LeitzKnowHow
Neues Bundesdatenschutzgesetz
Zum 1. September 2009 traten Änderungen des Bundesdatenschutzgesetzes
(BDSG) in Kraft, die Unternehmen unbedingt beachten müssen – tun sie es
nicht, kann das schwerwiegende Konsequenzen haben. Insbesondere der
Adresshandel wurde strenger reglementiert. Zudem wurde die Stellung des
betrieblichen Datenschutzbeauftragten gestärkt und der
Arbeitnehmerdatenschutz erstmals grundsätzlich geregelt.
Arbeitnehmerdatenschutz
Prinzipiell bestimmt das Datenschutzgesetz, dass nur so wenig personenbezogene Daten wie nötig erhoben werden dürfen. Der neue § 32 BDSG regelt nun zudem, dass Daten von Mitarbeitern zur Aufdeckung einer Straftat nur genutzt werden dürfen, „wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“
Das bedeutet konkret: Bei „merkwürdigen“ Vorgängen im Unternehmen einfach kurzerhand alle Mitarbeiter zu „screenen“, um das schwarze Schaf herauszufiltern, wie dies einige Konzerne in der Vergangenheit getan haben, ist verboten. Unternehmen, die intern in sogenannten „Compliance-Richtlinien“ anderes vereinbart haben, müssen ihre Regeln entsprechend anpassen.
Betrieblicher Datenschutzbeauftragter
Betriebe, in denen mehr als zehn Mitarbeiter damit beschäftigt sind, personenbezogene Daten elektronisch zu verarbeiten, müssen einen betrieblichen Datenschutzbeauftragten einsetzen. § 4 BDSG bestimmt nun, dass dieser jetzt den gleichen Kündigungsschutz genießt wie ein Betriebsrat. Solange er sein Amt innehat – und ein Jahr danach – darf ihm also nicht mehr gekündigt werden, allerhöchstens in schwerwiegenden Fällen außerordentlich. Außerdem hat der Datenschutzbeauftragte Anspruch auf Fortbildungen „zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde“. Der Arbeitgeber muss die Kosten übernehmen und ihn hierfür von der Arbeit freistellen.
Arbeitnehmerdatenschutz
Prinzipiell bestimmt das Datenschutzgesetz, dass nur so wenig personenbezogene Daten wie nötig erhoben werden dürfen. Der neue § 32 BDSG regelt nun zudem, dass Daten von Mitarbeitern zur Aufdeckung einer Straftat nur genutzt werden dürfen, „wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“
Das bedeutet konkret: Bei „merkwürdigen“ Vorgängen im Unternehmen einfach kurzerhand alle Mitarbeiter zu „screenen“, um das schwarze Schaf herauszufiltern, wie dies einige Konzerne in der Vergangenheit getan haben, ist verboten. Unternehmen, die intern in sogenannten „Compliance-Richtlinien“ anderes vereinbart haben, müssen ihre Regeln entsprechend anpassen.
Betrieblicher Datenschutzbeauftragter
Betriebe, in denen mehr als zehn Mitarbeiter damit beschäftigt sind, personenbezogene Daten elektronisch zu verarbeiten, müssen einen betrieblichen Datenschutzbeauftragten einsetzen. § 4 BDSG bestimmt nun, dass dieser jetzt den gleichen Kündigungsschutz genießt wie ein Betriebsrat. Solange er sein Amt innehat – und ein Jahr danach – darf ihm also nicht mehr gekündigt werden, allerhöchstens in schwerwiegenden Fällen außerordentlich. Außerdem hat der Datenschutzbeauftragte Anspruch auf Fortbildungen „zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde“. Der Arbeitgeber muss die Kosten übernehmen und ihn hierfür von der Arbeit freistellen.
Nutzung von Adressdaten
Erlaubte das Datenschutzgesetz bisher den Adresshandel, wurde dieses „Listenprivileg“ nun gestrichen. Nach massiven Protesten betroffener Branchenverbände gibt es zu dieser Regelung allerdings sehr viele Ausnahmen:
Daten, die vor dem 1. September 2009 erfasst wurden, dürfen bis Ende August 2012 wie bisher verkauft werden.
Außerdem darf man fremde Adressbestände nutzen, wenn man klar (ohne Verschlüsselung) angibt, woher man sie bekommen hat.
Hat ein Unternehmen Daten selbst erhoben, zum Beispiel aus allgemein zugänglichen Verzeichnissen oder über ein Gewinnspiel, darf es diese zur Werbung nutzen – vorausgesetzt, der Betroffene hat dem schriftlich zugestimmt. Diese Zustimmung kann zum Beispiel mit einem entsprechenden Feld zum Ankreuzen eingeholt werden, mit einer Formulierung wie „Bitte senden Sie mir künftig Ihren Newsletter“. Seine eigenen Kunden darf man sowieso schriftlich über Angebote informieren.
Wer ausschließlich Unternehmen zu seinen Kunden zählt, hat ohnehin kein Problem: Business-to-Business-Werbung bleibt unverändert erlaubt. Und auch gemeinnützige Organisationen dürfen weiterhin Spenden akquirieren.
Der beliebte Trick, erst so zu tun, als ginge es um eine Marktforschung und dann zu einem Verkaufsgespräch überzuleiten, ist künftig allerdings ausdrücklich verboten (§ 30a BDSG). Wer tatsächlich in Sachen Markt- oder Meinungsforschung unterwegs ist und dabei personenbezogene Daten erhebt, muss dies bei einer Aufsichtsbehörde anmelden.
Daten außer Haus geben
Wer einen Dienstleister damit beauftragt, personenbezogene Daten für ihn zu erheben, muss nach § 11 BDSG vertraglich unter anderem Folgendes regeln:
- Gegenstand und Dauer des Auftrags
- Umfang, Art und Zweck der Erhebung
- Nutzung und Art der Daten
- Zielgruppe bzw. Kreis der Betroffenen
- Berichtigung, Löschung und Sperrung von Daten
- Weitergabe der Daten für Unteraufträge
- Rückgabe der Datenträger und Löschung gespeicherter Daten nach Beendigung des Auftrags
Der Auftraggeber ist verpflichtet, sich davon zu überzeugen, dass der von ihm beauftragte Dienstleister sich ordnungsgemäß verhält.
Informationspflicht
Wenn etwas schief läuft beim Datenschutz, darf man dies nicht einfach vertuschen. Wer unrechtmäßig an personenbezogene Daten gelangt ist, muss dies vielmehr laut § 42 BDSG den Betroffenen und der Aufsichtsbehörde unverzüglich mitteilen. Ist dies wegen der großen Menge von Daten und Adressen nicht oder nur mit einem unverhältnismäßig großen Aufwand möglich, muss man über Anzeigen an die Öffentlichkeit gehen. Wer dies unterlässt, kann mit einer Geldbuße bestraft werden, die den wirtschaftlichen Vorteil, den das Unternehmen durch die Ordnungswidrigkeit erlangt hat, übersteigen soll.
Unternehmen, die allzu lasch mit dem Datenschutz umgehen, kann dies also nicht nur teuer zu stehen kommen, sondern es kann insbesondere sehr peinlich werden und den Ruf des Unternehmens schädigen.
Wer sich für den genauen Wortlauf der einzelnen Paragrafen des Bundesdatenschutzgesetzes interessiert, findet den Gesetzestext hier.
Stand: September 2009
Bild: aboutpixel.de CD-Stapel © Rainer Sturm