|
Was ist neu im Bundesdatenschutzgesetz?
Am 14.01.2003 ist das neue Bundesdatenschutzgesetz
(BDSG)
veröffentlich worden.
Was ist neu?
Grundzüge der
Novellierung
Der Anwendungsbereich der Richtlinie
ist beschränkt auf den Geltungsbereich des EG-Vertrages. Die Datenverarbeitung
von Polizei- und Nachrichtendiensten ist daher von der Richtlinie nicht
unmittelbar berührt. Allerdings erscheint es nicht sinnvoll, eine lediglich auf
den Geltungsbereich des EG-Vertrages beschränkte Anpassung des
Bundesdatenschutzgesetzes vorzunehmen. Sonst würden unterschiedliche Regelungen
gelten, je nachdem, ob Gemeinschaftsrecht oder ausschließlich deutsches Recht
auszuführen und anzuwenden ist. Dies wäre mit dem Querschnittscharakter und der
subsidiären Geltung des Bundesdatenschutzgesetzes nicht
vereinbar.
Die Transparenz der
Datenverarbeitung für den Bürger wurde u.a. erhöht durch die Ausdehnung der
Benachrichtigungspflicht des Betroffenen von der Speicherung / Weitergabe seiner
Daten auch auf den öffentlichen Bereich, durch eine grundsätzliche
Informationspflicht des Betroffenen bei der Erhebung seiner Daten auch im
nicht-öffentlichen Bereich und eine geringfügige Erweiterung des
Auskunftsrechts. Ebenfalls der Bürgerfreundlichkeit dient die Vorschrift des § 6
a, wonach belastende Entscheidungen, die aufgrund von Persönlichkeitsprofilen
ohne zusätzliche Überprüfung durch einen Menschen erfolgen, grundsätzlich
verboten sind.
Die Richtlinie sieht eine Reihe von
Restriktionen im Zusammenhang mit der Verarbeitung sog. sensitiver Daten vor,
die den Bürger in diesem empfindlichen Bereich besonders schützen sollen. Die
Richtlinie versteht unter sensitiven Daten solche, aus denen die rassische und
ethnische Herkunft, politische Meinungen, religiöse oder philosophische
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten
über Gesundheit oder Sexualleben. In Umsetzung der Vorgaben der Richtlinie
unterliegt nun der Umgang mit diesen Daten besonderen Einschränkungen sowohl im
öffentlichen als auch im nicht-öffentlichen Bereich.
Wichtig unter dem Aspekt der
Erhaltung der unternehmerischen Freiheit und möglichst uneingeschränkter
wirtschaftlicher Betätigung ist die Neuregelung der Übermittlung
personenbezogener Daten in Drittstaaten. Übermittlungen personenbezogener Daten
dürfen grundsätzlich nur bei Vorliegen eines angemessenen Datenschutzniveaus im
Drittstaat vorgenommen werden. Durch einen breiten Ausnahmekatalog wird aber
sichergestellt, dass der Wirtschaftsverkehr mit Drittstaaten nicht unangemessen
beeinträchtigt wird.
Der Entbürokratisierung dient die
Neuregelung der Meldepflicht automatisierter Verarbeitungen. Diese ist
dahingehend modifiziert worden, dass die in der Richtlinie vorgesehene
Möglichkeit der Einschränkung der allgemeinen Meldepflicht weitestgehend genutzt
wurde. So entfällt nach der Regelung des § 4 d Abs. 2 die Meldepflicht, wenn die
speichernde Stelle einen internen Datenschutzbeauftragten bestellt hat und im
Falle des Vorliegens einer weniger beeinträchtigenden Verarbeitung (§ 4 d Abs.
3). Da durch § 4 f Abs. 1 der behördliche Datenschutzbeauftragte als
obligatorische Institution eingeführt wird, kann die Meldepflicht im
öffentlichen Bereich vollständig entfallen. Die Wahrung des sog. Medienprivilegs
wird in weitem Umfang gewährleistet. Die durch die Richtlinie erforderlich
gewordene Erweiterung des Anwendungsbereichs für Unternehmen der Presse wurde
restriktiv vorgenommen.
Die wesentlichen Änderungen aufgrund
der Richtlinie im Einzelnen
–
Der
Anwendungsbereich des Bundesdatenschutzgesetzes war durch die Vorschrift des § 1
Abs. 5 zu ergänzen: Diese betrifft zum einen die Datenverarbeitung innerhalb der
Europäischen Union. Das Bundesdatenschutzgesetz kommt hier nicht zur Anwendung,
wenn die Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle
eines anderen Mitgliedstaates der Europäischen Union im Inland ausgeführt wird.
