Regelungen zum Datenschutzaudit

Die Bundesregierung hat heute den Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften in das Gesetzgebungsverfahren eingebracht.

Erster Schwerpunkt des Entwurfs ist die Schaffung eines freiwilligen, gesetzlich geregelten und unbürokratischen Datenschutzauditverfahrens, das marktorientierte Anreize zur Verbesserung des Datenschutzes in Unternehmen setzt. Im Rahmen dieses Verfahrens können Unternehmen ein Datenschutzauditsiegel erwerben, wenn sie sich einem regelmäßigen datenschutzrechtlichen Kontrollverfahren anschließen und Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Die Richtlinien sollen von einem mit Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erarbeitet werden, über die gesetzlichen Vorgaben hinausgehen und branchenspezifisch ausgestaltet sein. Der Erwerb und der werbewirksamer Einsatz des Datenschutzsiegels sollen, so die Planung der Bundesregierung, den Unternehmen die Möglichkeit eröffnen, Vorteile gegenüber Wettbewerbern zu erzielen. Gleichzeitig erhöhen sie das Datenschutzniveau und schaffen mehr Transparenz für die Bürgerinnen und Bürger.

Darüber hinaus verfolgt der Entwurf das weitere Ziel, die Einflussmöglichkeiten der Bürgerinnen und Bürger auf die Verwendung ihrer personenbezogenen Daten zu Zwecken der Werbung, Markt- und Meinungsforschung zu stärken. Die Bundesregierung reagiert damit zum einen auf die in jüngerer Vergangenheit bekannt gewordenen Fälle des unberechtigten Handels mit personenbezogenen Daten, die ein Schlaglicht auf die bisherige Rechtslage in diesem Bereich geworfen haben. Zudem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt- und Meinungsforschung in den letzten Jahren gewandelt. Die gezielte Werbeansprache wird von den Betroffenen inzwischen zunehmend als Belastung empfunden und läuft dem Wunsch nach mehr Selbstbestimmung zuwider.

Als überholt hat sich in diesem Zusammenhang insbesondere die Ausgestaltung des sog. “Listenprivilegs” erwiesen, das - nach derzeit noch bestehender Rechtslage - die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in gewissem Umfang ohne Einwilligung der Betroffenen erlaubt. Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig - und teilweise unzulässigerweise - zum Erwerb oder zur Nutzung angeboten werden. Der Entwurf sieht daher vor, dass die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in Zukunft grundsätzlich nur noch mit ausdrücklicher Einwilligung der Betroffenen zulässig sein soll.

Flankiert wird diese Maßnahme durch ein Kopplungsverbot für marktbeherrschende Unternehmen. Dies bedeutet, dass Unternehmen den Abschluss eines Vertrages nicht von einer Einwilligung der Betroffenen in die Nutzung ihrer personenbezogenen Daten zu Werbezwecken abhängig machen dürfen, wenn den Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Außerdem werden mit dem Entwurf die Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht erweitert, Möglichkeiten zur Abschöpfung unrechtmäßiger Gewinne aus illegaler Datenverwendung geschaffen, eine Informationspflicht bei Datenschutzpannen eingeführt und die Stellung der betrieblichen Datenschutzbeauftragten gestärkt.

So soll das Einwilligungserfordernis nicht gelten für Eigenwerbung mit eigenen Kundendaten - auch unter Zuhilfenahme externer Selektionskriterien -, Spendenwerbung gemeinnütziger Organisationen, Geschäftswerbung sowie die sog. “Beipackwerbung”. Darüber hinaus räumt der Entwurf den betroffenen Wirtschaftszweigen eine Übergangsfrist von drei Jahren ein.

Zudem werden große Bereiche der Werbung von den Neuregelungen gar nicht berührt. Dazu zählen alle Werbeformen, die ohne Verwendung personenbezogener Daten auskommen, wie z.B. TV- und Funkwerbung oder Plakat- und Außenwerbung sowie der weite Bereich der teil- und unadressierten Werbesendungen (Einwurfwerbung). Diese Werbeformen bleiben folglich weiterhin in der gewohnten Weise möglich.

