Recht & Steuern
Exklusive Informationen rund ums Recht im Internet, sowie aktuelle Steuertipps.

Bundesdatenschutzgesetz Teil 2

BDSG-Novelle und die Änderungen Teil 2

Expertentipps | 27.07.2009

Eine Übersicht über die wichtigsten Änderungen

Vorab lesen Sie eine Übersicht der wichtigen Änderungen

- Neuer Kündigungsschutz für interne Datenschutzbeauftragte

- Listenprivileg- und Einwilligungslösung laufen parallel

bitte im Teil 1 nachlesen

- Neu: Melde- und Informationspflicht an Behörden und Betroffene bei Datenschutzpannen

- Arbeitnehmerdatenschutz: Massenscreening, z.B. Videoüberwachung oder Datenabgleich nur bei begründetem Verdacht

- Erweitere Bußgeldtatbestände

- Aufwertung der Aufsichtsbehörden für den Datenschutz

- Mehr Organisationsaufwand bei der Auftragsdatenverarbeitung

- Deutlich mehr Auskunftspflichten gegenüber Betroffenen

- Kennzeichnungspflichten

3. Benachrichtigungspflicht (Selbstanschwärzung) bei Datenschutzpannen, so der neue § 42 a BDSG

Störungsmeldungen und Meldungen über eigene Defizite kennt das deutsche Recht vor allem im Bereich Produkthaftung und Produktsicherheit. Neu ist die Regelung im Datenschutzrecht.

Daten-Lecks sind unter bestimmten Umständen an die Betroffenen zu melden, gleichermaßen an Datenschutzaufsichtsbehörden

Voraussetzungen für eine Benachrichtigung:

- Daten wurden unrechtmäßig übermittelt oder sind sonst Dritten unrechtmäßig zur Kenntnis gelangt.

- Bei den Daten handelt es sich um "sensible" Daten, also Daten nach § 3 Abs. 9 BDSG, Daten von Berufsgeheimnisträgern, Daten mit Bezug zu strafbaren Handlungen oder Daten von Bank- oder Kreditkartenkonten (mit letzteren erhöht sich der Adressatenkreis der Regelung enorm)

- Rechte oder schutzwürdige Interessen von Betroffenen werden schwerwiegend bedroht

Folge:

Sie sind verpflichtet, Information über die Datenschutzpanne den Aufsichtsbehörden und Betroffenen zu melden, dies unverzüglich, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird.

Enthalten muss die Meldung folgendes: Die Art, Verletzung und Empfehlung von Maßnahmen zur Minderung (evtl. auch über zwei überregionale Tageszeitungen), gegenüber der Aufsichtsbehörde, welche Folgen zu erwarten sind und ergriffene Maßnahmen

4. Arbeitnehmerdatenschutz

Hier sind nur wenige Regelungen geschaffen worden, die im Grunde Richterrecht jetzt im Gesetzeswortlaut wiedergeben. Es wurde versucht, die Problematik einzufangen, wie Mitarbeiterüberwachung über Videoaufzeichnung und Datenmonitoring im Rahmen von Korruptionsbekämpfung legitimiert werden kann. Das Ergebnis sind weitere unbestimmte Rechtsbegriffe die erst wieder von der Rechtssprechung mit Leben gefüllt werden müssen.

Der neue §32 BDSG beschäftigt sich mit der Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. Wesentlich ist folgende Regelung:

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

5. Neue Bußgeldtatbestände

Überraschend ist die deutliche Ausweitung der Bußgeldtatbestände, weniger die Erhöhung der Bußgelder.

Ordnungswidrig im Sinne des Bundesdatenschutzgesetzes handelt die verantwortliche Stelle, wenn

- im Rahmen von automatisierten Abrufverfahren (z.B. über browserbasierte Downloadportale) nicht gewährleistet wird, dass die Datenübermittlung festgestellt und überprüft werden kann,

- im Rahmen der Auftragsdatenverarbeitung, und dies betrifft jedes Unternehmen in Deutschland, ein Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder die verantwortliche Stelle, die als Auftraggeber fungiert, sich nicht vor Beginn der Datenverarbeitung über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,

