|
Bundesdatenschutzgesetz
geändert
Die Änderungen des
Bundesdatenschutzgesetz sind im Bundesgesetzblatt vom 25. August 2006
veröffentlicht worden und am 26. August 2006 in Kraft getreten. Einen
Auszug über die Änderungen finden Sie am Ende dieses Beitrags.
Am 26. August 2006 ist das "Erste
Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen
Wirtschaft" in Kraft getreten. Mit diesem Gesetz ergeben sich auch einige
Änderungen im Bundesdatenschutzgesetz. So wurde die Bestellung externer
Datenschutzbeauftragter bei Amts- und Berufsgeheimnisträgern geregelt aber auch
der Schwellenwert für die Pflicht zur Bestellung betrieblicher
Datenschutzbeauftragter gesenkt.
Externe
Datenschutzbeauftragte auch bei Amts- und Berufsgeheimnisträgern eindeutig
zulässig
Um den Schutz der
Privatgeheimnisse der Mandaten des Steuerberaters bzw. der Patienten des Arztes
auch beim (externen) Datenschutzbeauftragten genüge zu tun, wird durch § 4f Abs.
4a dem externen Datenschutzbeauftragten nun das gleiche
Zeugnisverweigerungsrecht wie der Leitung der Stelle, also dem Steuerberater,
Anwalt oder Arzt selbst, zugestanden. Soweit das Zeugnisverweigerungsrecht des
Datenschutzbeauftragten reicht, unterliegen auch seine Akten und andere
Schriftstücke einem Beschlagnahmeverbot. Ergänzend wurde der § 203 StGB so
erweitert, so dass einem betrieblichen Datenschutzbeauftragten beim Verrat von
Privatgeheimnissen die gleiche Strafe droht, wie dem Berufsgeheimnisträger
selbst.
* Schwellenwert zur Pflicht zur
Bestellung eines/einer Datenschutzbeauftragten gesenkt
Nach der bisherigen Regelung war
von nichtöffentlichen Stellen ein Datenschutzbeauftragter u.a. dann zu
bestellen, wenn diese mehr als „vier Arbeitnehmer mit der Erhebung, Verarbeitung
oder Nutzung personenbezogener Daten beschäftigen“. Die Neuregelung bewirkt,
dass dies erst dann erforderlich ist, wenn solche Stellen mehr als „neun
Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigen.“
Dieser eine geänderte Halbsatz beinhaltet gleich vier
Änderungen:
1.
Die Mindestanzahl wird von fünf (mehr als vier) auf 10 (mehr als
9) geändert.
2.
Neu ist die „ständige“ Beschäftigung mit der automatisierten
Verarbeitung personenbezogener Daten. Die Personen, die nur ab und an
personenbezogene Daten automatisiert verarbeiten, sind nicht mehr mitzuzählen.
3.
Statt Arbeitnehmern sind jetzt Personen genannt. Zu den Personen
gehören nicht nur angestellte Arbeitnehmer sondern alle Personen, die
personenbezogene Daten automatisiert verarbeiten. Das sind z.B. auch
ehrenamtlich Tätige in Vereinen, freie Mitarbeiter, aber auch die
Unternehmensleitung selbst, die in der Regel selbst nicht zu den Arbeitnehmern
gehörte.
4.
Während bisher die Arbeitnehmer zu zählen waren, die mit der
automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
beschäftigt waren, sind jetzt nur noch die Personen zu zählen, die mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Damit wird klargestellt, dass ein Mitarbeiter, der für seine Arbeit nur eine
ausgedruckte Liste mit personenbezogenen Daten nutzt, aber nicht selbst am PC
arbeitet, nicht mitzuzählen ist.
Verpflichtung
der Unternehmensleitung den Datenschutz sicherzustellen deutlich
hervorgehoben
Sollte aufgrund der Neuregelung
die bisherige Pflicht zur Bestellung nicht mehr gegeben sein (aber Vorsicht: die
Anzahl der Personen ist nur einer der Gründe warum ein/e
Datenschutzbeauftragte/r zu bestellen ist. Insbesondere die Pflicht zur
Vorabkontrolle sollte nicht übersehen werden!), so empfiehlt es sich, die
Bestellung trotzdem aufrecht zu erhalten, da die Leitung des Unternehmens oder
der Einrichtung verpflichtet ist, dann die Umsetzung der Aufgaben des/der
Datenschutzbeauftragten sicher zu stellen.
Der Gesetzgeber hat diese
Verpflichtung im neuen Absatz 2a des § 4g deutlich hervorgehoben:
„Soweit bei einer
nicht-öffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten
für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die
Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise
sicherzustellen.“ (§ 4g Abs. 2a BDSG)
Vereinfach ausgedrückt: Wenn kein
Datenschutzbeauftragter zu bestellen ist, dann muss die Unternehmensleitung die
Aufgaben des Datenschutzbeauftragten entweder selbst übernehmen oder an einen
Datenschutzverantwortlichen delegieren.
