Das neue Bundesdatenschutzgesetz
Der Deutsche Bundestag hat durch mehrere Gesetzesbeschlüsse das BDSG 2009 mit drei Novellen geändert. Mit der „Novelle I“ vom 29.05.2009 wird die Tätigkeit von Auskunfteien und ihren Vertragspartnern (insbesondere Kreditinstitute) neu geregelt und soll somit transparenter werden. Sie tritt am 01.04.2010 in Kraft. Die heftig diskutierte und umfangreichste „Novelle II“ ist am 03.07.2009 vom Bundestag verabschiedet worden. Sie ist am 01.09.2009 in Kraft getreten und veranlasst die Änderung von 18 Paragraphen (u.a. Auftragsdatenverarbeitung, neue erweiterte Bußgeldtatbestände, Listenprivileg beim Adresshandel, Beschäftigtendatenschutz, neue Befugnisse für die Aufsichtsbehörden, Informationspflichten bei Datenschutzverstößen, Kündigungsschutz für Datenschutzbeauftragte, etc.). Ein Datenschutzauditgesetz wird es jedoch nicht geben. Als Unterpunkt wurde „Novelle III“ im Rahmen des Gesetzes zur Umsetzung der EU-Verbraucherkreditrichtlinie verabschiedet und tritt am 11.06.2010 in Kraft. Alle Novellen sind im Bundesgesetzblatt I zu finden (Novelle I = BGBL. Nr.48; Novelle II = BGBL. Nr. 54; Novelle III = BGBL. Nr. 49).Was bedeutet das im Einzelnen? Einer der Schwerpunkte der Neuregelungen ist die Auftragsdatenverarbeitung. § 11 BDSG regelt für Verträge, bei denen Daten im Auftrag durch Dritte erhoben, verarbeitet und genutzt werden, anhand eines genau definierten Kataloges, wie diese Auftragsverträge ausgestaltet sein sollen. Die vorgeschriebenen Pflichtinhalte sind z.B. Umfang, Art und Zweck des Umgangs mit den Daten, die zu treffenden organisatorischen Maßnahmen, die Kontrollpflichten des Auftragnehmers sowie die Kontrollrechte und Weisungsbefugnisse des Auftraggebers. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und vor allem auch in Zukunft regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
Auch die VES GmbH als Dienstleister und Anbieter von Outsourcing-Lösungen konnte bereits einige ihrer Kunden in Gevelsberg begrüßen, die sich vor Ort ein Bild von den getroffenen Maßnahmen machen konnten. Diese Regelungen gelten entsprechend für (Fern-)Wartungsarbeiten durch Dritte an IT-Systemen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Weiterhin wurde die gesetzliche Zielvorgabe der Datenvermeidung und -sparsamkeit neu formuliert (§3 BDSG). Nach wie vor gilt, dass so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden sollen. Sie sollten, soweit es nach dem Verwendungszweck technisch möglich ist, anonymisiert und pseudonymisiert werden. Verstöße gegen diese Vorschriften sind bußgeldbewehrt. Daher sind Unternehmen angehalten, ihre Prozesse genau zu überprüfen.
Neu sind die bußgeldbewehrten Informationspflichten gegenüber der Aufsichtsbehörde und den Betroffenen, wenn besonders schutzwürdige Daten (sensible Daten) außerhalb des Unternehmens unrechtmäßig zur Kenntnis gelangen und den Betroffenen dadurch schwerwiegende Beeinträchtigungen drohen (§42a BDSG).
Dementsprechend wurden auch die Bußgelder erhöht: Kleinere Ordnungswidrigkeiten können von nun an mit einer Geldbuße bis zu 50.000,- Euro (vorher 25.000,- Euro) bestraft und schwerere Ordnungswidrigkeiten mit sogar bis zu 300.000,- Euro (vorher 250.000,- Euro) geahndet werden.
Diese und viele weitere Neuerungen des Bundesdatenschutzgesetzes zeigen einmal mehr die aktuell zunehmende Bedeutung datenschutzrechtlicher Fragen für eine Unternehmung.
