bdsg

Was ist neu im Bundesdatenschutzgesetz?

Am 14.01.2003 ist das neue Bundesdatenschutzgesetz (BDSG) veröffentlich worden.

Was ist neu?

Grundzüge der Novellierung

Der Anwendungsbereich der Richtlinie ist beschränkt auf den Geltungsbereich des EG-Vertrages. Die Datenverarbeitung von Polizei- und Nachrichtendiensten ist daher von der Richtlinie nicht unmittelbar berührt. Allerdings erscheint es nicht sinnvoll, eine lediglich auf den Geltungsbereich des EG-Vertrages beschränkte Anpassung des Bundesdatenschutzgesetzes vorzunehmen. Sonst würden unterschiedliche Regelungen gelten, je nachdem, ob Gemeinschaftsrecht oder ausschließlich deutsches Recht auszuführen und anzuwenden ist. Dies wäre mit dem Querschnittscharakter und der subsidiären Geltung des Bundesdatenschutzgesetzes nicht vereinbar.

Die Transparenz der Datenverarbeitung für den Bürger wurde u.a. erhöht durch die Ausdehnung der Benachrichtigungspflicht des Betroffenen von der Speicherung / Weitergabe seiner Daten auch auf den öffentlichen Bereich, durch eine grundsätzliche Informationspflicht des Betroffenen bei der Erhebung seiner Daten auch im nicht-öffentlichen Bereich und eine geringfügige Erweiterung des Auskunftsrechts. Ebenfalls der Bürgerfreundlichkeit dient die Vorschrift des § 6 a, wonach belastende Entscheidungen, die aufgrund von Persönlichkeitsprofilen ohne zusätzliche Überprüfung durch einen Menschen erfolgen, grundsätzlich verboten sind.

Die Richtlinie sieht eine Reihe von Restriktionen im Zusammenhang mit der Verarbeitung sog. sensitiver Daten vor, die den Bürger in diesem empfindlichen Bereich besonders schützen sollen. Die Richtlinie versteht unter sensitiven Daten solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben. In Umsetzung der Vorgaben der Richtlinie unterliegt nun der Umgang mit diesen Daten besonderen Einschränkungen sowohl im öffentlichen als auch im nicht-öffentlichen Bereich.

 

Wichtig unter dem Aspekt der Erhaltung der unternehmerischen Freiheit und möglichst uneingeschränkter wirtschaftlicher Betätigung ist die Neuregelung der Übermittlung personenbezogener Daten in Drittstaaten. Übermittlungen personenbezogener Daten dürfen grundsätzlich nur bei Vorliegen eines angemessenen Datenschutzniveaus im Drittstaat vorgenommen werden. Durch einen breiten Ausnahmekatalog wird aber sichergestellt, dass der Wirtschaftsverkehr mit Drittstaaten nicht unangemessen beeinträchtigt wird.

Der Entbürokratisierung dient die Neuregelung der Meldepflicht automatisierter Verarbeitungen. Diese ist dahingehend modifiziert worden, dass die in der Richtlinie vorgesehene Möglichkeit der Einschränkung der allgemeinen Meldepflicht weitestgehend genutzt wurde. So entfällt nach der Regelung des § 4 d Abs. 2 die Meldepflicht, wenn die speichernde Stelle einen internen Datenschutzbeauftragten bestellt hat und im Falle des Vorliegens einer weniger beeinträchtigenden Verarbeitung (§ 4 d Abs. 3). Da durch § 4 f Abs. 1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird, kann die Meldepflicht im öffentlichen Bereich vollständig entfallen. Die Wahrung des sog. Medienprivilegs wird in weitem Umfang gewährleistet. Die durch die Richtlinie erforderlich gewordene Erweiterung des Anwendungsbereichs für Unternehmen der Presse wurde restriktiv vorgenommen.

