Telefon: +49 911 1335-1335

Kein Gesetz mit Verfallsdatum

Kaum ist das Bundesdatenschutzgesetz (BDSG) geändert, wird schon die 2. Stufe der Überarbeitung geplant. Kann man deshalb die 1. Stufe ignorieren? Die Antwort für den betrieblichen Alltag lautet eindeutig „Nein“.
Das nunmehr geltende Gesetz umfasst die Umsetzung der EU-Richtlinie zum Datenschutz. Leider ist es dadurch schwer lesbar geworden und noch schwerer zu befolgen. Daher ist für die nächste Novellierung geplant, das Gesetz auf Grundsätze zu beschränken. Insbesondere soll die Selbstverantwortung für den Schutz personenbezogener Daten gestärkt werden. Einen neuen Ansatz hierzu beinhaltet die BDSG-Novellierung bereits jetzt: das Datenschutzaudit und die Stärkung der Stellung des betrieblichen Datenschutzbeauftragten (bDSB).

Was sind die geltenden
Grundsätze des Datenschutzes?


· Verbot mit Erlaubnisvorbehalt
Eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist nur rechtmäßig, wenn es hierfür eine gesetzliche Grundlage gibt oder der Betroffene eingewilligt hat.
· Datenvermeidung und Datenspar-samkeit
Jegliche Hard- und Software soll daran ausgerichtet sein, so wenig Daten wie möglich zu verarbeiten oder zu nutzen. Möglichkeiten der Anonymisierung und der Pseudonymisierung von Daten sollen verwendet werden.
· Zweckbindung
Daten dürfen nur zu dem ursprünglich vereinbarten oder festgelegten Zweck erhoben, verarbeitet und genutzt werden.
· Recht auf Auskunft
Der Betroffene hat jederzeit ein Anrecht auf Auskunft über die Daten, die über ihn gespeichert sind. Hiervon umfasst sind auch die Herkunft der Daten, der Zweck der Speicherung und Empfänger, an die seine Daten (regelmäßig) übermittelt werden.

Was ändert sich für
die betriebliche Anwendung?

Die Gesetzesänderung verpflichtet jedes Unternehmen, in dem fünf Mitarbeiter mit der elektronischen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt sind, einen betrieblichen Datenschutzbeauftragten zu bestellen. Er muss die für diese Aufgabe erforderliche Schulungen erwerben. Er ist direkt der Geschäftsführung zugeordnet, aber weisungsfrei. Ihm ist es erlaubt, in Zweifelsfällen die Aufsichtsbehörde für den Datenschutz zur Lösung von datenschutzrechtlichen Problemen einzuschalten. Dieser Regelung entspricht es, dass die Datenschutzkontrollbehörden zunehmend ihre Aufgabe in der Beratung der Unternehmen sehen. Wird kein betrieblicher Datenschutzbeauftragter bestellt, unterliegt der Betrieb umfangreichen Meldepflichten an die Aufsichtsbehörde.
Das Gesetz verlangt keine Vollzeitbeschäftigung des betrieblichen Datenschutzbeauftragten. Wie die bisherigen Erfahrungen zeigen, variiert die Belastung mit dieser Aufgabe je nach Größe des Betriebs. Es kann auch ein externer Fachmann mit der Rolle des betrieblichen Datenschutzbeauftragten betreut werden. Keinesfalls sollte es der Leiter der DV oder ein Mitarbeiter dieser Abteilung sein, weil dadurch eine „Selbstkontrolle“ geschaffen würde, die den gesetzlichen Vorgaben nicht entspräche.
Wesentliche Aufgabe des betrieblichen Datenschutzbeauftragten ist es, den Datenschutz im Unternehmen selbst zu organisieren. Dazu ist ihm ein Verfahrensverzeichnis von der Geschäftsleitung des Betriebes zur Verfügung zu stellen, aus dem sich alle wichtigen Verfahren zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten ergeben. Das kann Personalabrechnungssysteme oder Kunden- und Lieferantendateien betreffen.
Darüber hinaus ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. Dieser gesetzlichen Forderung würde am besten entsprochen, wenn der betriebliche Datenschutzbeauftragte vor jeder neuen Anschaffung im Hard- und Softwarebereich bzw. bei jeder neuen Anwendung - wie andere Stellen im Betrieb auch - seine (schriftliche) Zustimmung geben müsste. Das Verfahrensverzeichnis ist im Übrigen für jedermann einsehbar zu halten. Der betriebliche Datenschutzbeauftragte hat dies zu gewährleisten.
Zu den weiteren Aufgaben des betrieblichen Datenschutzbeauftragten gehören Hinweise und Schulungen für die Beschäftigten, denn sie sind die eigentlichen Datenverarbeiter. Daher müssen sie für datenschutzrechtliche Maßnahmen regelmäßig sensibilisiert werden.

