hinweis auf die zukünftige Werbung und das Widerspruchsrecht vermerkt sein muss (§ 28 Abs. 4 Satz 2).
neue Rechtsgrundlage für Markt- oder Meinungsforschung:
Wenn das Unternehmen Daten für Zwecke der Markt- oder Meinungsforschung verwendet, dann gilt die neue Rechtsgrundlage des § 30a. Dieser lehnt sich an die bisherige Rechtsgrundlage an (§ 29 a.F.), muss aber im Einzelfall geprüft werden.
Außerdem gilt eine Meldepflicht für die automatisierte Verarbeitung von Daten für Markt- oder Meinungsforschung (§ 4d Abs. 4 Nr. 3).
Rechtsgrundlage für Arbeitnehmerdaten geschaffen:
Für die Daten von Beschäftigten (vgl. Definition in § 3 Abs. 11) wird eine eigene Rechtsgrundlage eingeführt, § 32. Diese Generalklausel löst den bisher meist verwendeten § 28 Abs. 1 Satz 1 Nummer 1 und 2 ab und schränkt ihn leicht ein.
Soweit es um die Aufklärung von Straftaten durch Beschäftigte geht, setzt Absatz 2 Grenzen. Inhaltlich neues ist dort jedoch nicht geregelt, da diese Vorschrift die bisherige Rechtsprechung zusammenfasst.
Daten-Anonymisierung und Pseudonymisierung:
Prüfen Sie, ob unter den personenbezogenen Daten auch solche sind, die anonymisiert oder pseudonymisiert werden können. Denn nach dem neuen Gesetzeswortlaut (§ 3a Satz 2) hat eine Anonymisierung oder Pseudonymisierung zu erfolgen, „soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zum angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“
bei Missbrauch: Selbstanzeige
Nach § 42a sind Aufsichtsbehörde und Betroffene zu benachrichtigen, wenn sensible Daten unrechtmäßig an Dritte gelangen.

[ zurück ]