Als Ausnahme dieser Regelung findet das Bundesdatenschutzgesetz aber Anwendung,
sofern die verantwortliche Stelle eine Niederlassung im Inland unterhält. Zum
anderen soll mit der Vorschrift verhindert werden, dass ein möglicherweise
geringerer Datenschutzstandard als der in den Mitgliedstaaten der Europäischen
Union vorhandene in den Fällen zur Geltung kommt, in denen Datenerhebungen,
-verarbeitungen oder -nutzungen innerhalb der Europäischen Union durch außerhalb
der Europäischen Union belegene speichernde Stellen vorgenommen werden. Darüber
hinaus waren die Kriterien für den sachlichen Anwendungsbereich des
Bundesdatenschutzgesetzes insofern in Übereinstimmung mit Artikel 3 Abs. 1 der
Richtlinie zu bringen, als es bei automatisierten Verarbeitungen nicht mehr auf
den Dateibegriff ankommt. Das Kriterium der Datei ist nur noch von Bedeutung,
soweit es um die nicht automatisierte Verarbeitung personenbezogener Daten
geht.
–
Da die
Richtlinie die Erhebung personenbezogener Daten als Teil der Verarbeitung
begreift, das Bundesdatenschutzgesetz bisher aber nur die Erhebung für den
öffentlichen Bereich regelt, bedurfte es der Einführung eines
Gesetzesvorbehaltes auch für die Erhebung im nicht-öffentlichen
Bereich.
–
Im Gegensatz
zur bisherigen Rechtslage kommt dem Begriff des "Empfängers" nunmehr neben dem
des "Dritten" eigenständige Bedeutung zu. Er war daher in § 3 Abs. 8 zu
definieren, seine bisherige Verwendung im Bundesdatenschutzgesetz
anzupassen.
–
Die
Übermittlung personenbezogener Daten in Drittstaaten wurde in § 4 b und § 4 c
neu geregelt. Diese Vorschriften sollen zum einen ein koordiniertes Verhalten
der Mitgliedstaaten beim Transfer in Drittstaaten sicherstellen und zum anderen
- durch einen breiten Katalog von Ausnahmebestimmungen - dafür Sorge tragen,
dass der Wirtschaftsverkehr mit Drittstaaten nicht unangemessen beeinträchtigt
wird. Da nach Umsetzung der Richtlinie durch die Mitgliedstaaten der
Europäischen Union innerhalb des Anwendungsbereichs der Richtlinie von einem
angemessenen Datenschutzniveau innerhalb der Europäischen Union auszugehen ist,
gelten insoweit die §§ 15, 16 und 28 ff. In den neu eingefügten §§ 4 d und 4 e
ist die Meldepflicht für automatisierte Verarbeitungen öffentlicher und
nicht-öffentlicher Stellen geregelt.
–
Nach der
Regelung des § 4 d Abs. 2 und 3 entfällt die Meldepflicht, wenn die
verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat oder eine
weniger beeinträchtigende Verarbeitung vorliegt. Damit kann die Meldepflicht im
öffentlichen Bereich vollständig entfallen, da durch § 4 f Abs. 1 der
behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt
wird. Neu ist die sog. Vorabkontrolle, d.h. bestimmte automatisierte
Verarbeitungen werden vor Inbetriebnahme einer Prüfung durch den
Datenschutzbeauftragten unterzogen.
–
Die neue
Vorschrift des § 6 a beinhaltet die Regelung der sog. automatisierten
Einzelentscheidung. Durch die Vorschrift soll verhindert werden, dass
Entscheidungen ausschließlich aufgrund von automatisiert erstellten
Persönlichkeitsprofilen getroffen werden, ohne dass eine Person den Sachverhalt
erneut überprüft hat.
–
Die Regelungen
über die Erhebung und zweckändernde Verarbeitung personenbezogener Daten waren
sowohl im öffentlichen als auch im nicht-öffentlichen Bereich um
Sonderregelungen hinsichtlich sog. sensitiver Daten zu ergänzen (§§ 13, 14 Abs.
5, 28 Abs. 6 und 7, 29 Abs. 5, 30 Abs. 5). Entsprechendes gilt für die
Voraussetzungen der Einwilligung, § 4 a Abs. 3.
–
Der neu
geschaffene § 19 a führt eine Benachrichtigungspflicht im öffentlichen Bereich
für die Fälle ein, in denen Daten nicht beim Betroffenen selbst erhoben
werden.
–
Da die
Richtlinie keine Beschränkung der Datenschutzkontrolle auf eine Anlasskontrolle
vorsieht, wie sie in § 38 Abs. 1 und § 24 Abs. 1 Satz 2 a.F. geregelt war, waren
die entsprechenden Einschränkungen zu streichen.
–
Die neue
Vorschrift des § 38 a beinhaltet Regelungen im Zusammenhang mit den sog.
