Änderungen im Bundesdatenschutzgesetz (BDSG)

Zum 01.09.2009 sind wichtige Änderungen im BDSG in Kraft getreten. Der Bundesbeauftragte für Datenschutz macht klar:

„Die neuen Regelungen stellen erheblich gesteigerte Anforderungen an den Umgang mit Verbraucher- und Beschäftigtendaten.“

Verwendung von Daten für Werbezwecke

Für Daten, die vor dem 1. September 2009 erhoben wurden, gilt:
Daten, insbesondere zu Name, Anschrift, Geburtsjahr, Beruf sowie akademische Grade und Titel (die so genannten Listdaten), können ohne Einwilligung des Betroffenen weiter wie bisher genutzt werden, und zwar

  • für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010,
  • für Zwecke der Werbung bis zum 31. August 2012.

Für Daten, die nach dem 1. September erhoben oder gespeichert wurden, gilt:

  • für Werbezwecke dürfen diese grundsätzlich nur mit Einwilligung genutzt werden.
  • Hiervon gibt es aber zahlreiche Ausnahmen:

Ohne Einwilligung kann Werbung insbesondere dann versandt werden, wenn der Betroffene anhand der Werbung erkennen kann, welches Unternehmen seine Adressdaten hierfür weiterverkauft hat. Dazu müssen Herkunft und Weitergabe der Adressdaten dokumentiert werden. Bereits aus der Werbung selbst muss für den Betroffenen erkennbar sein, wer seine Daten erstmalig weitergegeben hat. Diese Stelle muss dem Betroffenen dann auf Nachfrage mitteilen können, an wen sie seine Daten zu Werbezwecken in den letzten zwei Jahren weitergegeben hat. Auch hierfür gewährt der Gesetzgeber eine Übergangsfrist: Erst ab dem 1. April 2010 ist diese Pflicht verbindlich.

  • Ohne Einwilligung dürfen Unternehmen unter Verwendung von Listendaten auch ihre bisherigen Kunden bewerben.
  • Ohne Einwilligung dürfen dazu Listendaten aus allgemein zugänglichen Adress-, Rufnummern- oder Branchenverzeichnissen oder dem zugrundeliegenden Vertragsverhältnis genutzt werden.
  • Berufsbezogene Werbung an die berufliche Anschrift bedarf keiner Einwilligung.
  • Auch Spendenwerbung gemeinnütziger Organisationen bedarf keiner Einwilligung, wenn lediglich Listdaten genutzt werden.

Weitere Informationen zu Werbung und Adresshandel stellt der Bundesbeauftragte für den Datenschutz auf seiner Webseite zur Verfügung.

Auskunfteien und Scoring

Ab April 2010 treten neue Regelungen für die Datenübermittlung von Unternehmen an Auskunfteien in Kraft. Diese Regelungen sind vor allem dann einschlägig, wenn das Unternehmen bei Geschäften mit Verbrauchern finanziell in Vorleistung tritt, wie das z.B. bei Mobilfunkanbietern, Kreditinstituten und Versandhändlern der Fall ist.

Nach der neuen Regelung im BDSG ist die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien nur dann zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrnehmung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und es um eine rechtskräftig festgestellte (“titulierte”) und anerkannte Forderung geht.

Strengere Voraussetzungen gelten allerdings für die Übermittlung anderer Forderungen. Diese soll u.a. nur dann zulässig sein, wenn der Schuldner mindestens zweimal schriftlich gemahnt wurde, wenn zwischen der ersten und der zweiten Mahnung mindestens vier Wochen liegen, das Unternehmen den Betroffenen über die bevorstehende Übermittlung unterrichtet und dieser die Forderung nicht bestritten hat. Des Weiteren ist eine Übermittlung möglich, wenn der Gläubiger den Vertrag wegen Zahlungsverzugs fristlos kündigen kann – und den Betroffenen über die geplante Datenweitergabe informiert hat.

Zentrale Frage ist also, ob das jeweilige Unternehmen ein berechtigtes Interesse am Erhalt von Daten hat.

Wird das Scoringverfahren bei einem Betroffenen angewendet, so ist dieser darüber zu unterrichten. Auch muss er die Möglichkeit haben, dem Scoringverfahren zu widersprechen.

