081026 Stellungnahme Auditoption

Werbung
Frankfurter Welle
Reuterweg 20
60323 Frankfurt am Main
Tel: +49.69.6062.6000
Fax: +49.69.6062.6700
Gerichtsfach: 107 (LG Frankfurt)
www.lw.com
Barcelona
Brüssel
Chicago
Dubai
Frankfurt
Hamburg
Hongkong
London
Los Angeles
Madrid
Mailand
Moskau
München
MEMORANDUM
26. Oktober 2008
An:
Von:
Aktennummer:
Betreff:
New Jersey
New York
Northern Virginia
Orange County
Paris
Rom
San Diego
San Francisco
Shanghai
Silicon Valley
Singapur
Tokio
Washington, D.C.
Bundesverband des deutschen Versandhandels e.V.
Deutscher Direktmarketing Verband e.V.
Ulrich Wuermeling, Knut Bourquain, Latham & Watkins LL.P:
036083-0001
Gesetz zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des
Datenschutzauditgesetzes (Referentenentwurf vom 22. Oktober 2008)
ENTWURF
Verbands- und Unternehmensstellungnahme
„Auditoption“
zum
Referentenentwurf eines Gesetzes zur Änderung des
Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits
vom 22. Oktober 2008
Latham & Watkins LLP - Internationale Rechtsanwaltssozietät; Partnerschaftsgesellschaft nach dem Recht des Staates Delaware (USA)
FF\134609.10
-2-
VORBEMERKUNG
Wir unterstützen das Ziel des Bundesministeriums des Inneren, illegalen Datenhandel zu
unterbinden und Maßnahmen gegen Vollzugsdefizite bei der Einhaltung des geltenden
Datenschutzrechts zu ergreifen. Insbesondere Datenschutzaudits sind ein geeignetes
Instrument, um die Ziele des Gesetzgebers zu erreichen. Insofern begrüßen wir auch den
Vorschlag eines Datenschutzauditgesetztes.
Zusätzliche Verbote halten wir indes nicht für geeignet, um Vollzugsdefiziten im
Datenschutz
zu
begegnen.
Keiner
der
in
letzter
Zeit
bekannt
gewordenen
Datenschutzverstöße wäre durch zusätzliche Verbote verhindert worden.
Der nachfolgende Vorschlag einer „Auditoption“ trägt sowohl den Zielen des
Bundesministeriums des Inneren als auch unseren Bedenken Rechnung, indem das
Datenschutzaudit als alternative Option zu den geplanten zusätzlichen Verboten eingeführt
wird.
Unternehmen,
die
sich
freiwillig
einem
Datenschutzaudit
unterziehen,
sollen
personenbezogene Daten weiterhin ohne eine formale Einwilligung der Betroffenen für
Zwecke der Werbung oder Markt- und Meinungsforschung verwenden dürfen.
Für Unternehmen, die sich keinem Datenschutzaudit unterziehen, wird es nur noch wenig
Ausnahmen von der Anforderung einer Einwilligung geben. Eine Ausnahme soll für die
Nutzung von Daten durch Unternehmen greifen, die diese für die eigene Ansprache der
Betroffenen verwenden und mit Kenntnis des Betroffenen gespeichert haben. Außerdem soll
die Nutzung von Ansprechpartnerangaben bei der Ansprache von anderen Unternehmen (d.h.
im B2B Bereich) keiner Einwilligung bedürfen.
Die anderen im Referentenentwurf vom 22. Oktober 2008 vorgeschlagenen Regelungen
werden wir an geeigneter Stelle im Detail kommentieren.
