Seit Juli 2009 ist die Neufassung des Bundesdatenschutzgesetzes in Kraft. Sie stellt die Betriebe vor zahlreiche Probleme. Von Gerd Schmidt
Die Neuerungen betreffen eine Vielzahl von Aspekten des Datenschutzes und sind schwer durchschaubar. Stellenweise sind die Formulierungen des novellierten Bundesdatenschutzgesetzes (BDSG) missverständlich. Das zeigt, dass die Reform mit heißer Nadel gestrickt wurde. Es hilft aber nichts: Die Betriebe und deren Datenschutzbeauftragte müssen sich auf die Änderungen einstellen. Dabei sollten sie sich zunächst auf die Neuerungen konzentrieren, die bereits seit 1. September 2009 relevant sind und bei deren Nichtbeachtung teilweise ein Bußgeld droht. Die Datenschutzbeauftragten sehen sich jetzt vor allem mit diesen vier Bereichen konfrontiert: Verarbeitung von Auftragsdaten, Datensicherheit, Umgang mit Daten von Arbeitnehmern sowie Adressdaten und Werbung.
Verarbeitung von Auftragsdaten
Bei Aufträgen, für die der Auftraggeber personenbezogene Daten zur Verfügung stellt, musste schon bisher ein eigener Vertrag zu Aspekten des Datenschutzes geschlossen werden. Nun hat der Gesetzgeber festgelegt, welche Inhalte ein solcher Vertrag mindestens enthalten muss. Neu ist, dass der Auftraggeber seinen Dienstleister auf Verlässlichkeit und IT-Sicherheit überprüfen muss, noch bevor er diesem die Personendaten zur Verfügung stellt. Diese Prüfung ist regelmäßig zu wiederholen und auch zu dokumentieren. Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt dringend, auch alle schon bestehenden Verträge daraufhin zu überprüfen. Wichtig: Dies alles muss bis Februar 2010 geschehen.
Datenschutzpranger und Datensicherheit
Trotz aller Vorsicht sind Datenpannen und Datenlecks natürlich nie auszuschließen. Für diese Fälle sieht die Novelle des Bundesdatenschutzgesetzes Regelungen vor, die sich an das Recht vieler US-Bundesstaaten anlehnen. Ab sofort müssen die betroffenen Personen und die Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes umgehend informiert werden.
Für die Betriebe heißt das konkret: Sie müssen detailliert festlegen, auf welchen Wegen sie schnell über Datenschutzpannen informieren. Das bedeutet auch, dass die Mitarbeiter im Betrieb sensibilisiert sind und dass im Betrieb Transparenz im Datenschutz herrscht. Es wird empfohlen, die Fehleranalyse und das Fehlermanagement im Falle von Datenpannen zu verbessern. In Zusammenarbeit mit der Pressestelle sollten Konzepte für die Krisenkommunikation vorbereitet werden, sollte es doch einmal zu Datenpannen kommen. Dies ist aus zweierlei Gründen bedeutsam: Zum einen geht es darum, den Betroffenen und dem Landesamt für Datenschutzaufsicht zu erklären, wie man die Datenpanne zu lösen und in Zukunft zu verhindern gedenkt. Zum anderen müssen die vom Datenleck betroffenen Personen über eine Zeitungsanzeige informiert werden, wenn sie dem Unternehmen nicht namentlich bekannt oder wenn sie nicht direkt erreichbar sind (sogenannter „Datenschutzpranger“).
Daten von Arbeitnehmern
Das neue BDSG schreibt jetzt auch genauer vor, wie die Betriebe die Daten ihrer Mitarbeiter erheben, verarbeiten und nutzen dürfen. Als Mitarbeiter im Sinne des Gesetzes gelten auch frühere Beschäftigte und Bewerber. Neu ist, dass nicht mehr nur elektronische Daten von Arbeitnehmern unter den Datenschutz fallen, sondern auch die klassischen Personalakten, die in Ordnern abgeheftet sind. Eingeschränkt wurde die Möglichkeit, Daten von Beschäftigten dazu zu nutzen, um ihnen Straftaten im Betrieb nachzuweisen. Wie die Betriebe diese Regelungen des BDSG in der Praxis genau anwenden sollen, ist jedoch noch nicht geklärt. Die neue Norm bringt auch Unsicherheiten bei den sogenannten Compliance-Programmen, die das rechtmäßige Verhalten von Unternehmen sicherstellen sollen.
Trotz dieser Unklarheiten sollten die Betriebe auf jeden Fall folgende Maßnahmen ergreifen: Die Führungskräfte müssen auf die Neuregelungen hingewiesen werden, denen meist nicht klar sein dürfte, dass der Datenschutz nun auch für konventionelle Personalakten gilt. Die bestehenden Compliance-Regelwerke im Betrieb sollten überprüft werden, ob sie dem neuen BDSG noch genügen.
Adressdaten für die Werbung
Bisher war es möglich, bestimmte Personendaten zum Zwecke der Werbung an Dritte weiterzugeben. Dieses Listenprivileg der Direktmarketing-Unternehmen bleibt auch nach der Gesetzesnovelle weitgehend bestehen. Die Möglichkeit der „Beipackwerbung“ oder „Empfehlungswerbung“ ist weiterhin ohne Einschränkung zulässig.
Nutzen Unternehmen für die Werbung Adressdaten von Dritten, auf die sie selbst keinen Zugriff haben (sogenanntes Lettershop-Verfahren), gilt nun das Transparenzgebot. Der werbende Betrieb muss in seiner Werbepost auf die Herkunft der Adressdaten hinweisen. „Altdaten“ (d.h. Daten, die das Unternehmen bereits vor dem 1. September 2009 erhoben oder gespeichert hat) können in der bisherigen Form bis 31. August 2012 für Werbezwecke genutzt werden. Wird jedoch bei „Altdaten“ beispielsweise die Adresse aktualisiert, gilt ab da das neue Recht.
Soll mit den personenbezogenen Daten in anderer Form geworben werden, als dies vom Gesetz erlaubt ist, muss das Unternehmen dazu die Einwilligung der Betroffenen einholen. Die Anforderungen für diese Einwilligungserklärungen wurden nun wesentlich erhöht.
Grundsätzlich sind die neuen Regelungen außerordentlich kompliziert. Nicht zuletzt deswegen, weil jetzt Datenschutzregelungen mit Vorschriften aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) verbunden werden und weil die Werbung erschwert wird. Wie die Umsetzung im Betrieb dennoch gelingen kann, zeigen die Broschüren „Best Practice Guide UWG 2009“ und „Best Practice Guide zur Datenschutznovelle 2009“ des Deutschen Dialogmarketing Verbandes e.V. (www.ddv.de unter „Infocenter“/„DDV-Shop“).
Die Datenschutzreform 2009 nimmt die Unternehmen in die Pflicht. Es ist höchste Zeit, die Geschäftsprozesse in den Unternehmen an die geänderten Vorschriften anzupassen. Die Befugnisse des Bayerischen Landesamtes für Datenschutzaufsicht wurden mit der Reform erheblich erweitert. Die Behörde hat auch mehr Personal erhalten und wird in Zukunft häufiger kontrollieren. Die Position des betrieblichen Datenschutzbeauftragten wurde gestärkt. Eines ist klar: Den Unternehmen beschert das neue Bundesdatenschutzgesetz viel mehr Arbeit und Verantwortung.
