Neue Regeln zum Datenschutz – Das Datenschutzauditsiegel kommt

Das Bundeskabinett hat am 10.12.2008 den Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften beschlossen.

Mit dem Gesetz sollen das Datenschutzniveau und die Transparenz der Datenverarbeitung im nichtöffentlichen Bereich verbessert und die Einflussmöglichkeiten der Bürgerinnen und Bürger auf die Verwendung ihrer personenbezogenen Daten gestärkt werden. Anlass waren die im Sommer und erneut in den vergangenen Tagen bekannt gewordenen Vorkommnisse im nichtöffentlichen Bereich zum geschäftsmäßigen Handel mit personenbezogenen

Daten der Bürgerinnen und Bürger. Hierzu werden Änderungen im Bundesdatenschutzgesetz und entsprechende Anpassungen im Telemedien- und Telekommunikationsgesetz vorgeschlagen, durch die die Einflussmöglichkeiten der Betroffenen auf die Verwendung ihrer personenbezogenen Daten zu Zwecken der Werbung, Markt- und Meinungsforschung gestärkt werden sollen.

Die derzeitige Rechtslage erlaubt es, ohne Einwilligung der Betroffenen personenbezogene Daten zu Zwecken der Werbung, Markt- und Meinungsforschung zwischen Unternehmen auszutauschen oder auch Adresslisten der eigenen Kunden anderen Unternehmen für deren Werbung zur Verfügung zu stellen; und zwar ohne dass der Kunde davon erfährt.

Dieses sog. „Listenprivileg“ hat dazu geführt, dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig gehandelt werden und – da keine Einwilligung vorgewiesen werden muss – die Rechtmäßigkeit des Datenhandels schwer kontrollierbar ist. Der Gesetzentwurf unterwirft daher die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in Zukunft grundsätzlich der ausdrücklichen Einwilligung. Hierfür ist der Gesetzentwurf von der Wirtschaft stark kritisiert worden. Um unverhältnismäßige Belastungen zu vermeiden, bekommen die Unternehmen aber drei Jahre Zeit, um sich der neuen Lage anzupassen. Darüber hinaus bleiben weite Teile auch der adressbezogenen Werbung von dem Vorhaben unberührt. So soll die Eigenwerbung mit eigenen Kundendaten, die im Rahmen einer Vertragsbeziehung erhoben worden sind, weiter unbeschränkt möglich sein. Und auch die häufig anzutreffende Beilage von Werbung anderer Unternehmen zu eigenen Katalogen, zur Rechnungen oder in Paketen bleibt frei. Um diese Eigenwerbung gezielter durchzuführen, können Unternehmen ihre Kundendatenbank durch weitere Daten anreichern, um bestimmte Zielgruppen besser erreichen zu können. Diese Daten können wie bisher hinzugekauft werden.

[Beispiel: Ein Versandhändler möchte in einer Frühjahrsaktion für Gartenmöbel gezielt

diejenigen seiner Kunden bewerben, die einen Garten besitzen. Er erwirbt eine Datei von

Straßenzügen, in denen Einfamilienhäuser mit Garten stehen und reichert – sofern er einen

Kunden in der Straße „kennt“, seinen Datensatz mit dem Merkmal „Gartenbesitzer“

Für steuerbegünstigte Spendenwerbung vor allem gemeinnütziger und kirchlicher Organisationen sieht das Gesetz eine Rechtslage vor, die der bisherigen entspricht. Diese Organisationen können also auch weiterhin Daten kaufen, ohne dass der Betroffenen eine Einwilligung gegeben hat. Dahinter steht, dass gemeinnützige Organisationen sonst nur Adressen derjenigen Bürger erhalten könnten, die in kommerzielle Werbung eingewilligt haben. Es entspricht aber eher der Lebenswirklichkeit, dass selbst derjenige, der seine Einwilligung für Werbung zu kommerziellen Zwecken verweigert hat, sich gleichwohl nicht an beispielsweise einer Aufforderung zur Hilfe für Katastrophenopfer stört.

Bevorzugt behandelt wird auch die Werbung, die an Freiberufler und Unternehmen geht.

Dort steht die branchenspezifische Information im Vordergrund, das Eingehen auf Werbebotschaften folgt einer ökonomischen Logik und nicht den Gesetzen des Konsums.

Flankiert wird die künftige Einwilligungslösung durch ein Kopplungsverbot für marktbeherrschende Unternehmen. Unternehmen dürfen den Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verwendung seiner personenbezogenen Daten zu Werbezwecken abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne Einwilligung nicht in zumutbarer Weise möglich ist.

Des Weiteren werden mit dem Entwurf fünf neue Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht aufgenommen und ein Bußgeldtatbestand erweitert. Vorgesehen sind neue Bußgeldtatbestände u. a. für eine bessere Kontrolle automatisierter  Abrufverfahren und für eine unzureichend erteilte Auftragsdatenverarbeitung sowie bei einer Verwendung personenbezogener Daten trotz eines Werbewiderspruchs.

Der Bußgeldrahmen bei formalen Verstößen steigt von 25.000 EUR auf 50.000 EUR und bei anderen Datenschutzverstößen in Anpassung an bereichsspezifische Regelungen von 250.000 EUR auf 300.000 EUR. Zusätzlich wurde die Möglichkeit vorgesehen, einen wirtschaftlichen Vorteil des Täters aus der Ordnungswidrigkeit abzuschöpfen. Die Geldbuße kann hierfür auch den Bußgeldrahmen übersteigen.