 

Die wesentlichen Änderungen aufgrund der Richtlinie im Einzelnen

–         Der Anwendungsbereich des Bundesdatenschutzgesetzes war durch die Vorschrift des § 1 Abs. 5 zu ergänzen: Diese betrifft zum einen die Datenverarbeitung innerhalb der Europäischen Union. Das Bundesdatenschutzgesetz kommt hier nicht zur Anwendung, wenn die Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle eines anderen Mitgliedstaates der Europäischen Union im Inland ausgeführt wird. Als Ausnahme dieser Regelung findet das Bundesdatenschutzgesetz aber Anwendung, sofern die verantwortliche Stelle eine Niederlassung im Inland unterhält. Zum anderen soll mit der Vorschrift verhindert werden, dass ein möglicherweise geringerer Datenschutzstandard als der in den Mitgliedstaaten der Europäischen Union vorhandene in den Fällen zur Geltung kommt, in denen Datenerhebungen, -verarbeitungen oder -nutzungen innerhalb der Europäischen Union durch außerhalb der Europäischen Union belegene speichernde Stellen vorgenommen werden. Darüber hinaus waren die Kriterien für den sachlichen Anwendungsbereich des Bundesdatenschutzgesetzes insofern in Übereinstimmung mit Artikel 3 Abs. 1 der Richtlinie zu bringen, als es bei automatisierten Verarbeitungen nicht mehr auf den Dateibegriff ankommt. Das Kriterium der Datei ist nur noch von Bedeutung, soweit es um die nicht automatisierte Verarbeitung personenbezogener Daten geht.

–         Da die Richtlinie die Erhebung personenbezogener Daten als Teil der Verarbeitung begreift, das Bundesdatenschutzgesetz bisher aber nur die Erhebung für den öffentlichen Bereich regelt, bedurfte es der Einführung eines Gesetzesvorbehaltes auch für die Erhebung im nicht-öffentlichen Bereich.

–         Im Gegensatz zur bisherigen Rechtslage kommt dem Begriff des “Empfängers” nunmehr neben dem des “Dritten” eigenständige Bedeutung zu. Er war daher in § 3 Abs. 8 zu definieren, seine bisherige Verwendung im Bundesdatenschutzgesetz anzupassen.

–         Die Übermittlung personenbezogener Daten in Drittstaaten wurde in § 4 b und § 4 c neu geregelt. Diese Vorschriften sollen zum einen ein koordiniertes Verhalten der Mitgliedstaaten beim Transfer in Drittstaaten sicherstellen und zum anderen – durch einen breiten Katalog von Ausnahmebestimmungen – dafür Sorge tragen, dass der Wirtschaftsverkehr mit Drittstaaten nicht unangemessen beeinträchtigt wird. Da nach Umsetzung der Richtlinie durch die Mitgliedstaaten der Europäischen Union innerhalb des Anwendungsbereichs der Richtlinie von einem angemessenen Datenschutzniveau innerhalb der Europäischen Union auszugehen ist, gelten insoweit die §§ 15, 16 und 28 ff. In den neu eingefügten §§ 4 d und 4 e ist die Meldepflicht für automatisierte Verarbeitungen öffentlicher und nicht-öffentlicher Stellen geregelt.

–         Nach der Regelung des § 4 d Abs. 2 und 3 entfällt die Meldepflicht, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat oder eine weniger beeinträchtigende Verarbeitung vorliegt. Damit kann die Meldepflicht im öffentlichen Bereich vollständig entfallen, da durch § 4 f Abs. 1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird. Neu ist die sog. Vorabkontrolle, d.h. bestimmte automatisierte Verarbeitungen werden vor Inbetriebnahme einer Prüfung durch den Datenschutzbeauftragten unterzogen.

–         Die neue Vorschrift des § 6 a beinhaltet die Regelung der sog. automatisierten Einzelentscheidung. Durch die Vorschrift soll verhindert werden, dass Entscheidungen ausschließlich aufgrund von automatisiert erstellten Persönlichkeitsprofilen getroffen werden, ohne dass eine Person den Sachverhalt erneut überprüft hat.

–         Die Regelungen über die Erhebung und zweckändernde Verarbeitung personenbezogener Daten waren sowohl im öffentlichen als auch im nicht-öffentlichen Bereich um Sonderregelungen hinsichtlich sog. sensitiver Daten zu ergänzen (§§ 13, 14 Abs. 5, 28 Abs. 6 und 7, 29 Abs. 5, 30 Abs. 5). Entsprechendes gilt für die Voraussetzungen der Einwilligung, § 4 a Abs. 3.

–         Der neu geschaffene § 19 a führt eine Benachrichtigungspflicht im öffentlichen Bereich für die Fälle ein, in denen Daten nicht beim Betroffenen selbst erhoben werden.

–         Da die Richtlinie keine Beschränkung der Datenschutzkontrolle auf eine Anlasskontrolle vorsieht, wie sie in § 38 Abs. 1 und § 24 Abs. 1 Satz 2 a.F. geregelt war, waren die entsprechenden Einschränkungen zu streichen.

