Datenschutz:
 Übersicht
Nachrichten
BDSG Basics …
Externer
Datenschutzbeauftragter
Datenschutz-Beratung
Wissen:
• Benötigen Sie einen
Datenschutzbeauftragten?
• Voraussetzungen an einen
Datenschutzbeauftragten
• Aufgaben des
Datenschutzbeauftragten
• Glossar
• Gesetze
• Aufsichtsbehörden
• Links
|
Nachrichten für Datenschutzbeauftragte
 |
Bundesdatenschutzgesetz ab 1. April: Die wichtigsten Gesetzesänderungen |
(30.03.2010) •
Kein Aprilscherz: Am 1. April 2010 treten die nächsten Änderungen im Bundesdatenschutzgesetz in Kraft. Es handelt sich dabei um die „Datenschutz-Novelle I“ (BT-Drs. 16/13219), die bereits im letzten Mai vom Bundestag verabschiedet wurde und nun nach einer fast einjährigen Übergangszeit geltendes Recht wird.
Die neuen Regeln betreffen in erster Linie das so genannte (Bonitäts-) Scoring.
Eine Übersicht über die wichtigsten Änderungen:
- Keine Benachteiligung bei Wahrnehmung der Datenschutzrechte:
Macht ein Betroffener seine Rechte geltend (z.B. Auskunft, Löschung), darf diese Tatsache nicht mehr zu anderen Zwecken verwendet und negativ vermerkt werden (§ 6 Abs. 3 und § 35 Abs. 4a BDSG).
- Scoring:
Wenn eine mathematisch-statistische Wahrscheinlichkeitsberechung eingesetzt wird, die ein bestimmtes zukünftiges Verhalten von Betroffenen vorhersagen soll (insbesondere Bonitätsscoring), dann sind folgende spezielle Regelungen zu beachten:
- Voraussetzungen für ein Scoring:
Ein Scoring ist nur noch in den Fällen des neuen § 28b BDSG zulässig. Demnach müssen die Einzeldaten, die in eine Scoringberechnung einfließen, „erheblich“ sein, diese Daten müssen legal und „sauber“ sein und es dürfen nicht ausschließlich Anschriftendaten verwendet werden. Wenn Anschriftendaten mit einfließen sollen, ist der Betroffene vorher darüber zu unterrichten, so dass er ggf. einen Vertragsabschluss vermeiden kann.
- Auskunftsrechte der Betroffenen:
Wenn Scoringwerte im Spiel sind, hat der Betroffene weit reichende Auskunftsrechte (§ 35 BDSG) – und zwar gegenüber der Stelle, welche Scoringwerte verwendet (also zum Beispiel der Online-Händler) als auch der Stelle, welche Scoringwerte berechnet und anderen Stellen anbietet (z.B. Schufa).
Der Betroffene darf dort insbesondere erfragen
- die Wahrscheinlichkeitswerte, die dort in den letzten sechs bzw. zwölf Monaten erhoben oder erstmals gespeichert wurden
- an wen diese Werte gegebenenfalls übermittelt wurden
- welche Datenarten zur Berechnung genutzt wurden
- wie der Scorewert zustande kommt und was er im Einzelfall bedeutet (beispielsweise welcher Punktwert als „gut“ oder „schlecht“ anzusehen ist). Die mathematische Berechnung muss jedoch nicht offenbart werden.
Die Auskunft ist in der Regel schriftlich zu erteilen (wobei hier auch eine Auskunft per E-Mail zulässig ist). Zudem muss sie kostenlos erfolgen. Eine Ausnahme gilt für Auskünfte bei der Schufa und andere Stellen, die Daten geschäftsmäßig zum Zweck der Übermittlung speichern: Hier ist nur die erste Eigenauskunft pro Kalenderjahr kostenfrei.
- Bei Absage an den Antragsteller aufgrund einer automatisierten Scoringentscheidung:
Auf Verlangen müssen die wesentlichen Gründe dieser Entscheidung mitgeteilt und erläutert werden (§ 6a Abs. 2 Nr. 2 BDSG).
- Datenübermittlung von Zahlungsausfällen:
Eine Übermittlung von Daten über Zahlungsausfälle an Auskunfteien (wie Schufa oder Creditreform) ist nur noch zulässig, wenn eines der Merkmale des neuen § 28a Abs. 1 Nr. 1 bis 5 BDSG vorliegt (z.B. erst, wenn ein rechtskräftiges Urteil vorliegt oder wenn der Betroffene die Forderung ausdrücklich anerkannt hat).
Nachträgliche Tatsachenänderungen (z.B. Schuldenrückzahlung) sind an die Auskunftei nachzumelden, und zwar so lange, wie die Auskunftei die Daten gespeichert hat.
- Datenübermittlung bei Bankgeschäften:
Banken und Kreditinstitute werden ermächtigt, Angaben über Vertragsabschlüsse an Auskunfteien weiterzuleiten (Abschlüsse von Darlehensverträgen, Ausgabe von Kreditkarten etc.). Dazu bedurfte es bisher der Einwilligung der Betroffenen.
Voraussetzung ist allerdings dass der Betroffene auf die geplante Datenübermittlung schon vor dem Vertragsabschluss mit dem Kreditinstitut aufmerksam gemacht wird (und so ggf. einen Vertragsabschluss vermeiden kann) und dass der Betroffene kein höherwertiges schutzwürdiges Interesse an der Nicht-Übermittlung besitzt.
Auch hier besteht für die Kreditinstitute eine Pflicht zur Nachmeldung, wenn nachträglich Tatsachen bekannt werden (§ 28a Absatz 3 BDSG).
Außerdem kann der Betroffene verlangen, dass nach Vertragsbeendigung alle diesbezüglichen Daten zu löschen sind (§ 35 Absatz 2 Satz 3).
- Automatisierte Abrufverfahren: Prüfung der Berechtigung:
Für automatisierte Abrufverfahren (§ 10 BDSG) erfolgt eine gesetzliche Klarstellung:
Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt nach wie vor der Abrufende. Neu ist jedoch nach § 29 Absatz 2 Satz 5 BDSG, dass eine geschäftsmäßig speichernde Stelle (Auskunftei oder Adresshändler) nicht nur stichprobenhaft die Abrufe von Dritten zu kontrollieren hat, sondern dabei auch das Vorliegen des berechtigten Interesses einzelfallbezogen feststellen und überprüfen muss.
- Kennzeichnung geschätzter Daten:
Sofern Schätzdaten vorliegen, muss ersichtlich sein, dass es sich nicht um Fakten handelt (§ 35 Absatz 1 Satz 2 BDSG). Dies kann beispielsweise durch ein zusätzliches Feld in Software-Eingabemasken geschehen. Dies dient dem Schutz des Betroffenen, weil so keine Vermutungen über ihn als Fakten verbreitet werden können.
- Gesetzliche Prüffrist für Datenlöschung verkürzt:
Auskunfteien und Adresshändler, die Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten, müssen Daten über erledigte Sachverhalte früher löschen: Die routinemäßige Löschung muss nicht erst nach vier, sondern bereits nach drei Jahren erfolgen, soweit der Betroffene nicht widerspricht (§ 35 Absatz 2 Satz 2 Nr. 4).
Quelle: DEMAL GmbH
[ zurück ]
|
|