[Beispiel: Ein Datenhändler erlöst aus dem illegalen Verkauf von mehreren Millionen Kundendaten 12 Millionen Euro.]

Um den Betroffenen gegen die enormen Schäden, die aus Datenverlusten bei Unternehmen z.B. bei einem Abhandenkommen von Kundendaten zusammen mit Kreditkartendaten zu schützen, werden Unternehmen in Zukunft zur schnellen Information der Kunden verpflichtet. Hiervon sind auch Daten zu Bankkonten und – weil durch den Verlust solcher Daten Verhaltensmuster erstellt werden können -, Bestands- und Nutzungs- bzw. Verkehrsdaten aus der Telefon- und Internetnutzung umfasst.

Schließlich wurde die Stellung der betrieblichen Datenschutzbeauftragten gestärkt. Ihr Kündigungsschutz wird erweitert und sie erhalten einen Anspruch auf Fortbildung. Ein weiterer Bestandteil des Entwurfs ist die Schaffung eines gesetzlich geregelten, freiwilligen und unbürokratischen Datenschutzauditverfahrens. Unternehmen können ein Datenschutzauditsiegel erwerben, wenn sie sich einem regelmäßigen datenschutzrechtlichen Kontrollverfahren anschließen und Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Die Richtlinien sollen von einem mit Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erarbeitet werden, über die gesetzlichen Vorgaben hinausgehen und branchenspezifisch ausgestaltet sein.

Die Verwendung des Datenschutzauditsiegels soll nicht von einem einmaligem Kontroll- und Vergabevorgang abhängen, sondern in Anlehnung an das bewährte Kontrollsystem zur Vergabe des Bio-Siegels im Ökolandbaugesetz als Unterwerfung unter ein Regelwerk, dessen Einhaltung kontinuierlich kontrolliert werden kann. Für eine möglichst bürokratiearme Ausgestaltung des Kontrollsystems soll den Ländern und im Bereich der Post- und Telekommunikation dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit weitestgehende Flexibilität zur Übertragung von Aufgaben auf private Kontrollstellen eingeräumt werden. Im Falle der Aufgabenübertragung auf private Kontrollstellen sollen nur deren Überwachung und besonders einschneidende hoheitliche Entscheidungen bei den zuständigen Behörden verbleiben.

Unternehmen mit Niederlassungen in verschiedenen Bundesländern sollen im Rahmen des Datenschutzauditverfahrens nur von einer Kontrollstelle kontrolliert werden. Auch die Kontrollstellen haben ein Interesse an einer länderübergreifenden Tätigkeit, ohne mehrere Zulassungsverfahren zu durchlaufen. Um ein bundesweit einheitliches Kontrollsystem auf hohem Niveau zu verwirklichen, wird daher in Anlehnung an das bewährte Kontrollsystem bei der Vergabe des Bio-Siegels eine einheitliche Zulassung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit als zentrale, mit alleiniger Entscheidungskompetenz ausgestattete Bundesstelle, vorgeschlagen.

Das Datenschutzauditverfahren soll marktorientierte Anreize zur Verbesserung des Datenschutzes in Unternehmen setzen. Der Erwerb und werbewirksame Einsatz des Datenschutzsiegels eröffnet den Unternehmen die Möglichkeit, Vorteile bei Verbrauchern und gegenüber Wettbewerbern zu erzielen. Das Datenschutzaudit erhöht auf diese Weise das Datenschutzniveau bei den Unternehmen und schafft durch das Datenschutzauditsiegel mehr Transparenz für die Bürgerinnen und Bürger. Auf diese Weise verbindet das Datenschutzaudit Maßnahmen der Wirtschaftsförderung mit der Förderung des Datenschutzes.

Das Datenschutzauditgesetz tritt am Tag nach der Verkündung in Kraft, um zeitnah den Aufbau des Kontrollsystems zu ermöglichen. Ein Datenschutzaudit kann ab dem 1. Juli 2010 durchgeführt werden.

Rückblick:

Am 4. September 2008 fand im Bundesministerium des Innern eine Besprechung mit für den Datenschutz im nichtöffentlichen Bereich zuständigen Ministerien und Aufsichtsbehörden aus Bund und Ländern statt. Ziel des Gesprächs war es, gemeinsam zu erörtern, wie der Datenschutz im Bereich der Privatwirtschaft wirksamer realisiert werden kann. Die Beteiligten haben seinerzeit in großer Übereinstimmung vier Eckpunkte zur Änderung der gesetzlichen Grundlagen vereinbart, die in dem nun vorgelegten Gesetzentwurf berücksichtigt sind:

1. Die Abschaffung des sog. „Listenprivilegs“, d.h. der gesetzliche Erlaubnis, ohne Einwilligung der Betroffenen bestimmte „Listendaten“ für Zwecke der Werbung, Markt- und Meinungsforschung zu übermitteln und zu nutzen.

2. Die Einführung eines Kopplungsverbots für marktbeherrschende Unternehmen.

3. Die Erweiterung der Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht.

4. Die Schaffung von Möglichkeiten zur Abschöpfung unrechtmäßiger Gewinne.

Daneben ist – auch mit Blick auf die bekannt gewordenen Datenschutzprobleme in der Telekommunikationsbranche – ein Datenschutzauditgesetz angekündigt worden, dass ebenfalls in dem nun beschlossenen Gesetzentwurf enthalten ist.

 

Quelle: Pressemitteilung des Bundesjustizministerium vom 10.12.2008

Goldberg Rechtsanwälte

Rechtsanwalt Michael Ullrich, LL. M. (Informationsrecht)

E-Mail: m.ullrich@goldberg.de