Verschärfte Anforderungen an die Auftragsdatenverarbeitung (Call Center, Rechenzentren)

Seit dem 01.09.2009 schreibt der Gesetzgeber genau vor, was alles im Vertrag über die Auftragsdatenverarbeitung stehen muss. Außerdem ist der Auftraggeber nun ausdrücklich verpflichtet, die Einhaltung der vereinbarten Maßnahmen zu überprüfen und das Ergebnis dieser Überprüfung zu dokumentieren.

Die Nichteinhaltung dieser Anforderungen ist zukünftig bußgeldbewehrt. Alle privaten Stellen müssen, wenn sie als besonders sensibel eingestufte Daten verlieren oder Dritten versehentlich oder absichtlich weitergeben, die Betroffenen hierüber informieren. Die Informationspflicht besteht aber nur für bestimmte Datenarten.

Aufnahme einer Grundsatzregelung zum Arbeitnehmerdatenschutz

Danach dürfen personenbezogene Daten zu Zwecken des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung, für die Durchführung, Beendigung oder Abwicklung eines Beschäftigungsverhältnisses erforderlich ist.

Zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sein könnten (z.B. Diebstahl, Untreue), dürfen personenbezogene Daten erhoben und verwendet werden, wenn

  • dokumentierte, tatsächliche Anhaltspunkte für eine Straftat des Beschäftigten vorliegen,
  • die Erhebung/Verwendung der Daten für die Aufdeckung der Straftat erforderlich ist und
  • keine überwiegenden schutzwürdigen Interessen des Beschäftigten entgegenstehen.

Ausbau der Sanktionsmöglichkeiten der Datenschutzbehörden

  • Zukünftig können die Datenschutzbehörden bestimmte Maßnahmen vorschreiben, die durchzuführen sind, wie etwa die Bestellung eines Datenschutzbeauftragten. Bei Zuwiderhandlungen hiergegen können Zwangsgelder verhängt werden.
  • Die Höhe der Bußgelder ist erheblich erhöht worden. So kann für einfache Verstöße zukünftig ein Bußgeld von bis zu 50.000 €, für schwere Verstöße ein Bußgeld von bis zu 300.000 € verhängt werden. Die Summen können überschritten werden, wenn unrechtmäßig Gewinne erlangt wurden.
  • Es sind weitere Bußgeldtatbestände für Fälle eingeführt wurden, die vorher nicht bußgeldbewertet waren.

Stärkung der betrieblichen Datenschutzbeauftragten

Dem betrieblichen Datenschutzbeauftragten kommen besondere Aufgaben zu, bei denen er möglichst unabhängig sein soll. Hierfür gibt es ab jetzt einen besonderen Kündigungsschutz. Der Kündigungsschutz besteht während der Bestellung bzw. bis ein Jahr nach der Beendigung der Bestellung. Eine Kündigung ist in dieser Zeit nur aus wichtigem Grund möglich, wobei der Kündigungsschutz nicht für freiwillig bestellte Datenschutzbeauftragte gilt. Zudem wird die Fortbildung der Datenschutzbeauftragten unterstützt. Der Arbeitgeber muss die Teilnahme an Schulungs- und Fortbildungsveranstaltungen ermöglichen und hierfür die Kosten übernehmen.

Datenvermeidung und Datensparsamkeit

Durch die BDSG-Novelle wurde § 3a BDSG erweitert: Die Ziele der Datensparsamkeit und Datenvermeidbarkeit gelten nicht nur für den Systemdatenschutz, sondern Unternehmen müssen diese Grundsätze generell bei Datenerhebung, -verarbeitung und -nutzung berücksichtigen.

Diese Ziele können erreicht werden durch die Anonymisierung und Pseudonymisierung von Kundendaten.

Einen umfassenden Überblick über alle Änderungen und einen direkten Vergleich der Gesetzestexte bietet die Gesellschaft für Datenschutz und Datensicherheit (GDD).

Mit unserem Newsletter verpassen Sie keinen Beitrag.

So bleiben Sie immer über aktuelle News, Fachbeiträge und Gerichtsurteile im Datenschutz informiert.

