Frankfurter Welle Reuterweg 20 60323 Frankfurt am Main Tel: +49.69.6062.6000 Fax: +49.69.6062.6700 Gerichtsfach: 107 (LG Frankfurt) www.lw.com Barcelona Brüssel Chicago Dubai Frankfurt Hamburg Hongkong London Los Angeles Madrid Mailand Moskau München MEMORANDUM 26. Oktober 2008 An: Von: Aktennummer: Betreff: New Jersey New York Northern Virginia Orange County Paris Rom San Diego San Francisco Shanghai Silicon Valley Singapur Tokio Washington, D.C. Bundesverband des deutschen Versandhandels e.V. Deutscher Direktmarketing Verband e.V. Ulrich Wuermeling, Knut Bourquain, Latham & Watkins LL.P: 036083-0001 Gesetz zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzauditgesetzes (Referentenentwurf vom 22. Oktober 2008) ENTWURF Verbands- und Unternehmensstellungnahme „Auditoption“ zum Referentenentwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits vom 22. Oktober 2008 Latham & Watkins LLP - Internationale Rechtsanwaltssozietät; Partnerschaftsgesellschaft nach dem Recht des Staates Delaware (USA) FF\134609.10 -2- VORBEMERKUNG Wir unterstützen das Ziel des Bundesministeriums des Inneren, illegalen Datenhandel zu unterbinden und Maßnahmen gegen Vollzugsdefizite bei der Einhaltung des geltenden Datenschutzrechts zu ergreifen. Insbesondere Datenschutzaudits sind ein geeignetes Instrument, um die Ziele des Gesetzgebers zu erreichen. Insofern begrüßen wir auch den Vorschlag eines Datenschutzauditgesetztes. Zusätzliche Verbote halten wir indes nicht für geeignet, um Vollzugsdefiziten im Datenschutz zu begegnen. Keiner der in letzter Zeit bekannt gewordenen Datenschutzverstöße wäre durch zusätzliche Verbote verhindert worden. Der nachfolgende Vorschlag einer „Auditoption“ trägt sowohl den Zielen des Bundesministeriums des Inneren als auch unseren Bedenken Rechnung, indem das Datenschutzaudit als alternative Option zu den geplanten zusätzlichen Verboten eingeführt wird. Unternehmen, die sich freiwillig einem Datenschutzaudit unterziehen, sollen personenbezogene Daten weiterhin ohne eine formale Einwilligung der Betroffenen für Zwecke der Werbung oder Markt- und Meinungsforschung verwenden dürfen. Für Unternehmen, die sich keinem Datenschutzaudit unterziehen, wird es nur noch wenig Ausnahmen von der Anforderung einer Einwilligung geben. Eine Ausnahme soll für die Nutzung von Daten durch Unternehmen greifen, die diese für die eigene Ansprache der Betroffenen verwenden und mit Kenntnis des Betroffenen gespeichert haben. Außerdem soll die Nutzung von Ansprechpartnerangaben bei der Ansprache von anderen Unternehmen (d.h. im B2B Bereich) keiner Einwilligung bedürfen. Die anderen im Referentenentwurf vom 22. Oktober 2008 vorgeschlagenen Regelungen werden wir an geeigneter Stelle im Detail kommentieren. FF\134609.10 -3- UMSETZUNGSVORSCHLAG Wir schlagen vor, die im Referentenentwurf vom 22. Oktober 2008 vorgeschlagene Ziffer 1 in § 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) wie folgt zu fassen: „1. eine Verarbeitung oder Nutzung von personenbezogenen Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung a) zur eigenen Ansprache der Betroffenen durch eine verantwortliche Stelle, die diese Daten mit Kenntnis des Betroffenen gespeichert hat, oder b) zur Ansprache der Betroffenen in ihrer beruflichen oder dienstlichen Funktion, oder c) geprüft unter einem Datenschutzkonzept nach § 1 Satz 1 Datenschutzauditgesetz, erfolgt, oder„ BEGRÜNDUNG 1. Effektive Kontrolle als Alternative zu strikten Verboten Der Referentenentwurf sieht vor, dass für die Verarbeitung oder Nutzung von personenbezogenen Daten zu Zwecken der Werbung oder der Markt- und Meinungsforschung grundsätzlich eine Einwilligung