Ihr Ansprechpartner:
Frau Rechtsanwältin Elisabeth Vogt
Anhang: Bundesdatenschutzgesetz 2006
(Auszug)
Neufassungen der
Vorschriften, durch das „Erste(s) Gesetz zum Abbau der bürokratischen Hemmnisse
insbesondere in der Wirtschaft“ vom 22. August 2006
Änderungen hervorgehoben
§
4d Meldepflicht
(1)
Verfahren
automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von
nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und
von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und
Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit nach Maßgabe von § 4e zu melden.
(2)
Die Meldepflicht
entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz
bestellt hat.
(3)
Die Meldepflicht
entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für
eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens neun Personen mit der Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine
Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder
Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen
Vertrauensverhältnisses mit den Betroffenen dient.
(4)
Die Absätze 2 und
3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen
geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der
Übermittlung oder 2. zum Zweck der anonymisierten Übermittlung gespeichert
werden.
(5)
Soweit
automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten
der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der
Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere
durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9)
verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu
bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich
seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass
eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt
oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines
Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem
Betroffenen dient.
(6)
Zuständig für die
Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die
Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat
sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und
Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit zu wenden.
5.
§ 4f Beauftragter für den Datenschutz
(1) Öffentliche
und nicht öffentliche Stellen, die personenbezogene Daten automatisiert
verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu
bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines
Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn
personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden
und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und
2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit
aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die
Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit
nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer
Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck
der Übermittlung oder der anonymisierten Übermittlung automatisiert verarbeiten,
haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten
Personen einen Beauftragten für den Datenschutz zu bestellen.
(2) Zum
Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung
seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde
bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der
verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die
die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann
auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die
Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder
besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der
Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer
Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum
Beauftragten für den Datenschutz bestellen.
(3) Der
Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder
nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner
Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der
Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum
Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des
Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der
Aufsichtsbehörde, widerrufen werden.
(4) Der
Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des
Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen,
verpflichtet, soweit er nicht davon durch den Betroffenen befreit
wird.
(4a) Soweit der Beauftragte für den
Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter
oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten
Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht
dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal
zu. Über die Ausübung dieses Rechts entscheidet die Person, der das
Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass
diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit
das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht,
unterliegen seine Akten und andere Schriftstücke einem
Beschlagnahmeverbot.
(5) Die
öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den
Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm
insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist,
Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu
stellen. Betroffene können sich jederzeit an den Beauftragten für den
Datenschutz wenden.
6.
§ 4g Aufgaben des Beauftragten für den
Datenschutz
(1) Der
Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und
anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der
Beauftragte für den Datenschutz in Zweifelsfällen an die für die
Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden.
Er kann die Beratung nach § 38 Abs. 1
Satz 2 in Anspruch nehmen. Er hat insbesondere
1.
die
ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe
personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck
ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten
rechtzeitig zu unterrichten,
2.
die
bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete
Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über
den Datenschutz und mit den jeweiligen besonderen Erfordernissen des
Datenschutzes vertraut zu machen.
(2) Dem
Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine
Übersicht über die in § 4e Satz 1 genannten Angaben sowie über
zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den
Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann
in geeigneter Weise verfügbar.
(2a) Soweit bei
einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines
Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen
Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise
sicherzustellen.
(3)
Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine
Anwendung. Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der
behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter
herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den
Datenschutz und dem Behördenleiter entscheidet die oberste
Bundesbehörde.
§
38 Aufsichtsbehörde
(1)
Die
Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer
Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung
personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener
Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts
der Mitgliedstaaten in den Fällen des § 1 Abs. 5. Sie berät und unterstützt die Beauftragten
für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren
typische Bedürfnisse. Die Aufsichtsbehörde darf die von ihr gespeicherten
Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis
3, 6 und 7 gilt entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck
der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. Sie leistet den
Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen
ergänzende Hilfe (Amtshilfe). Stellt die Aufsichtsbehörde einen Verstoß gegen
dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie
befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die
Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden
Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher
Maßnahmen zu unterrichten. Sie veröffentlicht regelmäßig, spätestens alle zwei
Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten
entsprechend.
(2)
Die
Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen
automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1. Das Register
kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht auf
die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten
Personen.
(3)
Die
der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten
Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer
Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der
Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren
Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der
Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher
Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten
aussetzen würde. Der Auskunftspflichtige ist darauf
hinzuweisen.
(4)
Die
von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt,
soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben
erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und
Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen
vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere die Übersicht
nach § 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die
Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der
Auskunftspflichtige hat diese Maßnahmen zu dulden.
(5)
Zur
Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften
über den Datenschutz, soweit diese die automatisierte Verarbeitung
personenbezogener Daten oder die Verarbeitung personenbezogener Daten in oder
aus nicht automatisierten Dateien regeln, kann die Aufsichtsbehörde anordnen,
dass im Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung
festgestellter technischer oder organisatorischer Mängel getroffen werden. Bei
schwerwiegenden Mängeln dieser Art, insbesondere, wenn sie mit besonderer
Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie den Einsatz
einzelner Verfahren untersagen, wenn die Mängel entgegen der Anordnung nach Satz
1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit
beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz
verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und
Zuverlässigkeit nicht besitzt.
(6)
Die
Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die
Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses
Abschnittes zuständigen Aufsichtsbehörden.
(7)
Die
Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes
unterliegenden Gewerbebetriebe bleibt unberührt.
|
