Am 01.09.2009 ist das neue Bundesdatenschutzgesetz in Kraft getreten. Dieses enthält eine Vielzahl von Änderungen im Vergleich zu der alten Fassung. Vor allem für den Unternehmer kommt es zu diversen Regelungen, die neuerdings stärker berücksichtigt werden müssen. Auch für die in den Unternehmen beschäftigten Datenschutzbeauftragten ändert sich diverses durch das Inkrafttreten des neuen Gesetzes. Im Detail bedeutet das folgendes:
Neu eingeführte Regelungen des Arbeitnehmerdatenschutzes:
Seit dem 01.09.2009 enthält das BDSG eine Regelung zur Erfassung, Nutzung und Verarbeitung von personenbezogenen Daten hinsichtlich der Arbeitsverhältnisse.
Die neuen Regelungen im §32 BDSG enthalten vor allem in Abs. 1 S.2 eine abschließende Klarstellung, dass Daten der Arbeitnehmer nur dann zu Zwecken der Straftatenaufdeckung nur dann erhoben, verarbeitet oder anderweitig genutzt werden dürfen, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Interner Datenschutzbeauftragter:
Der Datenschutzbeauftragte ist in §4 BDSG geregelt. Durch die Neufassung ändert sich im Bezug auf diesen einiges. Neben der Einführung des §4 Abs. 3 S.5 BDSG, welcher besagt, dass der Datenschutzbeauftragte absoluten Kündigungsschutz erfahren muss und auf dem Wege der ordentlichen Kündigung für die Zeit in der er zu dem Posten bestellt wurde, somit nicht mehr kündbar ist, bekommt der Datenschutzbeauftragte einen Anspruch auf Weiterbildungsmaßnahmen gem. §4 Abs. 3 S. 7 BDSG.
Der Kündigungsschutz gilt auch ein Jahr nach der Abbestellung von dem Posten. Bei der Weiterbildung hinsichtlich Datenschutzrechtlich relevanter Fragstellungen muss der Arbeitgeber den Beauftragten unterstützen. Sowohl finanziell, als auch in Form der Freistellung für die Zeiträume der Weiterbildungen sowie Schulungen.Neuregelungen von Vertragsinhalten und Dokumentationen im Falle der Auftragsdatenverarbeitung:
Das neue Gesetz beinhaltet in §11 Abs. 2 BDSG eine genaue Auflistung von Punkten, die bei der Gestaltung von Verträgen über in Auftrag gegebene Verarbeitung von personenbezogenen Daten eingehalten werden müssen.
Nun müssen in den Verträgen zur Auftragsdatenverarbeitung neben vorherig geforderten, pauschalen Regelungen bezüglich der technischen Maßnahmen zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, im Detail einzelne Aspekte genau festgelegt werden. Im Einzelnen sieht es wie folgt aus:
- Art, Umfang und Zweck der geplanten Erhebung, Nutzung und Verarbeitung der Daten, die genaue Art der Daten sowie der Gruppe der Betroffenen;
- Die gem. §9 BDSG notwendigen technischen und organisatorischen Maßnahmen;
- Inhalt und Dauer des Auftrags;
- Löschung, Sperrung sowie Berichtigung von Daten;
- Die genauen Pflichten des Auftragsnehmers aus §11 Abs. 4 BDSG;
- Die möglichen Berechtigungen zur Begründung von Subauftragsverhältnissen;
- Die explizit vergebenen Kontrollrechte des Beauftragenden sowie die Duldungs- und Mitwirkungspflichten des Beauftragten;
- Meldepflichtige Verstöße des Beauftragten oder einer seiner Arbeitnehmer gegen Regelungen zum Schutz personenbezogener Daten oder gegen die in der Vereinbarung getroffenen Pflichten;
- Die genauen Weisungsbefugnisse, die der Auftraggeber bezüglich des Beauftragten festlegt;
- Den Umgang mit überlassenen Datenträgern sowie die Löschungspflichten der beim Beauftragten gespeicherten Daten nach Ablauf des Auftrags;
Gem. §11 Abs. 2 S.4, 5 BDSG wird der Auftraggeber nun auch dazu verpflichte sich vor Beginn des Auftrags sowie in regelmäßigen Zeitabständen von der Einhaltung der Vereinbarungen zu vergewissern und die Resultate genau festzuhalten. Umgang mit unrechtmäßiger Kenntniserlangung von Daten:
Auch §42a BDSG ist eine Neuerung der Gesetzesreform. Hieraus ergibt sich die Pflicht eines Unternehmers sofort die zuständige Datenschutzaufsichtsbehörde sowie die Betroffenen zu informieren, wenn festgestellt wird, dass im Unternehmen gespeicherte Daten unerlaubt transferiert oder in sonstiger Weise an Dritte weitergegeben werden. Diese Meldepflicht besteht vor allem dann, wenn durch die Weitergabe dieser Daten eine Beeinträchtigung der Betroffenen zu erwarten sind. Die hier relevanten Daten sind:
- Besondere Arte gem. §3 Abs. 9 BDSG;
- Personenbezogene Daten, die einem Berufsgeheimnis unterliegen;
- Sich auf Straftaten oder Ordnungswidrigkeiten den Verdacht solcher beziehen;
- Daten bezüglich Bankkonten und Kreditkarten.