- Auskunftsverpflichtungen gegenüber den Betroffenen nicht erfüllt werden

- die Bereitstellung einer Leistung von der Überlassung personenbezogener Daten abhängig machen (Kopplungsverbot)

- entgegen einem von Kunden erklären Werbewiderspruch Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung weiter verarbeitet oder nutzt

- die Verpflichtung zur Meldung von Datenschutzpannen nicht erfüllt werden

6. Aufwertung der Aufsichtsbehörden

Stellen Sie sich auf umtriebige Aufsichtsbehörden ein. In den letzten Jahren wurden nur Schwerpunktprüfungen durchgeführt. Jetzt ist teilweise die Personalstärke erhöht worden, dazu kommen weitere Befugnisse nach der Gesetzesnovellierung:

- Aufsichtsbehörden dürfen jetzt Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.

- Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.

7. Auftragsdatenverarbeitung

Sie sind mit hoher Wahrscheinlichkeit Auftraggeber einer Auftragsdatenverarbeitung. Dies beginnt bei Outsourcing von IT-Dienstleistungen, Lohnbuchhaltung und endet erst nach de Datenträgerentsorgung.

Bisher bestanden Empfehlungen von Behörden hinsichtlich einer Vertragsgestaltung mit den Auftragnehmern.

Die neue Rechtslage sieht ab 1.9.2009 verpflichtend vor, welche Mindestinhalte ein Auftragsdatenverarbeitungsvertrag haben soll:

- Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

- Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

- Das Ergebnis ist zu dokumentieren.

8. Auskunftspflichten und Speicherfristen gegenüber Betroffenen

Hier bedarf es organisatorischer Maßnahmen, da ein mehr an Auskunftsverpflichtung besteht.

- Auskunftsverpflichtung besteht über zur Person gespeicherte Daten, Herkunft dieser Daten, Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden und Zweck der Speicherung.

- Speicherverpflichtung besteht bei Daten für Werbezwecken für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen.

- Für die Berechnung von Wahrscheinlichkeitswerten (Scoring) gelten gesteigerte Anforderungen an den Inhalt der Auskunftsverpflichtung.

- Bei automatisierte Einzelentscheidungen (z.B. Online-Recruiting-Verfahren) sollten Sie dringend darauf achten, dass Sie dem Betroffenen die Tatsache des Vorliegens einer automatisierten Entscheidung mitteilen, auf Verlangen müssen die wesentlichen Gründe dieser Entscheidung mitgeteilt werden.

Rechtsanwalt Wolfgang A. Schmid, Fachanwalt IT-Recht,

zurück drucken versenden verlinken

Diesen Artikel versenden

Absender-E-Mail:*

Empfänger-E-Mail:*

Nachricht:*

* Pflichtfelder

abschicken
Artikel verlinken
Wenn Sie diesen Artikel von B4BALB-BODENSEE.DE verlinken wollen, können Sie einfach den nachfolgenden HTML-Code auf Ihre Webseite einfügen:
<a style="font-weight:bold;" href="http://www.b4balb-bodensee.dehttp://www.b4balb-bodensee.de/expertentipps_artikel,-BDSG-Novelle-und-die-Aenderungen-Teil-2-_arid,90330.html">Bundesdatenschutzgesetz Teil 2</a><br />BDSG-Novelle und die Änderungen Teil 2<br /><a href="http://www.b4balb-bodensee.dehttp://www.b4balb-bodensee.de/expertentipps_artikel,-BDSG-Novelle-und-die-Aenderungen-Teil-2-_arid,90330.html">Lesen Sie mehr auf b4balb-bodensee.de</a>
© B4BALB-BODENSEE.DE - Der Inhalt dieser Seiten ist urheberrechtlich geschützt. Die Nachrichten sind nur für die persönliche Information bestimmt. Jede weitergehende Verwendung, insbesondere die Speicherung in Datenbanken, Veröffentlichung auf anderen Webseiten, Vervielfältigung und jede Form von gewerblicher Nutzung sowie die Weitergabe an Dritte - auch in Teilen oder in überarbeiteter Form - ohne Zustimmung von vmm wirtschaftsverlag gmbh & co. kg ist untersagt. | Impressum

Impressum |
Datenschutz |
Mediadaten |
AGB