Mehr Datenschutz wagen - Welche Änderungen die Regierung plant

Am 10.12.2008 hat die Bundesregierung ihren Gesetzentwurf  zur Verbesserung des Datenschutzes vorgelegt. Demnach will sie bis zum 1. Juli 2009 umfassende Änderungen bei bestehenden Gesetzen vornehmen und darüber hinaus neue Regelungen schaffen, die zu einem wirksameren Datenschutz führen sollen. Die IT-Recht Kanzlei stellt Kernpunkte des Entwurfes vor.

Datenschutzaudit – was ist das?

Mit dem Datenschtuzauditgesetz (DSAG) geht die Bundesregierung im Datenschutzrecht einen völlig neuen Weg. Kern der Regelung ist die Vergabe von Datenschutzsigeln an Unternehmen, die im Bereich des Datenschutzes besonders vorbildlich agieren. So können sich Unternehmen freiwillig dem Kontrollverfahren unterziehen und ihren vorbildlichen Umgang mit Daten und dem Datenschutzrecht zertifizieren lassen, sofern sie die entsprechenden Voraussetzungen erfüllen. Dabei soll ein Unternehmen nicht dafür ausgezeichnet werden, dass es die bestehenden Datenschutzvorschriften beachtet – dies sollte selbstverständlich sein und keiner besonderen Auszeichnung bedürfen. Vielmehr ist angedacht, dass unabhängige Ausschüsse, die mit entsprechenden Experten besetzt sind, Richtlinien und Vorgaben erarbeiten, die über die gesetzlichen Regelungen hinausgehen und bei deren Einhaltung ein noch wirksamerer Datenschutz erreichet wird. Unternehmen, die diese besonders strengen Richtlinien beachten, sollen ausgezeichnet werden, sofern sie sich dem freiwilligen Verfahren unterziehen wollen.

Für die Unternehmen hat dies den Vorteil, dass sie auf dem Markt mit dem Sigel werben können und somit nach außen hin sichtbar wird, wie wichtig der Datenschutz in dem jeweiligen Unternehmen gesehen wird. Die Verbraucher profitieren ähnlich wie bei anderen (Güte-)Sigeln, weil sie die Information, die ihnen das Sigel vermittelt, in ihre Entscheidung für ein Produkt oder für ein Unternehmen einbeziehen können. Gesamtgesellschaftlich wird die Transparenz hinsichtlich des Datenschutzes gefördert. Zudem könnte ein – durch die Datenschutzskandale der jüngsten Zeit sowieso schon – stärkeres Bewusstsein für den Datenschutz und seine Wichtigkeit geweckt werden.

Inwiefern Unternehmen sich tatsächlich den Mühen und Kosten, die mit dem Audit-Verfahren verbunden sind, stellen werden, kann noch nicht eingeschätzt werden. Sicherlich kann aber ein sanfter Druck auf Unternehmen entstehen, wenn Konkurrenten ihre Datenschutz-Vorreiterrolle in der Werbung in den Vordergrund stellen und die Verbraucher dies als tatsächliches Qualitäts- und Unterscheidungsmerkmal entdecken. Ebenso ungewiss ist, wie das Audit-Verfahren im Detail und die vorgesehenen Änderungen im Datenschutzrecht generell tatsächlich später einmal aussehen werden. Denn erfahrungsgemäß werden im Rahmen des Gesetzgebungsverfahrens – nicht zuletzt aufgrund des Einflusses starker Lobby-Gruppen – oftmals nicht unerhebliche Korrekturen an Gesetzentwürfen vorgenommen.

Starke Einschränkung des Listenprivilegs

Neben der Einführung des Datenschutzauditgesetzes betrifft der Regierungsentwurf zur Verbesserung des Datenschutzes vor allem Änderungen des Bundesdatenschutzgesetzes (BDSG). Dabei steht insbesondere die starke Einschränkung des sog. Listenprivilegs nach § 28 Absatz 3 Nr. 3 BDSG im Vordergrund. Bisher ist die Übermittlung oder Nutzung personenbezogener Daten auch ohne Einwilligung der betroffenen Personen zulässig für Zwecke der Werbung und der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf bestimmte Daten beschränken (u.a. immerhin Berufsbezeichnung und Geburtsdatum) und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat. Im Zusammenhang mit diesem „Listenprivileg“ sind in der Vergangenheit vermehrt Fälle des unberechtigten Handels mit personenbezogenen Daten bekannt geworden.

