Am 27. November 2009 hat der Fachausschuss Datenschutz der DGRI in Berlin eine Arbeitssitzung zu besonders konfliktträchtigen Neuerungen im BDSG 2009 abgehalten, an der unser Hamburger Kollege Dr. Flemming Moos teilgenommen hat. Kontrovers diskutiert wurden die Neuregelungen zur Auftragsdatenverarbeitung, zur Informationspflicht bei Datenpannen und zur Werbenutzung von Daten.
Bezüglich der Auftragsdatenverarbeitung wurde zunächst konstatiert, dass der neue § 11 BDSG keine Übergangsregelung vorsehe und nach wohl allgemeiner Meinung der Teilnehmer deshalb die zusätzlichen Anforderungen auch für noch laufende "Altverträge" gelten. Einige Teilnehmer wussten allerdings zu berichten, dass die Aufsichtsbehörden insoweit in der Praxis gewisse Umstellungsfristen akzeptieren. Problematisiert wurde auch die Umsetzung solcher Anpassungen bei mehrstufigen Vertragsverhältnisses (wie z.B. typischerweise Outsourcing-Verträgen); es wurde wohl überwiegend nicht für ausreichend angesehen, lediglich in dem übergreifenden Rahmenvertrag Anpassungen vorzunehmen. Der neugefasste § 11 BDSG verlange es wohl zumeist auch - je nach betroffener Dienstleistung - die datenschutzrelevanten Festlegungen auf Einzelvertrags- / Leistungsscheinebene anzupassen; dies insbesondere deshalb, weil nunmehr konkrete Angaben zur Art der Daten und dem Kreis der Betroffenen zu machen sind, die nur schwer abstrakt auf Rahmenvertragsebene festzulegen sind.
Als hilfreich für die Erstellung neuer Auftragsdatenverarbeitungsverträge wurden insgesamt die bereits veröffentlichten Muster der GDD und des Regierungspräsidiums Darmstadt angesehen.
Unsicherheit bestand auch im Hinblick auf die Anforderungen an die vorvertragliche Überprüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer. Insbesondere wurde diskutiert, ob entsprechende Bestätigungen des Datenschutzbeauftragten oder des Auftragnehmers oder Prüfzertifikate ausreichend seien.
Im Hinblick auf die neue Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG) liegen die neuralgischen Punkte nach Meinung der Diskutanten insbesondere darin festzustellen, in welchen konkreten Fällen die Informationspflicht greift. Hier sei insbesondere problematisch, wann "schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen" der Betroffenen drohen, wie es das Gesetz verlangt. Kontrovers wurde insoweit etwa debattiert, ob der Verlust einer Kreditkartennummer per se eine Informationspflicht auslösen würde. Angebracht wurde diesbezüglich auch die These, dass Beeinträchtigungen im Sinne des Gesetzes ausgeschlossen seien, wenn und soweit der Betroffene durch die verantwortliche Stelle entschädigt bzw. von Vermögenseinbußen freigehalten werde.
Zahlreiche Fragen ergaben sich auch in Bezug auf die Neuregelungen in § 28 Abs. 3 BDSG zur Werbenutzung von Daten. So haben die Teilnehmer z.B. erörtert, ob eine Unterrichtungspflicht bezüglich des Werbewiderspruchs schon bei Erhebung der Daten auch dann greift, wenn in diesem Zeitpunkt noch gar keine Werbeabsicht besteht. Für die Bestätigung einer nicht in Schriftform erteilten Einwilligungserklärung nach Abs. 3a wurde erwogen, auch Textform ausreichen zu lassen, obwohl das Gesetz insoweit "Schriftlichkeit" verlangt. Weiterhin war es wohl überwiegende Meinung, dass die Übergangsvorschrift des § 47 Nr. 2 BDSG auch für den Adresshandel gelten müsse, und es sich bei deren Nichtberücksichtigung um ein Versehen des Gesetzgebers handele. Eher ablehnend wurden die Verbandsstellungnahmen des DDV und des bvh kommentiert, wonach das Erfordernis der schriftlichen Bestätigung bei Bestandskunden und für Telefonwerbung (weil nach UWG reguliert) nicht anwendbar sein solle.
Im Ergebnis hat sich bei allen Themen gezeigt, dass bei der Auslegung und Anwendung der Neuregelungen der BDSG-Novelle II noch erhebliche Unsicherheit besteht. Dies ist nicht zuletzt auch darauf zurückzuführen, dass die Novelle unter einigen handwerklichen und systematischen Fehlern leidet, die das Verständnis zusätzlich erschweren.
Die Impulsvorträge der Referenten zu den jeweiligen Themen sind auf der Internetseite der DGRI abrufbar.