Änderungen im Bundesdatenschutzgesetz

Am 1.9.2009 treten Änderungen im Bundesdatenschutzgesetz in Kraft – nur welche? Die letzten Monate waren gezeichnet von einem waren Wirr-Warr der Ideen, Gesetzentwürfe und Kompromisse. Entsprechend groß sind Unsicherheit und Unkenntnis bei Betroffenen und auch verarbeitenden Stellen. Ich versuche, in aller Kürze ein wenig Licht ins Dunkel zu bringen.

Das Bundesdatenschutzgesetz, so wie es bisher gilt, gilt auch weiterhin. Es wird in Details geändert, im Großen und Ganzen bleibt es aber grundsätzlich bei den Regelungen, wie sie Verbraucher und kleinere Unternehmen kennen. Soviel einfach vorab.

Bei den anstehenden Änderungen gibt es ganze drei Pakete, die man kennen muss – und die alle drei verschiedene Zeitpunkte haben, zu denen sie in Kraft treten. Somit steht schon jetzt fest, dass von jetzt an in den nächsten Monaten das BDSG stetigen Änderungen unterworfen ist. Die Änderungen wurden im Bundesgesetzblatt verkündet, ich weise hier darauf hin:

1. BGBl. I Nr. 54, S. 2814, Inkrafttreten: 1.9.2009 (bzw. 1.4.2010 in Artikel 5, Satz 2 als Ausnahme für einzelne Regelungen)
2. BGBl. I Nr. 48, S. 2254, Inkrafttreten: 1.4.2010
3. BGBl. I Nr. 49, S. 2355, Artikel 5, Inkrafttreten: 11.6.2010

[Hinweis: die Verlinkung auf das Bundesgesetzblatt online erfolgte mit freundlicher Genehmigung des Bundesanzeiger Verlags.]

Man sieht schon: Ein wahres Chaos alleine bei den Daten für das Inkrafttreten. Wer sich aber mit der obigen Liste in Ruhe beschäftigt und der Reihe nach die Gesetzblätter liest, versteht schnell was gemacht wird. Ich spreche es daher nun nur sehr kurz an und konzentriere mich auf die Änderungen, die nicht den professionellen Adresshandeln betreffen. Bei professionellen Adresshändlern bzw. Adressverarbeitern im Auftrag verbleibe ich bei dem allgemeinen Hinweis, dass man wohl sämtliche bisherigen Formulare und Verträge überarbeiten muss – sofern dies nicht längst geschehen ist, was ja der Fall sein sollte.

Datum: 1.9.2009

Die Änderungen sind im Wesentlichen von dem Versuch gekennzeichnet, den massenhaften Handel mit personenbezogenen Daten einzuschränken, so etwa im neuen Absatz 3 des §28. Insofern sind kleinere Unternehmen, die Daten nur zur Vertragsbearbeitung erheben, nicht wirklich betroffen. Interessant ist sicherlich die Änderung des §28 I Nr.1 BDSG, die inhaltlich eine Konkretisierung ist und auf Grund derer man seine Datenschutzklauseln nochmals kurz gegenprüfen sollte. Interessant sind auch die neuen Absätze 3a und 3b: Bei einer nicht schriftlich erteilten Einwilligung (etwa fernmündlich), ist diese schriftlich zu bestätigen. Ebenso interessant ist die teilweise aus dem TMG übernommene Regelung in Absatz 3b, die eine Koppelung von Vertragsschluss und Einwilligung stark einengt. Auch hier ergibt sich Prüfungsbedarf für bereits vorhandene Datenschutzklauseln.

Sinnvoll ist die Änderung, dass der Widerspruch nicht an strengere Formvorschriften als die Begründung des Rechtsverhältnisses gebunden werden darf. Sprich: Bei einem mündlichen Vertrag ist ein Hinweis auf einen zwingend schriftlichen Widerspruch (nach Datenschutzrecht!), etwa via AGB, nicht mehr möglich.