Grund hierfür ist zum einen die nur ungenügende Einhaltung und Kontrolle der bestehenden Datenschutzvorschriften, zum anderen aber auch zu lockere Gesetze. Beides soll sich nun ändern. Das Listenprivileg wird zwar nicht vollkommen abgeschafft, aber doch erheblich eingeschränkt. So soll die Verarbeitung (nicht mehr auch die Übermittlung) und Nutzung personenbezogener Daten nach der vorgesehenen Gesetzesänderung nur noch für Zwecke der Werbung für eigene Angebote oder der eigenen Markt- und Meinungsforschung zulässig sein. Eine Ausnahme vom grundsätzlichen Einwilligungserfordernis soll es zudem auch für Spendenwerbung von gemeinnützigen Spendenorganisationen geben.

Nachdem die Bundesregierung vor noch nicht allzu langer Zeit noch der Auffassung gewesen ist, dass die bestehende Gesetzeslage für einen hinreichend wirksamen Datenschutz ausreiche und nur ihre Einhaltung besser kontrolliert werden müsse, stehen nun doch große Änderungen im Datenschutzrecht an.

Explizite Einwilligung

Die Bundesregierung spricht in ihrer Gesetzesbegründung davon, dass die gezielte Ansprache zum Zwecke der Werbung oder der Markt- und Meinungsforschung von den Bürgerinnen und Bürgern zunehmend als Belastung empfunden werde und der Wunsch nach mehr Selbstbestimmung groß sei. Dieser Erkenntnis folgend sieht der Regierungsentwurf in seinem neuen § 28 Absatz 3a BDSG eine Stärkung der bewussten und ausdrücklichen Einwilligung vor. Zum einen müssen Einwilligungen für die Verwendung personenbezogener Daten, die nicht schriftlich erfolgt sind, schriftlich bestätigt werden oder zumindest, wenn die Einwilligung elektronisch (etwa im Internet) erteilt worden ist, jederzeit abrufbar und mit Wirkung für die Zukunft auch widerrufbar sein. Zum anderen soll es erforderlich sein, dass die Einwilligung der Betroffenen schriftlich in gesonderter Weise oder durch Ankreuzen explizit für die konkrete Art der Verwendung (Adresshandel, Werbung, Markt- und Meinungsforschung) erfolgt, wenn sie im Zusammenhang mit mehreren Erklärungen abgegeben wird. Demnach ist es beispielsweise nicht zulässig, dass der Betroffene ein Kästchen ankreuzen muss, wenn er die Verwendung seiner Daten ausschließen möchte. Eine Einwilligung soll insgesamt nur dann wirksam sein, wenn der Einwilligende mit seiner Zustimmung ausgedrückt hat, dass er die Einwilligung bewusst und nicht nur nebenbei erteilt hat.

Benachrichtigung ist Pflicht

Als ebenfalls wesentliche Neuerung sieht der Regierungsentwurf eine Benachrichtigungspflicht für Unternehmen vor, bei denen Datenschutzpannen aufgetreten sind. Die im neuen § 42a BDSG vorgesehene Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten greift zwar nicht grundsätzlich bei allen, sondern nur bei besonders sensiblen personenbezogenen Daten ein. Jedoch kann sie weite Kreise ziehen, denn so müssen nicht nur die Aufsichtsbehörden informiert werden, sondern auch die betroffenen Personen. Als besonders sensible Daten gelten nach dem Gesetzentwurf beispielsweise Bank- und Kreditkarteninformationen, Daten im Zusammenhang mit Berufsgeheimnissen, sowie Daten über strafbare Handlungen und Ordnungswidrigkeiten der betroffenen Personen. Die Informationspflicht besteht dann, wenn durch die unrechtmäßige Übermittlung (etwa im Rahmen von Adresshandel) oder durch auf sonstige Weise unrechtmäßig zur Kenntnis gelangte Daten schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen oder schutzwürdige Interessen der Betroffenen drohen. Grundsätzlich besteht diese Informationspflicht unverzüglich nach Bekanntwerden von solchen Datenpannen. Allerdings soll mit der Benachrichtigung solange gewartet werden, bis die Strafverfolgung nicht mehr gefährdet ist, damit die Täter nicht unnötig gewarnt sind und ungestraft davonkommen können.

Im Telemediengesetz (neuer § 15a) und im Telekommunikationsgesetz (neuer § 93 Absatz 3) wird durch Verweisung der neue § 42a BDSG in Bezug genommen und findet dort entsprechende Anwendung.