erforderlich ist. Hiervon ist eine Ausnahme gerechtfertig, wenn sich die verantwortliche Stelle nach den Vorgaben des Datenschutzauditgesetzes freiwillig einer strengen Kontrolle unterwirft. Von einer überwiegenden Beeinträchtigung der schutzwürdigen Interessen der Betroffenen kann nicht ausgegangen werden, wenn die Einhaltung der geltenden Datenschutzvorschriften durch eine strenge Kontrolle nach dem Datenschutzauditgesetz sichergestellt ist (Ziffer 1c des Umsetzungsvorschlags). Insbesondere die damit sicher gestellte zuverlässige Einhaltung der Informationspflichten und des Widerspruchsrechts schützen die Betroffenen. Da Verstöße gegen gesetzliche Anforderungen von der Kontrollstelle an die zuständige Aufsichtsbehörde zu melden sind, entfaltet die Kontrolle in effektiver Weise Wirkung. Sobald sich die Rahmenbedingungen für Datenschutzauditsiegel ausreichend entwickelt haben, ist eine Bindung hieran anzustreben. FF\134609.10 -4- Der Umsetzungsvorschlag verweist nicht auf die Arten von Daten, für die praktisch seit 1977 das so genannte „Listenprivileg“ im Bundesdatenschutzgesetz gilt (Personengruppe, Beruf usw.) und ursprünglich für Adressbuchverlage geschaffen wurde. Vielmehr wird ein modernen Ansatz gewählt und die allgemeine Interessenabwägungsklausel zur Anwendung gebracht. Dies entspricht dem Konzept der Europäischen Datenschutzrichtlinie (95/46/EG) und deren Umsetzung in den meisten Ländern. Der Umsetzungsvorschlag trägt durch Streichung des „Listenprivilegs“ dem Umstand Rechnung, dass auch die bisher beim Listenprivileg aufgezählten Daten im Einzelfall schutzwürdige Interessen der Betroffenen verletzen können. Andererseits ermöglicht der Ansatz die Verarbeitung und Nutzung von nicht aufgezählten Daten, wenn damit keine überwiegenden schutzwürdigen Interessen des Betroffenen verletzt werden. Die Abwägung kann auf Grundlage der allgemeinen Interessenabwägung individuell in den geprüften Datenschutzkonzepten festgelegt werden, unter denen die Daten zu verarbeiten sind. Alternativ könnte in Anlehnung an die vorgeschlagene Regelung für Spendenwerbung die Liste der Daten aus dem alte Listenprivileg aufgenommen werden. Darüber hinaus ist auch in den folgenden zwei Fällen (Ziffer 1a und 1b des Umsetzungsvorschlags) nicht von einer überwiegenden Beeinträchtigung der schutzwürdigen Interessen der Betroffenen auszugehen: Ziffer 1a: Wenn die Daten mit Kenntnis der Betroffenen gespeichert werden, können sie der Verwendung ihrer Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung unmittelbar widersprechen. In dieser Konstellation ist davon auszugehen, dass die schutzwürdigen Interessen der Betroffenen nicht verletzt werden, wenn die Daten von der verantwortlichen Stelle im eigenen Namen zu Ansprache der Betroffenen für Zwecke der Werbung oder der Markt- und Meinungsforschung verwendet werden. Die Betroffenen erwarten in der Praxis nicht, dass Unternehmen für diese Fälle eine Einwilligung einholen. Dies würde zurecht auch von den Betroffenen als unnötiger Formalismus empfunden. Außerdem würde der Warncharakter der Einwilligung geschwächt, wenn sie in Fällen dieser Art vorgeschrieben wäre. Die Abgrenzung lehnt sich an § 33 Abs. 1 BDSG an. Ziffer 1b: Wenn Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung gegenüber Personen in ihrer beruflichen oder dienstlichen Funktion verwendet werden, sind die schutzwürdigen Interessen der Empfänger auch ohne ein FF\134609.10 -5- Einwilligungserfordernis ausreichend geschützt. Ein Einwilligungserfordernis würde insbesondere die Frage aufwerfen, ob die Betroffenen diese für sich selbst oder im Namen des Unternehmens abgeben müssten. Wäre die Einwilligung vom den angesprochenen Arbeitnehmer einzuholen, würde ansonsten jede personelle Änderung im empfangenden Unternehmen die Einholung einer neuen Einwilligung erfordern. 