Der Bundestag hat am 3. Juli 2009 die so genannte Novelle II zum Bundesdatenschutzgesetz (BDSG) beschlossen. Das neue Datenschutzrecht tritt bereits am 1. September 2009 in Kraft und erzeugt unmittelbaren Handlungsbedarf für Unternehmen. Innerhalb kürzester Zeit sollten Geschäftsprozesse überprüft und gegebenenfalls an die substantiellen Rechtsänderungen angepasst werden.
Verstöße gegen das neue Datenschutzrecht können folgenschwer sein. Dieses erweitert den Handlungsspielraum der Datenschutzbehörden, die durch die Vielzahl der jüngsten „Daten-skandale“ alarmiert sind. Neben zusätzlichen Verfahrens- und Aufsichtsbefugnissen sieht das reformierte BDSG nicht nur eine Reihe neuer Ordnungswidrigkeitentatbestände vor, sondern hebt auch den Bußgeldrahmen auf €50.000-€300.000 pro Verstoß an und eröffnet erstmals die Möglichkeit der Gewinnabschöpfung.
Überprüfen Sie anhand der folgenden Checkliste, ob Ihr Unternehmen auf die Änderungen des BDSG vorbereitet ist!
DATENNUTZUNG ZU WERBEZWECKEN
Erfüllt Ihr Unternehmen die neuen Voraussetzungen zur Verwendung von Kundendaten zu Werbezwecken?
- Das so genannte Listenprivileg, nach dem es bisher zulässig war, bestimmte listenmäßig zusammengefasste Kundendaten für Zwecke der Werbung zu verwenden, ist eingeschränkt worden. Nach dem neuen Grundsatz des BDSG dürfen personenbezogene Daten für Zwecke des Adresshandels oder der Werbung, von Ausnahmen abgesehen, nur mit einer ausdrücklichen Einwilligung, die grundsätzlich schriftlich zu erteilen ist, verarbeitet oder genutzt werden (§ 28 Abs. 3 BDSG).
- Bestimmte Daten (Name, Titel, akademischer Grad, Anschrift, Geburtsjahr sowie ein Merkmal über die Zugehörigkeit zu einer bestimmten Gruppe) können Unternehmen allerdings auch weiterhin ohne Einwilligung zum Zwecke der Eigenwerbung nutzen, wenn das Unternehmen die Daten bei dem Betroffen erhoben hat oder die Daten aus allgemeinen Verzeichnissen stammen (§ 28 Abs. 3 S. 2 Nr. 1 BDSG). Unter dieser Voraussetzung ebenfalls zulässig ist die Werbung für Geschäftspartner und Konzernunternehmen, so genannte „Beipack- und Empfehlungswerbung“ (§ 28 Abs. 3, S. 5 BDSG).
- Die Weitergabe von Kundendaten an Dritte bleibt erlaubt, wenn aus der Werbung die Stelle, die die Daten erstmals erhoben hat, eindeutig hervorgeht (§ 28 Abs. 3 S. 4 BDSG) und die Herkunftsangabe für die Dauer von zwei Jahren gespeichert wird (§ 34 Abs. 1a BDSG).
TO DO: Verwendet Ihr Unternehmen zu Werbezwecken Daten, die von Dritten stammen, sollten Sie die Betroffenen bei der Ansprache standardmäßig über die Datenherkunft informieren.
Entsprechen Ihre Standardvertragsbedingungen den neuen Anforderungen an die datenschutzrechtliche Einwilligung?
Das BDSG enthält nun erstmals eine Regelung, nach der eine Einwilligung in die Datenverarbeitung zu Werbezwecken, die zusammen mit anderen Erklärungen erteilt werden soll (z.B. in Allgemeinen Geschäftsbedingungen), nur wirksam ist, wenn ihr Text durch Fettdruck, Umran-dung o.ä. besonders hervorgehoben ist (§ 28 Abs. 3a BDSG).
TO DO: Sie sollten die Standardvertragsbedingungen Ihres Unternehmens überprüfen und gegebenenfalls entsprechend anpassen.
Bestätigen Sie eine mündlich eingeholte Einwilligung schriftlich?
Eine mündliche erteilte Einwilligung (z.B. am Telefon) in die Datenverwendung zu Werbezwecken ist nach dem reformierten BDSG nur bei anschließender schriftlicher Bestätigung durch den Unternehmer wirksam (§ 28 Abs. 3a BDSG).
Informiert Ihr Unternehmen Kunden bei Vertragsschluss über ihr Widerspruchsrecht?
Kunden haben das Recht, der Verwendung ihrer personenbezogenen Daten zu Werbezwecken widersprechen. Nach dem neuen Datenschutzrecht haben Unternehmen bereits bei Vertragsschluss (und nicht erst bei Übermittlung der Werbung) auf dieses Recht ausdrücklich hinzuweisen (z.B. in den Allgemeinen Geschäftsbedingungen) (§ 28 Abs. 4 BDSG).