Eine Meldung gegenüber den Betroffenen kann, wenn diese zu einem unverhältnismäßigen Aufwand für das Unternehmern führt, durch eine Meldung mit dem Umfang von mindestens einer halben Seite in zumindest zwei bundesweit erscheinenden Zeitungen ersetzt werden. Auch weitere mindestens so wirksame Maßnahmen zur Information der Öffentlichkeit können hier ausreichen.
Zuwiderhandlungen gegen die Informationspflichten können gem. der §§43 Abs. 2 S. 7, 44 Abs 1 BDSG mit Bußgeldern oder Strafen geahndet werden.
Sanktionen:
Die Änderung des BDSG hat auch die Bußgelder und Strafsanktionen verschärft. Ordnungswidrigkeiten können von nun an durch die Datenschutzaufsichtsbehörden gem. §43Abs. 1 BDSG mit Bußgeldern i.H.v. bis zu € 50.000,- geahndet werden. Für Verstöße gegen Abs. 2 dieser Vorschrift steht der Behörde ein Bußgeldrahmen von bis zu €300.000,- zur Verfügung. Diese Beträge können auch gem. §43 Abs. 2. S. 2, 3 BDSG erweitert werden, wenn die festgelegten Bußgelder nicht dazu ausreichen, den wirtschaftlichen Vorteil des Täters, den dieser aus der rechtswidrigen Handlung erlangt hat zu übersteigen.
Links:Informationen auf bundesdatenschutz.de
Wichtig für den IT-Unternehmer:
Wie klar ersichtlich sein sollte, besteht für die Unternehmen eine weitreichende Pflicht zu handeln und diverse Bereiche an die Gesetzesänderung anzupassen. Ansonsten kann es zur Verhängung hoher Bußgelder und ggf. schwerwiegender Strafen kommen. Auch die Datenschutzbeauftragten sollten sich mit den neuen Regelungen vertraut machen und alles daran setzen, die Artbeit den Vorschriften baldmöglichst gerecht werden zu lassen.
Im Bereich der Auftragsdatenverarbeitung ist es von besonderer Wichtigkeit alle künftig geschlossenen Verträge hinsichtlich der Änderungen zu gestalten und vorformulierte AGB dahingehen anzupassen, dass die einzelnen Punkte umgesetzt werden. Auch im Personalbereich ist es als sehr wichtig anzusehen die Änderungen so schnell wie möglich umzusetzen. Hier empfiehlt es sich bereits bestehende Regelungen zum Umgang mit Personaldaten, wie z.B., Betriebsvereinbarungen, Handlungsanweisungen sowie Unternehmensrichtlinien anzupassen.
Es empfiehlt sich jedes Unternehmen individuell zu untersuchen und „to-do“ Listen hinsichtlich der Implikation der Neuregelungen zu erstellen. Hierzu stehen wir gerne jederzeit zur Verfügung.
Weitere Informationen zum Thema