Wird der betriebliche Datenschutzbeauftragte durch das Datenschutzaudit überflüssig?
Anbieter von Datenverarbeitungssystemen und -programmen und Anwender können ihr Datenschutzkonzept oder ihre technischen Einrichtungen von unabhängigen und zugelassenen Gutachter prüfen lassen. Zum Erreichen eines positiven Ergebnisses ist der betriebliche Datenschutzbeauftragte im Zweifel nicht nur unerlässliche Voraussetzung, sondern er ist auch derjenige, der eine solche Maßnahme voranbringen kann, um dem Unternehmen einen Marketingvorsprung vor Mitbewerbern zu sichern. Dies gilt insbesondere für Branchen, in denen direkter Kontakt zum Endverbraucher besteht, zum Beispiel im Einzelhandel oder in vielen Bereichen des Internet-Handels.
Die im Gesetz enthaltene Regelung zum Datenschutzaudit ist zunächst nur eine Grundsatzerklärung. Die genaue Ausgestaltung des Verfahrens bedarf eines Ausführungsgesetzes. Mit seiner Verabschiedung ist im Rahmen der 2. Stufe der BDSG-Novellierung zu rechnen.

Datentransfer in Drittländer
In Umsetzung der EU-Datenschutzrichtlinien sieht das BDSG besondere Regelungen für die Übermittlung von personenbezogenen Daten in andere Länder als die EU-Mitgliedstaaten sowie die EWR-Länder (wie zum Beispiel Norwegen, Finnland, Island) vor. Sollen Daten außerhalb der EU bzw. EWR verarbeitet werden, ist die Weitergabe nur zulässig, wenn der Betroffene eingewilligt hat oder in dem Empfängerstaat ein angemessenes Datenschutzniveau herrscht. Zur Feststellung gibt es mehrere Schritte:
· Die EU-Kommission prüft die dort
geltenden gesetzlichen Regelungen und entscheidet, dass ein entsprechend vergleichbares Niveau wie in der EU besteht (so geschehen für die Schweiz und Ungarn). Für die USA wurde ein besonderes Verfahren angewandt: Ein angemessenes Datenschutzniveau wird dort für bestimmte Empfängerunternehmen festgestellt, wenn sie sich einer Überprüfung unterziehen (so genannte safe-harborprinciples).
· Die EU-Kommission hat Musterver-
tragsklauseln vorgeschlagen. Bei deren Verwendung kann von einem angemessenen Datenschutzniveau dann ausgegangen werden, wenn Datenexpoteur und Datenimporteur die Klauseln vereinbaren. Diese Form der Regelung kann insbesondere für Unternehmen im Konzernverbund verwendet werden. Die Vertragsklauseln bedürfen insgesamt der Genehmigung.
· Branchen können sich Selbstverplich-
tungsregelungen (so genannte codes of conduct) geben, die ein angemessenes Datenschutzniveau der beteiligten Unternehmen gewährleisten. Auch diese Regelungen bedürfen der Genehmigung durch Aufsichtsbehörden.

Was wird die 2. Stufe bringen?
Experten diskutieren zur Zeit viele neue Ansätze einer gesetzlichen Änderung:
· Kann das Verbot mit Erlaubnisvorbe-
halt in einer Informations- und Kom-munikationsgesellschaft überhaupt noch aufrecht erhalten werden?
· Sind Einzelregelungen im BDSG über haupt sinnvoll oder sollte man weitere bereichsspezifische Gesetze - wie bisher für die Telekommunikation und die neuen Medien erfolgt - schaffen?
· Ist der Schutz des Bürgers vor dem Staat wichtiger, ebenso wichtig oder
weniger wichtig im Vergleich zu Problemen im nichtöffentlichen, also dem Wirtschaftsbereich?

Ob diese Fragen noch bis zur Bundestagswahl 2002 in einem neuen BDSG gelöst werden, wie es die ehrgeizige Planung vorsieht, darf bezweifelt werden. Unabhängig davon bleibt aber für die Unternehmen genügend Umsetzungsbedarf durch die 1. Stufe.
Die IHKs stellen für die Beratung der Unternehmen eine Fülle von Instrumenten zur Verfügung (Hinweis auf Erfahrungsaustausch-Kreise betrieblicher Datenschutzbeauftragter, Veranstaltungen usw.) Annette Karstedt-Meierricks
 

WiM – Wirtschaft in Mittelfranken, Ausgabe 11|2001, Seite 8

 
Device Index

Alle Ansprechpartner/innen auf einen Blick