2. Effektive Beseitigung von Vollzugsdefiziten Die in der jüngeren Vergangenheit aufgetretenen Fälle von rechtwidrigem Umgang mit personenbezogenen Daten haben Vollzugsdefizite bei der Einhaltung des geltenden Datenschutzrechts offenbart. Soweit in Reaktion hierauf gesetzliche Maßnahmen getroffen werden sollen, muss die Beseitigung dieser Vollzugsdefizite im Vordergrund stehen. Deshalb ist die Kontrolle durch Datenschutzaudits der Verschärfung des Einwilligungserfordernisses vorzuziehen. Da aber nicht alle Unternehmen zu Datenschutzaudits verpflichtet werden können, ist die Wahlmöglichkeit zwischen der Option der strengeren Kontrolle und der Option der strengeren rechtlichen Anforderungen ein geeigneter Weg zur Beseitigung von Vollzugsdefiziten. 3. Geringere Belastung der Wirtschaft Eine Verschärfung des Einwilligungserfordernisses würde zu erheblichen Belastungen der Wirtschaft führen, die bei einer kontrollierten Einhaltung der Datenschutzvorschriften nicht gerechtfertigt sind. Ohne Werbung können Unternehmen die von ihnen angebotenen Waren und Dienstleistungen nicht vertreiben. Direkt adressierte Werbung, bei der potentielle Interessenten nach sinnvollen Kriterien ausgesucht werden, ist nicht nur im Interesse der Empfänger sondern auch ein wesentlicher Pfeiler des Erfolgs vieler Unternehmen. Gerade Unternehmen im Mittelstand können sich häufig die kostenintensive Werbung über Massenmedien nicht leisten. Sie sind auf ausgewählte Direktwerbung angewiesen, um ihre potentiellen Kunden zu erreichen. Neue Wettbewerber, die konkurrenzfähige Waren und Dienstleistungen anbieten, können sich gegen etablierte Anbieter nur durchsetzen, wenn sie ihren potentiellen Kunden ihre Waren und Dienstleistungen direkt anbieten können. FF\134609.10 -6- 4. Nutzen für Empfänger von Werbung Direktwerbung bietet den Empfängern erheblichen Nutzen. Informationen von verschiedenen Anbietern ermöglichen eine informierte Auswahl beim Kauf von Produkten und bei der Nutzung von Dienstleistungen. Die interessengerechte Vorauswahl beim Versand von Werbung reduziert die Werbeflut. Die Betroffenen müssen nicht mit formalen Einwilligungserklärungen und zusätzlicher Bürokratie belastet werden, wenn die Einhaltung ihrer Rechte in geprüfter Weise sichergestellt ist. Die Adressaten von Werbung nach geeigneten Kriterien auszuwählen, liegt damit nicht nur im Interesse der Wirtschaft sondern besonders im Interesse der Empfänger. Beide Seiten haben ein gemeinsames Ziel: Der Empfänger soll nur für ihn interessante Werbung erhalten. 5. Motivation zur Durchführung von freiwilligen Datenschutzkontrollen Die Auditoption motiviert Unternehmen zur Durchführung von freiwilligen Datenschutzkontrollen nach dem neuen Datenschutzauditgesetz. Es ist zu begrüßen, wenn Unternehmen den Aufwand von Datenschutzkontrollen auf sich nehmen und damit den hohen Stellenwert des Datenschutzes in ihren Unternehmen belegen und durchsetzen. Das Datenschutzauditgesetz bietet hierfür Rahmenbedingungen, die in der Praxis Akzeptanz finden werden, wenn den kontrollierten Unternehmen gleichzeitig erhöhtes Vertrauen entgegengebracht wird. Wer sich strikt an die bestehenden Datenschutzvorgaben hält und dies durch externe Stellen kontrollieren lässt, muss nicht schärfer reguliert werden. Wenn Unternehmen über das gesetzlich verpflichtende Maß hinaus die Einhaltung von Datenschutzvorschriften sicherstellen, ist eine gewisse Privilegierung sinnvoll und angemessen. ./. FF\134609.10