Arbeitgeber sollten sich im Bundesgesetzblatt den §32 BDSG durchlesen, der neu geschaffen wird und neue Regelungen für das Beschäftigungsverhältnis schafft. Speziell die Regelungen zur Aufdeckung von Straftaten (“Ausspionieren von Mitarbeitern”) dürfen nicht unterschätzt werden – auch wenn es nur 1–2 Sätze sind. Generell gilt: Wer in diesem Bereich als Arbeitgeber tätig ist, sollte niemals ohne juristische und datenschutzrechtliche Beratung “auf eigene Faust” tätig werden!

Für Betroffene sind die Änderungen des §34 BDSG wichtig (treten allerdings erst zum 1.4.2010 in Kraft da hier eine Sonderregelung vorgesehen wurde): Einmal die Tatsache, dass die verarbeitende Stelle für mindestens 2 Jahre speichern muss, woher sie die Daten erhalten hat – und darüber Auskunft geben muss. Hinzu kommt der Absatz 5, der klar stellt, dass die Daten die zur Auskunftserteilung mitgeteilt werden, auch nur hierzu verwendet werden dürfen.

Interessant wird dann noch etwas anderes: Im neuen §42a BDSG wird eine Informationspflicht normiert – sollte die verarbeitende Stelle Kenntnis erlangen, dass personenbezogene Daten aus illegalen Quellen stammen, besteht u.U. (nicht immer) eine Informationspflicht der Stelle in Richtung Aufsichtsbehörde, aber auch gegenüber den Betroffenen. Dabei sind evt. sogar öffentliche Bekanntmachungen nötig. Das Ganze wird dann noch durch Änderungen im TMG und TKG auf Diensteanbieter übertragen. Also gilt dies letztlich auch für Webseitenbetreiber, selbst wenn diese Privatpersonen sind, da das TMG – anders als das BDSG – keine Privilegierung des privaten Bereichs kennt.

Die unübersichtlichen Regeln zum Inkrafttreten werden durch den neuen §47 BDSG dann nochmal verkompliziert: Der neue §28 BDSG gilt nicht direkt für alle gleich. Im Bereich der Meinungs– und Markforschung gilt der neue §28 BDSG erst ab dem 1.9.2010, im Bereich der Werbung sogar erst ab dem 1.9.2012. Hinsichtlich der Tatsache, dass diese Regelung aber nur für Daten besteht, die vor dem 1.9.2009 erhoben wurden, wird man eine saubere und kontrollierbare Spaltung der Datenbanken einrichten müssen.

Datum: 1.4.2010

Bei diesen Änderungen – es geht vor allem um die Schaffung der neuen §§28a, 28b BDSG sowie um erneute Änderungen am §34 BDSG – geht es darum, das Scoring– und Auskunfteisystem transparenter zu machen. Der Blick in das BGBl. macht leider deutlich, das zumindest der Gesetzestext, speziell der §34 BDSG, wahrscheinlich keinem normalen Bürger mehr frei zugänglich sein wird. Dabei ist die Intention eine sehr gute: Es wird endlich gesetzlich geregelt, wann Datenübermittlungen an Auskunfteien erlaubt sind, es gibt einen groben Rahmen für die statistischen Methoden und der Betroffene erhält einen Anspruch auf Einblick in das Scoringsystem zu seinem Wert.

Datum: 11.6.2010

Hier geht es eigentlich nur um die Beseitigung von Hindernissen innerhalb der EU: Kreditgeber aus dem europäischen Ausland erhalten einen gesetzlichen Anspruch auf Gleichbehandlung bei Anfragen. Allerdings erhält der Verbraucher ein zusätzliches Recht: Sollte eine Anfrage eines Kreditgebers negativ beantwortet werden von der Auskunftei, muss dem Verbraucher eine schriftliche Stellungnahme parallel übermittelt werden.

Fazit: Das “große” Paket kommt in der Tat am 1.9.2009. Mit obigen Hinweisen und Links sollten Unternehmen bestehende Einwilligungsvereinbarungen und AGB prüfen und ggfs. anpassen. Weiterhin sollten – gerade kleinere Unternehmen – nochmals genau prüfen, ob sie nicht schon längst einen Datenschutzbeauftragten bestellen müssen und dies bisher versäumt haben.