Bundeskabinett beschließt die Novelle des Datenschutzrechts.

Am 10.12.2008 hat das Bundeskabinett die Novelle des Datenschutzrechts beschlossen. Anlass für die Neuregelungen sind die jüngsten Skandale um die illegale Verwendung und Weitergabe von Kundendaten in der Privatwirtschaft. Um solche Pannen künftig zu verhindern, sollen nun die Rechte von Verbrauchern gestärkt werden. Dazu sieht die Kabinettvorlage Änderungen im BDSG, im TMG und im TKG sowie die Einführung eines neuen Datenschutzauditgesetzes (DSAG) vor.

Einführung des "Permission-Marketing"

Kernstück der Neuregelung ist die Änderung des § 28 BDSG; er erlaubt die Nutzung von Daten durch private Stellen für die eigenen Geschäftszwecke. Im Datenschutzrecht unterliegt jede Nutzung personenbezogener Daten einem Erlaubnisvorbehalt (§ 4 BDSG). Das heißt, sie ist nur dann gestattet, wenn der Betroffene einwilligt oder das Gesetz sie in dem konkreten Fall für zulässig erklärt. Wollen Unternehmen Informationen über ihre Kunden auch für Werbung verwenden oder verkaufen, so können sie das bisher unter den Voraussetzungen des § 28 Abs. 3 Nr. 3 BDSG tun. Diese Norm erlaubt die Nutzung, wenn es sich um listenmäßig zusammengefasste Daten wie Name, Beruf, Titel, Anschrift und Geburtsjahr handelt. Jede Verwendung, die über dieses sog. Listenprivileg hinausgeht bedarf dann wieder einer Einwilligung. Der § 28 BDSG-E dreht diese Regelung um und verlangt grundsätzlich die Einwilligung, wenn Daten für Werbezwecke verwendet werden ("opt-in-Lösung"). Damit wird das sog. Permission-Marketing eingeführt. Nur ausnahmsweise ist eine Zustimmung entbehrlich; so gilt das Listenprivileg weiterhin auch für die Eigenwerbung, für die Meinungsforschung und für Spendenwerbung. Flankiert wird dieses Zustimmungserfordernis von den neuen Abs. 3a und b, die Anforderungen an die Einwilligung stellen und ein Kopplungsverbot normieren: Marktbeherrschende Unternehmen dürfen einen Vertragsschluss nicht von einer Einwilligung abhängig machen.

Neue Informationspflichten

Der neue § 42 a BDSG-E legt allen datenverarbeitenden Stellen die Pflicht auf, die Aufsichtsbehörden und den Betroffenen zu informieren, wenn sie unrechtmäßig Kenntnis von Daten erlangt haben. Außerdem wird die Stellung der betrieblichen Datenschutzbeauftragten (§ 4f BDSG) gestärkt: Ihnen kann nur noch in Ausnahmefällen gekündigt werden. In § 43 BDSG will man die Bußgelder bei Verstößen gegen das BDSG erhöhen. Weitere Änderungen des Kabinettentwurfs passen v.a. die anderen Normen an die Neuregelungen an. Die Änderungen im TMG und TKG dienen dazu, die neuen Informationspflichten nach § 42 a BDSG-E auch auf Dienstanbieter zu erstrecken.

Siegel für den Datenschutz

Mit der Einführung eines Datenschutzauditgesetzes wird der Gesetzgebungsauftrag in § 9a BDSG erfüllt; bisher existieren solche Audit-Vorschriften nur in manchen Bundesländern. Das Gesetz regelt, unter welchen Umständen ein Datenschutz-Siegel an Unternehmen vergeben werden darf. Im Einzelnen regelt das DSAG die Anforderungen an die privaten Kontrollstellen (§§ 5, 6 DSAG-E), die das Siegel erteilen dürfen. Hier gelten spezielle Voraussetzungen für das Personal; dieses muss zuverlässig, unabhängig und fachlich geeignet sein. Letzteres wird in § 5 Abs. 3 DSAG-E konkretisiert:

"Über die erforderliche fachliche Eignung verfügt, wer auf Grund seiner Ausbildung, beruflichen Bildung und praktischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm obliegenden Aufgaben befähigt ist.

• Im Bereich Recht sind nachzuweisen:

1. der Abschluss eines Studiums der Rechtswissenschaft oder eines Studiums auf einem anderen Gebiet mit rechtswissenschaftlichen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Rechtswissenschaft nicht unterschreiten, an einer deutschen Hochschule oder ein gleichwertiger ausländischer Abschluss sowie eine dreijährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet des Datenschutzrechts oder
2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht sowie eine mindestens fünfjährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet des Datenschutzrechts.

• Im Bereich Informationstechnik sind nachzuweisen:

1. der Abschluss eines Studiums der Informatik, der Wirtschaftsinformatik oder eines Studiums auf einem anderen Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen Hochschule oder ein gleichwertiger ausländischer Abschluss sowie eine dreijährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet der Informationstechnik oder
2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der Informationstechnik sowie eine mindestens fünfjährige berufliche Tätigkeit mit dem Schwerpunkt auf dem Gebiet der Informationstechnik. Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwerdens für die Kontrollstelle nicht seit mehr als drei Jahren unterbrochen sein." 
   

Bundeseinheitliche Kontrolle

Die Kontrollstellen werden von den Behörden der Bundesländer beaufsichtigt (§ 7, 8 DSAG-E). Um eine bundeseinheitliche Kontrolle zu gewährleisten, müssen sie zuvor vom Bundesdatenschutzbeauftragten zugelassen werden (§ 4 DSAG-E). Außerdem ist er vor Vergabe eines Siegels zu benachrichtigen; bei ihm werden auch Verzeichnisse über ausgezeichnete Datenschutzkonzepte und die zugelassenen Kontrollstellen geführt (§ 9 DSAG-E). Desweiteren sieht das neue Gesetz die Einrichtung eines Datenschutzauditausschusses (§§ 11 - 14 DSAG-E) vor. Dieses Gremium setzt sich aus Vertretern der Bundes- und Landesverwaltung, der Datenschutzbehörden sowie aus Mitgliedern von Unternehmen und Verbänden zusammen. Es soll "Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit" erlassen; der Ausschuss untersteht der Rechtsaufsicht des Bundesinnenministeriums.