Änderungen am BDSG 2009: Was ändert sich für Unternehmen und Datenschutzbeauftragte?

Das Institut für IT-Recht informiert: Am 01. September 2009 sind zahlreiche Änderungen am Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Der folgende Beitrag erläutert die wichtigsten Änderungen und benennt die Auswirkungen für die Praxis.

„Unkündbarkeit“ des internen Datenschutzbeauftragten

Gemäß § 4 Abs. 3 S. 5 BDSG genießt der interne Datenschutzbeauftragte künftig weitgehenden Kündigungsschutz: er darf nicht mehr ordentlich gekündigt werden, eine außerordentliche Kündigung bleibt möglich. Auch nach Abberufung als Datenschutzbeauftragte wirkt dieser Kündigungsschutz noch ein Jahr fort.

Interner Datenschutzbeauftragter: Anspruch auf Fort- und Weiterbildungsmaßnahmen

Auch hat der interne Datenschutzbeauftragte nun gemäß § 4 Abs. 3 S. 7 BDSG einen gesetzlichen Anspruch auf die Teilnahme an Fort- und Weiterbildungsmaßnahmen „zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde“. Dies gilt ausdrücklich sowohl hinsichtlich der hierfür erforderlichen Freistellung von der Arbeit im Übrigen sowie der Übernahme der Kosten durch den Arbeitgeber.

Handlungsbedarf bei der Auftragsdatenverarbeitung: Neue Anforderungen an Vertragsinhalt, Kontrolle und Dokumentation

§ 11 Abs. 2 BDSG sieht für Auftragsdatenverarbeitungsverträge (also Verträge, bei denen personenbezogene Daten der verantwortlichen Stelle im Auftrag durch einen Dritten erhoben, verarbeitet oder genutzt werden) nun einen genauen Katalog vor, der im Vertrag geregelt sein muss. Während es bisher lediglich hieß, dass der Auftragsdatenverarbeitungsvertrag Regelungen hinsichtlich der „Datenerhebung, -verarbeitung oder –nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse“ zu enthalten habe, müssen nun im Einzelnen festgelegt werden:

der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Zudem sieht § 11 Abs. 2 S. 4,5 BDSG nun vor, dass der Auftraggeber sich von der Einhaltung dieser Maßna…

» Vollständiger Artikel