Datenschutz-Newsletter jetzt bestellen
 

7 Kommentare zum Beitrag “Änderungen im Bundesdatenschutzgesetz (BDSG)”

  1. Sastra schreibt:

    23. April 2012 um 19:47

    Hallo, 

    heute habe ich einer Nachricht über geheime Bonitätsprüfung, wenn man einen Handyvertrag abschließen will. Das Ganze sollte über Scoring Verfahren laufen, ohne dass der Beantragter davon in Kentnis gesetzt wurde, dass Daten über sein Finanzverhältnis dem Dritten offenbart wurden.

    Wo kann hier der Datenschützer greifen und wird so etwas vom BDSG erdultet oder sogar bewilligt?

    MfG    

  2. Dr. Datenschutz schreibt:

    25. April 2012 um 15:45

    @sastra

    § 28b BDSG lässt Erhebung und Verwendung eines Wahrscheinlichkeitswerts in Bezug auf ein Vertragsverhältnis nur zu, wenn die Voraussetzungen einer zulässigen Nutzung der Daten gemäß § 28 BDSG oder § 29 BDSG vorliegen.

    Der Hintergrund der Vorschrift ist, dass das Unternehmen (Mobilfunkanbieter), das finanziell in die Vorleistung tritt, ein Interesse daran hat, Ihre Kreditwürdigkeit zu überprüfen.

    Jedoch müssen die Unternehmen, die Daten von der Schufa erhalten, dies zuvor per Vertrag mit der Schufa geregelt haben. Als Kunde sollten Sie zumindest anhand der AGB’s erkennen können, ob ein Unternehmen mit der Schufa zusammenarbeitet. Meistes ist in den AGB’s eines Unternehmens eine sog. „Schufa-Klausel“ zu finden. Sie als Kunde müssen Einsicht in diese AGB’s nehmen können und somit in Kenntnis gesetzt werden, welche von Ihren Daten an die Schufa weitergeleitet werden und welche Daten das Unternehmen von der Schufa einholen kann.

  3. quickes wohnzimmer » Xing, Xang, Xong, meine Mailadresse und die Christin von meetOne schreibt:

    30. Mai 2012 um 17:39

    [...] verdächtig nach Adresshandel aus … Und meetOne ist zeimlich mutig, angesichts der im September eintretenden Gesetzesänderungen bezüglich E-Mail-Werbung. Ich kann mich beim besten Willen nicht erinnern, dieser Firma meine ausdrückliche Einwilligung [...]

  4. Datenschutz-Meister schreibt:

    25. Juli 2012 um 16:41

    Zum Glück wurden diese Änderungen schnellstmöglich druchgeführt zum Schutze der Daten aller deutschen und nicht nur den großen Unternehmen.

  5. trifracert schreibt:

    23. August 2012 um 17:56

    wenn ich dss richtig verstanden habe, ist Berufsbedingte Werbung an die Geechaftsadresse auch ohne besondere Zustimmung zulässig. Legalisiert das email versandt, postalischer Versand oder beides? schließt berufsbedingt auch zum Berufsbild passende Güter (Geräte oder SW-Programme) die nicht ausschließlich der persönlichen (Aus-)bildung dienlich sein können, sondern evt. der Produktivitätssteigerung zuträglich sein können, mit ein? Das könnte u U bedeuten, dass eine neue Technik die Wettbewerbsfähigkeit festig, aber auch dem persönlichen Interesse des Angeschriebenen Rechnung trägt. Ist das so möglich?

  6. Dr. Datenschutz schreibt:

    24. August 2012 um 15:55

    @trifracert: Die Ausführungen gelten nur für Werbung per Briefpost. Informationen über Werbung per E-Mail finden Sie hier: http://www.datenschutzbeauftragter-info.de/fachbeitraege/newsletter-und-datenschutz/

  7. Nächste Übergangsfrist läuft aus, Bußgeldrisiko für Werbetreibende | Externer Datenschutzbeauftragter (BDSG) schreibt:

    28. August 2012 um 19:09

    [...] des Bun­des­da­ten­schutz­ge­set­zes erfah­ren? Dann fin­den Sie in unse­rem Part­ner­fach­blog datenschutzbeauftragter-info.de eine gute [...]

Jetzt kommentieren


Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.