Kopplungsverbot

Kopplungsverbote sind bereits im Telekommunikationsrecht bekannt. Auch im neuen § 28 Absatz 3b BDSG ist ein solches vorgesehen. Demnach darf der Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Mit anderen Worten soll ein marktbeherrschendes Unternehmen, etwa ein Monopolist, seine Kunden nicht dadurch zu einer Einwilligung zwingen können, dass sie die erwünschte Leistung sonst nirgendwo von einem anderen Anbieter beziehen können, weil es keine (vertretbaren) Alternativen gibt. Der Betroffene soll frei von solchen Zwängen entscheiden können, ob er der Verarbeitung und Nutzung seiner personenbezogenen Daten zustimmen möchte.

Abschreckende Bußgelder

Ein weiterer wichtiger Baustein der Neuordnung des Datenschutzrechts werden Änderungen bei den Bußgeldern sein. Änderungen sollen an drei Punkten vorgenommen werden. Zum einen sollen im Vollzug beklagte Lücken bei den Bußgeldtatbeständen geschlossen werden. Daneben ist eine Erhöhung der bestehenden Bußgeldrahmen geplant. Schließlich soll die ausdrückliche Möglichkeit eingeräumt werden, bei der Bußgeldbemessung den wirtschaftlichen Vorteil des Täters aus der Ordnungswidrigkeit zu übersteigen. Konkret soll dadurch verhindert werden, dass die Täter Datenschutzverstöße gewissermaßen einkalkulieren und nach Abzug zu zahlender Bußgelder immer noch einen wirtschaftlichen Vorteil aus den Datenschutzverstößen haben. Somit können nach neuem Recht in bestimmten Fällen grundsätzlich bis zu 300.000 Euro statt wie bisher 250.000 Euro an Bußgeldern verhängt werden. Ist der wirtschaftliche Vorteil des Täters sogar größer als 300.000 Euro, so kann eine entsprechend höhere Strafe verhängt werden. Die Bundesregierung betont, dass sie damit  einen stärkeren Abschreckungseffekt erzeugen will, damit potentielle Täter vor hohen Bußgeldern zurückschrecken und von Verstößen gegen das Datenschutzrecht absehen.

Fazit

Der mit Begründung mehr als 50 Seiten umfassende Regierungsentwurf zur Verbesserung des Datenschutzes enthält eine Vielzahl von Änderungen, die die Sicherheit beim Umgang mit personenbezogenen Daten der Menschen stärken soll. Ob das Gesetzesvorhaben wie geplant bis zum 1. Juli 2009 abgeschlossen sein wird, ist fraglich. Immerhin steht das kommende Jahr im Zeichen des Bundestagswahlkampfes. Bekanntermaßen ist bereits in der Vergangenheit das ein oder andere Gesetzesvorhaben einem Wahlkampf zum Opfer gefallen. Allerdings scheint in diesem Fall der Druck der Öffentlichkeit aufgrund der jüngsten Datenschutzskandale besonders groß zu sein, so dass mit einem Abschluss des Gesetzgebungsverfahrens zu rechnen ist.

Für Unternehmen bietet sich nach aktuellem Stand des Gesetzgebungsverfahrens die Möglichkeit, durch die Einhaltung zusätzlicher, freiwilliger Datenschutzrichtlinien und durch Unterziehung eines entsprechenden Kontrollverfahrens ein Datenschutzsigel zu erhalten.
Adresshändler werden in Zukunft größeren Problemen in ihrem Geschäftsfeld begegnen. So wird man noch genauer überprüfen, ob sie die Gesetze einhalten und bei Verstößen höhere Strafen verhängen als in der Vergangenheit.

Für Unternehmen, die bereits heute den Datenschutz großschreiben, wird sich nicht viel ändern. Sie können sich allerdings darauf verlassen, dass Konkurrenten, die bisher auf dubiosen Wegen an Adressen für Werbemaßnahmen gekommen sind, in der Zukunft ebenfalls ordentlicher agieren müssen. Denn andernfalls riskieren sie äußerst schmerzhafte Bußgelder.

Die Verbraucher werden von den neuen Regelungen profitieren, wenn sie sich zugleich mehr als heute bewusst werden, dass ihre persönlichen Daten für sie – aber eben auch für andere – wertvoll sind und sie nicht ohne Weiteres preisgegeben werden sollten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.