Zum 01.09.2009 treten einige Änderungen des Bundesdatenschutzgesetzes in Kraft.

Bedingt durch die zahlreichen Datenskandale musste der Gesetzgeber reagieren. Bereits jetzt muss aber festgestellt werden, dass die Änderungen mit Sicherheit nicht weit genug gehen.

Die relevanten Änderungen im Überblick:

• Personenbezogene Daten dürfen grundsätzlich nur nach Einwilligung des Betroffenen weitergegeben werden. Die Einwilligung ist hierbei schriftlich zu dokumentieren. Es genügt hierbei auch eine elektronische Dokumentation. Dies gilt auch für die Nutzung personenbezogener Daten zu Werbezwecken. Es bestehen jedoch zahlreiche Ausnahmen von dieser Verpflichtung, sowie großzügige Übergangspflichten.
• Die Einwilligung des Betroffenen muss auf freiwilliger Basis erfolgen. Ein Vertragsschluss darf nicht von einer Einwilligung in die Datenweitergabe an Dritte abhängig gemacht werden. Als Beispiel sei hier die Bonitätsanfrage bei Wirtschaftsauskunftsdateien genannt, für die allerdings kein genereller Anlass besteht, wenn der Betroffene nicht gegen Vorkasse beliefert wird. In Zukunft wird das "relative Koppelungsverbot" also zwangsläufig mehr Beachtung finden müssen.
• In Grundzügen ist nun zudem ein Arbeitnehmerdatenschutz integriert worden. Hier sind Regelungen für die Datenerhebung im Rahmen der Abwicklung des Beschäftigungsverhältnisses definiert. Weiterhin ist hier auch geregelt, wann Daten zur Aufdeckung von Straftaten erhoben werden dürfen.Letztlich genießt der betriebliche Datenschutzbeauftragte ein Sondernkündigungsrecht. Diesem muss der Arbeitgeber auch Fortbildungsmaßnahmen finanzieren.

Besonders relevant für Unternehmen:

Den Datenschutzaufsichtsbehörden kommen nun deutlich mehr Befugnisse zu. Sie können Maßnahmen (Bestellung eines Datenschutzbeauftragten, Erstellung eines Datenschutzkonzeptes) anordnen, wenn Datenschutzverstöße und/oder technische Mängel (im Rahmen der Datenverarbeitung) festgestellt werden.

Bei Zuwiderhandlungen können weiterhin Bußgelder verhängt werden. In besonders schweren Fällen können sogar einzelne betriebliche Verfahren gänzlich untersagt werden. Einnahmen aus rechtwidriger Datennutzung (Adresshandel) darf bei der Bemessung des Bußgeldes berücksichtigt werden.

Unternehmen sind an dieser Stelle dringend dazu aufgerufen, die Einhaltung der gesetzlichen Regelungen zu überprüfen. Zwar bleibt es abzuwarten, wie die Aufsichtsbehörden mit ihren neuen Möglichkeiten verfahren werden. Unter dem Eindruck der Öffentlichkeit steht es aber zu erwarten, dass hier ein strenges Vorgehen zu erwarten ist.

 Wir weisen an dieser Stelle gerne auf unser entsprechendes Schulungsangebot hin.

Letztlich ist § 11 BDSG, der sich mit der Auftragsdatenverarbeitung beschäftigt, vollständig neu gefasst worden. Die Vorschrift nennt nunmehr insgesamt 10 Punkte, die in einer Vereinbarung zur Auftragsdatenverarbeitung eingehalten werden müssen. Der Auftraggeber muss zudem die Einhaltung der vereinbarten datenschutzrechtlichen Bestimmungen regelmäßig kontrollieren. In welchen zeitlichen Abständen dies zu erfolgen hat, ist noch unklar. Achtung: Ist der Vertrag vor dem 01.09.2009 geschlossen worden, aber die Datenverarbeitung beginnt erst nach diesem Datum, so muss sich der Auftraggeber von der Einhaltung der datenschutzrechtlichen Bestimmungen überzeugen, § 11 Abs. 2 Satz 4 BDSG.

Vorhandene Verträge müssen demnach zwingend geprüft und nachverhandelt werden. Das Gesetz sieht keine Übergangsregelungen vor, so dass alle ab dem 01.09.2009 geschlossenen Verträge dem § 11 BDSG entsprechen müssen. Für Alt-Verträge droht allerdings zumindest kein Bußgeld. Mit einem Bußgeld bedroht sind nur diejenigen Verträge, die nach dem 01.09.2009 geschlossen worden sind.