Verhaltensregeln zur Förderung der ordnungsgemäßen Durchführung
datenschutz-rechtlicher Regelungen, die u.a. eine Vereinheitlichung derartiger
interner Regeln bewirken sollen. Berufsverbände und ähnliche Vereinigungen
erhalten die Möglichkeit, von ihnen erarbeitete Verhaltensregeln der
Aufsichtsbehörde zu unterbreiten. Diese überprüft die Vereinbarkeit der Entwürfe
mit dem geltenden Datenschutzrecht.
–
Die Vorschrift
des § 41, die die Verarbeitung und Nutzung personenbezogener Daten durch Medien
regelt, ist als Rahmenvorschrift für die Landesgesetzgebung ausgestaltet worden.
Der Anwendungsbereich der Datenschutzbestimmungen für die Medien ist auf die
Vorschriften über die Haftung (insoweit nur eingeschränkt) und die
Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher
Regelungen erweitert worden. Gleichzeitig war der Anwendungsbereich des sog.
Medienprivilegs zu erweitern, da nunmehr auch die Verarbeitung personenbezogener
Daten zu literarischen Zwecken hiervon erfasst wird.
–
Die Anlage zu
§ 9 wurde gestrafft, um die Anforderungen der Richtlinie ergänzt, sprachlich
überarbeitet sowie den heutigen Gegebenheiten der Informations- und
Kommunikationstechnik angepasst.
Sonstige wesentliche Änderungen des
Bundesdatenschutzgesetzes
Neben den unmittelbar durch die
Umsetzung der Datenschutzrichtlinie bedingten Änderungen des
Bundesdatenschutzgesetzes sieht diese Novelle folgende neue Regelungen
vor:
Der Grundsatz der Datenvermeidung
und -sparsamkeit (§ 3 a) besagt, dass sich die Gestaltung und Auswahl von
Systemen der Datenverarbeitungsanlagen an dem Ziel auszurichten hat, keine oder
so wenig personenbezogene Daten wie möglich zu verarbeiten. Die Regelung soll
dazu führen, dass durch den gezielten Einsatz datenschutzfreundlicher Technik
die Gefahren für das informationelle Selbstbestimmungsrecht der Betroffenen
reduziert werden.
Die in weiten Bereichen durch
öffentliche und nicht-öffentliche Stellen bereits durchgeführte Videoüberwachung
öffentlich zugänglicher Räume erhält durch die Vorschrift des § 6 b eine
gesetzliche Grundlage, die der Wahrung des informationellen
Selbstbestimmungsrechts durch einen angemessenen Interessensausgleich Rechnung
trägt.
Die neue Regelung des
Datenschutzaudits(§ 9 a) verfolgt das Ziel, datenschutzfreundliche Produkte auf
dem Markt zu fördern, indem deren Datenschutzkonzept geprüft und bewertet
wird.
Bereits bei der Novellierung des
BDSG 1990 waren zuvor bestehende Unsicherheiten in der
Rechtsanwendungspraxishinsichtlich personenbezogener Daten, die einem Berufs-
oder besonderen Amtsgeheimnis unterliegen, durch Klarstellung im Rahmen der
damaligen Neufassung von § 24 Abs. 1 und 2 beseitigt worden. Keine ausdrückliche
Regelung bestand für die Kontrolle des Bundesbeauftragten für den Datenschutz
hinsichtlich der von öffentlichen Stellen des Bundes erlangten personenbezogenen
Daten über den Inhalt und die näheren Umstände des Brief-, Post- und
Fernmeldeverkehrs. Vielmehr verwehrte § 24 Abs. 2 Satz 3 a.F., der den Inhalt
des Post- und Fernmeldeverkehrs von der Kontrolle ausnahm, es dem
Bundesbeauftragten für den Datenschutz, die Verwendung der durch Eingriffe in
das Brief-, Post- und Fernmeldegeheimnis erlangten Daten zu
kontrollieren.
Dies soll mit der neuen Regelung des
§ 24 Abs. 2 ermöglicht werden.
Der neu eingefügte § 29 Abs. 3
beinhaltet eine Regelung, mit der folgendes erreicht wird: In den Fällen, in
denen es sich bei Herausgebern elektronischer oder gedruckter Verzeichnisse
nicht um Diensteanbieter im Sinne der
Telekommunikationsdienstunternehmen-Datenschutzverordnung(TDSV) handelt, bestand
bisher nur unzureichender Schutz der Betroffenen vor nicht gewollten
Eintragungen in diese Verzeichnisse. Diese Regelungslücke schließt der neue § 29
Abs. 3.
Ihr Ansprechpartner: Rechtsanwalt
Johannes Richard, Rostock
|