–         Die neue Vorschrift des § 38 a beinhaltet Regelungen im Zusammenhang mit den sog. Verhaltensregeln zur Förderung der ordnungsgemäßen Durchführung datenschutz-rechtlicher Regelungen, die u.a. eine Vereinheitlichung derartiger interner Regeln bewirken sollen. Berufsverbände und ähnliche Vereinigungen erhalten die Möglichkeit, von ihnen erarbeitete Verhaltensregeln der Aufsichtsbehörde zu unterbreiten. Diese überprüft die Vereinbarkeit der Entwürfe mit dem geltenden Datenschutzrecht.

–         Die Vorschrift des § 41, die die Verarbeitung und Nutzung personenbezogener Daten durch Medien regelt, ist als Rahmenvorschrift für die Landesgesetzgebung ausgestaltet worden. Der Anwendungsbereich der Datenschutzbestimmungen für die Medien ist auf die Vorschriften über die Haftung (insoweit nur eingeschränkt) und die Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen erweitert worden. Gleichzeitig war der Anwendungsbereich des sog. Medienprivilegs zu erweitern, da nunmehr auch die Verarbeitung personenbezogener Daten zu literarischen Zwecken hiervon erfasst wird.

–         Die Anlage zu § 9 wurde gestrafft, um die Anforderungen der Richtlinie ergänzt, sprachlich überarbeitet sowie den heutigen Gegebenheiten der Informations- und Kommunikationstechnik angepasst.

 Sonstige wesentliche Änderungen des Bundesdatenschutzgesetzes

Neben den unmittelbar durch die Umsetzung der Datenschutzrichtlinie bedingten Änderungen des Bundesdatenschutzgesetzes sieht diese Novelle folgende neue Regelungen vor:

Der Grundsatz der Datenvermeidung und -sparsamkeit (§ 3 a) besagt, dass sich die Gestaltung und Auswahl von Systemen der Datenverarbeitungsanlagen an dem Ziel auszurichten hat, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Die Regelung soll dazu führen, dass durch den gezielten Einsatz datenschutzfreundlicher Technik die Gefahren für das informationelle Selbstbestimmungsrecht der Betroffenen reduziert werden.

Die in weiten Bereichen durch öffentliche und nicht-öffentliche Stellen bereits durchgeführte Videoüberwachung öffentlich zugänglicher Räume erhält durch die Vorschrift des § 6 b eine gesetzliche Grundlage, die der Wahrung des informationellen Selbstbestimmungsrechts durch einen angemessenen Interessensausgleich Rechnung trägt.

Die neue Regelung des Datenschutzaudits(§ 9 a) verfolgt das Ziel, datenschutzfreundliche Produkte auf dem Markt zu fördern, indem deren Datenschutzkonzept geprüft und bewertet wird.

Bereits bei der Novellierung des BDSG 1990 waren zuvor bestehende Unsicherheiten in der Rechtsanwendungspraxishinsichtlich personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, durch Klarstellung im Rahmen der damaligen Neufassung von § 24 Abs. 1 und 2 beseitigt worden. Keine ausdrückliche Regelung bestand für die Kontrolle des Bundesbeauftragten für den Datenschutz hinsichtlich der von öffentlichen Stellen des Bundes erlangten personenbezogenen Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs. Vielmehr verwehrte § 24 Abs. 2 Satz 3 a.F., der den Inhalt des Post- und Fernmeldeverkehrs von der Kontrolle ausnahm, es dem Bundesbeauftragten für den Datenschutz, die Verwendung der durch Eingriffe in das Brief-, Post- und Fernmeldegeheimnis erlangten Daten zu kontrollieren.

Dies soll mit der neuen Regelung des § 24 Abs. 2 ermöglicht werden.

Der neu eingefügte § 29 Abs. 3 beinhaltet eine Regelung, mit der folgendes erreicht wird: In den Fällen, in denen es sich bei Herausgebern elektronischer oder gedruckter Verzeichnisse nicht um Diensteanbieter im Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung(TDSV) handelt, bestand bisher nur unzureichender Schutz der Betroffenen vor nicht gewollten Eintragungen in diese Verzeichnisse. Diese Regelungslücke schließt der neue § 29 Abs. 3.

Ihr Ansprechpartner: Rechtsanwalt Johannes Richard, Rostock

 

https://ssl-vg03.met.vgwort.de/na/13a65e45252647869fa65009d7ce37fe