Anlass für den Gesetzentwurf waren die im Sommer und erneut in den vergangenen Tagen bekannt gewordenen Vorkommnisse im nichtöffentlichen Bereich zum geschäftsmäßigen Handel mit personenbezogenen Daten der Bürgerinnen und Bürger. Hierzu werden Änderungen im Bundesdatenschutzgesetz und entsprechende Anpassungen im Telemedien- und Telekommunikationsgesetz vorgeschlagen, durch die die Einflussmöglichkeiten der Betroffenen auf die Verwendung ihrer personenbezogenen Daten zu Zwecken der Werbung, Markt- und Meinungsforschung gestärkt werden sollen. Die derzeitige Rechtslage erlaubt es, ohne Einwilligung der Betroffenen personenbezogene Daten zu Zwecken der Werbung, Markt- und Meinungsforschung zwischen Unternehmen auszutauschen oder auch Adresslisten der eigenen Kunden anderen Unternehmen für deren Werbung zur Verfügung zu stellen; und zwar ohne dass der Kunde davon erfährt. Dieses sog. „Listenprivileg“ hat dazu geführt, dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig gehandelt werden und – da keine Einwilligung vorgewiesen werden muss – die Rechtmäßigkeit des Datenhandels schwer kontrollierbar ist.

Der Gesetzentwurf unterwirft daher die Verwendung personenbezogener Daten zu Zwecken der Werbung, Markt- und Meinungsforschung in Zukunft grundsätzlich der ausdrücklichen Einwilligung. Hierfür ist der Gesetzentwurf von der Wirtschaft stark kritisiert worden. Um unverhältnismäßige Belastungen zu vermeiden, bekommen die Unternehmen aber drei Jahre Zeit, um sich der neuen Lage anzupassen.

Darüber hinaus bleiben weite Teile auch der adressbezogenen Werbung von dem Vorhaben unberührt. So soll die Eigenwerbung mit eigenen Kundendaten, die im Rahmen einer Vertragsbeziehung erhoben worden sind, weiter unbeschränkt möglich sein. Und auch die häufig anzutreffende Beilage von Werbung anderer Unternehmen zu eigenen Katalogen, zur Rechnungen oder in Paketen bleibt frei. Um diese Eigenwerbung gezielter durchzuführen, können Unternehmen ihre Kundendatenbank durch weitere Daten anreichern, um bestimmte Zielgruppen besser erreichen zu können. Diese Daten können wie bisher hinzugekauft werden.

Für steuerbegünstigte Spendenwerbung vor allem gemeinnütziger und kirchlicher Organisationen sieht das Gesetz eine Rechtslage vor, die der bisherigen entspricht. Diese Organisationen können also auch weiterhin Daten kaufen, ohne dass der Betroffenen eine Einwilligung gegeben hat. Dahinter steht, dass gemeinnützige Organisationen sonst nur Adressen derjenigen Bürger erhalten könnten, die in kommerzielle Werbung eingewilligt haben. Es entspricht aber eher der Lebenswirklichkeit, dass selbst derjenige, der seine Einwilligung für Werbung zu kommerziellen Zwecken verweigert hat, sich gleichwohl nicht an beispielsweise einer Aufforderung zur Hilfe für Katastrophenopfer stört. Bevorzugt behandelt wird auch die Werbung, die an Freiberufler und Unternehmen geht. Dort steht die branchenspezifische Information im Vordergrund, das Eingehen auf Werbebotschaften folgt einer ökonomischen Logik und nicht den Gesetzen des Konsums. Flankiert wird die künftige Einwilligungslösung durch ein Kopplungsverbot für marktbeherrschende Unternehmen. Unternehmen dürfen den Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verwendung seiner personenbezogenen Daten zu Werbezwecken abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne Einwilligung nicht in zumutbarer Weise möglich ist.

Des Weiteren werden mit dem Entwurf fünf neue Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht aufgenommen und ein Bußgeldtatbestand erweitert. Vorgesehen sind neue Bußgeldtatbestände u. a. für eine bessere Kontrolle automatisierter Abrufverfahren und für eine unzureichend erteilte Auftragsdatenverarbeitung sowie bei einer Verwendung personenbezogener Daten trotz eines Werbewiderspruchs.

Der Bußgeldrahmen bei formalen Verstößen steigt von 25.000 EUR auf 50.000 EUR und bei anderen Datenschutzverstößen in Anpassung an bereichsspezifische Regelungen von 250.000 EUR auf 300.000 EUR. Zusätzlich wurde die Möglichkeit vorgesehen, einen wirtschaftlichen Vorteil des Täters aus der Ordnungswidrigkeit abzuschöpfen. Die Geldbuße kann hierfür auch den Bußgeldrahmen übersteigen.