TO DO: Sie sollten die Standardvertragsbedingungen Ihres Unternehmens überprüfen und gegebenenfalls entsprechend anpassen.
ARBEITNEHMERDATENSCHUTZ
Enthalten Ihre Arbeitsverträge Regelungen zur Verwendung von Arbeitnehmerdaten?
Das neue BDSG enthält erstmals eine Generalklausel zum Arbeitnehmerdatenschutz. Nach § 32 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten zur Entscheidung über die Begründung oder nach dessen Begründung für die Durchführung oder Beendigung des Beschäftigungsverhältnisses zulässig. Jede darüber hinaus gehende Verarbeitung von Arbeitnehmerdaten könnte eine Einwilligung des Arbeitnehmers voraussetzen, da noch rechtlich unklar ist, inwieweit die allgemeinen Erlaubnistatbestände des § 28 BDSG auf Arbeitsverhältnisse neben der Spezialregelung anwendbar bleiben.
TO DO: Sie sollten Arbeitsverträge vorsorglich auf Regelungen zur Verarbeitung und Nutzung von Arbeitnehmerdaten überprüfen und gegebenenfalls entsprechend anpassen.
Bestehen Betriebsvereinbarungen zum Thema „Monitoring“?
Eine wirksame Kriminalitätsbekämpfung liegt im Interesse jedes Unternehmens. Hierfür ist eine angemessene und verhältnismäßige Kontrolle unternehmensinterner Kommunikationsmittel unerlässlich. Die Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten zur Aufdeckung von Straftaten ist nach § 32 Abs. 1 BDSG datenschutzrechtlich jedoch nur zulässig, wenn
- zu dokumentierende tatsächliche Anhaltspunkte für einen Tatverdacht bereits vorliegen,
- dies zur Aufdeckung der Straftat erforderlich ist,
- die schutzwürdigen Interessen des Beschäftigten nicht überwiegen und
- die Maßnahmen nach Art und Ausmaß verhältnismäßig sind.
Ob Stichproben zulässig sind, ist mangels gesetzlicher Regelungen noch unklar.
TO DO: Sie sollten Betriebsvereinbarungen über Monitoring-Maßnahmen des Unternehmens zur Verhinderung und Aufdeckung von Straftaten abschließen.
AUFTRAGSDATENVERARBEITUNG
Entsprechen die zwischen Ihrem Unternehmen und Dritten abgeschlossenen Auftragsdatenverarbeitungsverträge den verschärften Datensicherheitsanforderungen?
Die verschärften gesetzlichen Bedingungen zur Auftragsdatenverarbeitung sind gleichermaßen für Auftraggeber wie Auftragnehmer relevant und betreffen daher nicht nur Outsourcingdienstleister und Unternehmen der IT-Branche. § 11 Abs. 2 BDSG enthält nunmehr einen Katalog der erforderlichen Mindestinhalte zur Datensicherheit in Auftragsdatenverarbeitungsverträgen. Wer einen Auftrag zur Datenverarbeitung erteilt, der entgegen § 11 Abs. 2 BDSG unvollständig ist, begeht ab dem 1. September 2009 eine bußgeldbewehrte Ordnungswidrigkeit (§ 43 Abs. 1 Nr. 2b).
TO DO: Sie sollten Ihre Auftragsdatenverarbeitungsverträge (z.B. Wartungsverträge für IT, Outsourcingverträge etc.) überprüfen und gegebenenfalls Vertragsergänzungen vereinbaren.
INFORMATIONSPFLICHTEN
Ist die Erfüllung der Informationspflichten bei Datenmissbrauch sichergestellt?
Im Fall von Missbrauch oder Verlust besonders empfindlicher Daten haben Unternehmen nach US-amerikanischem Vorbild (so genannte „Security Breach Notification“) zukünftig die Pflicht, die Aufsichtsbehörden und die Betroffenen zu informieren, wenn die Daten Dritten zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen (§ 42a BDSG). Die Regelung findet auf folgende Daten Anwendung:
- Bank- und Kreditkartendaten
- Telekommunikationsdaten und online erhobene Daten
- Daten über Straftaten
- Daten, die einem Berufsgeheimnis unterliegen
- sonstige, besonders sensible Daten.
UNSERE EMPFEHLUNG
Sollten Sie nicht alle Fragen der Checkliste eindeutig mit „ja“ beantwortet haben, empfehlen wir, das Datenschutzkonzept sowie relevante Geschäftsunterlagen und Verträge Ihres Unternehmens kurzfristig zu überprüfen und bis zum 1. September 2009 gegebenenfalls an die veränderte Rechtslage anzupassen. Wir beraten Sie gerne hierbei.