Um den Betroffenen gegen die enormen Schäden, die aus Datenverlusten bei Unternehmen – z.B. bei einem Abhandenkommen von Kundendaten zusammen mit Kreditkartendaten - zu schützen, werden Unternehmen in Zukunft zur schnellen Information der Kunden verpflichtet. Hiervon sind auch Daten zu Bankkonten und - weil durch den Verlust solcher Daten Verhaltensmuster erstellt werden können -, Bestands- und Nutzungs- bzw. Verkehrsdaten aus der Telefon- und Internetnutzung umfasst. Schließlich wurde die Stellung der betrieblichen Datenschutzbeauftragten gestärkt. Ihr Kündigungsschutz wird erweitert und sie erhalten einen Anspruch auf Fortbildung. Ein weiterer Bestandteil des Entwurfs ist die Schaffung eines gesetzlich geregelten, freiwilligen und unbürokratischen Datenschutzauditverfahrens. Unternehmen können ein Datenschutzauditsiegel erwerben, wenn sie sich einem regelmäßigen datenschutzrechtlichen Kontrollverfahren anschließen und Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Die Richtlinien sollen von einem mit Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erarbeitet werden, über die gesetzlichen Vorgaben hinausgehen und branchenspezifisch ausgestaltet sein.

Die Verwendung des Datenschutzauditsiegels soll nicht von einem einmaligem Kontroll- und Vergabevorgang abhängen, sondern in Anlehnung an das bewährte Kontrollsystem zur Vergabe des Bio-Siegels im Ökolandbaugesetz als Unterwerfung unter ein Regelwerk, dessen Einhaltung kontinuierlich kontrolliert werden kann. Für eine möglichst bürokratiearme Ausgestaltung des Kontrollsystems soll den Ländern und im Bereich der Post- und Telekommunikation dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit weitestgehende Flexibilität zur Übertragung von Aufgaben auf private Kontrollstellen eingeräumt werden. Im Falle der Aufgabenübertragung auf private Kontrollstellen sollen nur deren Überwachung und besonders einschneidende hoheitliche Entscheidungen bei den zuständigen Behörden verbleiben.

Unternehmen mit Niederlassungen in verschiedenen Bundesländern wollen im Rahmen des Datenschutzauditverfahrens nur von einer Kontrollstelle kontrolliert werden. Auch die Kontrollstellen haben ein Interesse an einer länderübergreifenden Tätigkeit, ohne mehrere Zulassungsverfahren zu durchlaufen. Um ein bundesweit einheitliches Kontrollsystem auf hohem Niveau zu verwirklichen, wird daher in Anlehnung an das bewährte Kontrollsystem bei der Vergabe des Bio-Siegels eine einheitliche Zulassung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit als zentrale, mit alleiniger Entscheidungskompetenz ausgestattete Bundesstelle, vorgeschlagen.

Das Datenschutzauditverfahren soll, so die Vorstellung der Bundesregierung, marktorientierte Anreize zur Verbesserung des Datenschutzes in Unternehmen setzen. Der Erwerb und werbewirksame Einsatz des Datenschutzsiegels soll den Unternehmen die Möglichkeit eröffnen, Vorteile bei Verbrauchern und gegenüber Wettbewerbern zu erzielen. Das Datenschutzaudit soll auf diese Weise das Datenschutzniveau bei den Unternehmen erhöhen und durch das Datenschutzauditsiegel mehr Transparenz für die Bürger schaffen.

Ein Datenschutzaudit nach diesem Gesetz kann voraussichtlich ab dem 1. Juli 2010 durchgeführt werden.

Diese Beiräge dürften Sie ebenfalls interessieren: Kindertagespflege Übernahmerichtlinie - Umsetzungsgesetz Biogasanlagen Tierheilpraktiker Datenschutz für Arbeitnehmer © 2008 Rechtslupe.de Dieser RSS-Feed dient Ihrer persönlichen Information. Die Verwendung auf fremden Webseiten ist bedarf unserer vorherigen schriftlichen Zustimmung. (Digitaler Fingerprint: abe5ebc4d1c92e7df9b5e5714e0679ac)