FF\134609.10
-3-
UMSETZUNGSVORSCHLAG
Wir schlagen vor, die im Referentenentwurf vom 22. Oktober 2008 vorgeschlagene Ziffer 1
in § 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) wie folgt zu fassen:
„1. eine Verarbeitung oder Nutzung von personenbezogenen Daten für Zwecke der
Werbung oder der Markt- und Meinungsforschung
a) zur eigenen Ansprache der Betroffenen durch eine verantwortliche Stelle, die
diese Daten mit Kenntnis des Betroffenen gespeichert hat, oder
b) zur Ansprache der Betroffenen in ihrer beruflichen oder dienstlichen Funktion,
oder
c) geprüft
unter
einem
Datenschutzkonzept
nach
§
1
Satz
1
Datenschutzauditgesetz,
erfolgt, oder„
BEGRÜNDUNG
1. Effektive Kontrolle als Alternative zu strikten Verboten
Der Referentenentwurf sieht vor, dass für die Verarbeitung oder Nutzung von
personenbezogenen
Daten
zu
Zwecken
der
Werbung
oder
der
Markt-
und
Meinungsforschung grundsätzlich eine Einwilligung erforderlich ist. Hiervon ist eine
Ausnahme gerechtfertig, wenn sich die verantwortliche Stelle nach den Vorgaben des
Datenschutzauditgesetzes freiwillig einer strengen Kontrolle unterwirft.
Von einer überwiegenden Beeinträchtigung der schutzwürdigen Interessen der Betroffenen
kann nicht ausgegangen werden, wenn die Einhaltung der geltenden Datenschutzvorschriften
durch eine strenge Kontrolle nach dem Datenschutzauditgesetz sichergestellt ist (Ziffer 1c
des Umsetzungsvorschlags). Insbesondere die damit sicher gestellte zuverlässige Einhaltung
der Informationspflichten und des Widerspruchsrechts schützen die Betroffenen. Da Verstöße
gegen gesetzliche Anforderungen von der Kontrollstelle an die zuständige Aufsichtsbehörde
zu melden sind, entfaltet die Kontrolle in effektiver Weise Wirkung. Sobald sich die
Rahmenbedingungen für Datenschutzauditsiegel ausreichend entwickelt haben, ist eine
Bindung hieran anzustreben.
FF\134609.10
-4-
Der Umsetzungsvorschlag verweist nicht auf die Arten von Daten, für die praktisch seit 1977
das so genannte „Listenprivileg“ im Bundesdatenschutzgesetz gilt (Personengruppe, Beruf
usw.) und ursprünglich für Adressbuchverlage geschaffen wurde. Vielmehr wird ein
modernen Ansatz gewählt und die allgemeine Interessenabwägungsklausel zur Anwendung
gebracht. Dies entspricht dem Konzept der Europäischen Datenschutzrichtlinie (95/46/EG)
und deren Umsetzung in den meisten Ländern.
Der Umsetzungsvorschlag trägt durch Streichung des „Listenprivilegs“ dem Umstand
Rechnung, dass auch die bisher beim Listenprivileg aufgezählten Daten im Einzelfall
schutzwürdige Interessen der Betroffenen verletzen können. Andererseits ermöglicht der
Ansatz die Verarbeitung und Nutzung von nicht aufgezählten Daten, wenn damit keine
überwiegenden schutzwürdigen Interessen des Betroffenen verletzt werden. Die Abwägung
kann auf Grundlage der allgemeinen Interessenabwägung individuell in den geprüften
Datenschutzkonzepten festgelegt werden, unter denen die Daten zu verarbeiten sind.
Alternativ könnte in Anlehnung an die vorgeschlagene Regelung für Spendenwerbung die
Liste der Daten aus dem alte Listenprivileg aufgenommen werden.
Darüber hinaus ist auch in den folgenden zwei Fällen (Ziffer 1a und 1b des
Umsetzungsvorschlags) nicht von einer überwiegenden Beeinträchtigung der schutzwürdigen
Interessen der Betroffenen auszugehen:
Ziffer 1a: Wenn die Daten mit Kenntnis der Betroffenen gespeichert werden, können sie der
Verwendung ihrer Daten für Zwecke der Werbung oder der Markt- und
Meinungsforschung unmittelbar widersprechen. In dieser Konstellation ist davon
auszugehen, dass die schutzwürdigen Interessen der Betroffenen nicht verletzt
werden, wenn die Daten von der verantwortlichen Stelle im eigenen Namen zu
Ansprache der Betroffenen für Zwecke der Werbung oder der Markt- und
Meinungsforschung verwendet werden. Die Betroffenen erwarten in der Praxis
nicht, dass Unternehmen für diese Fälle eine Einwilligung einholen. Dies würde
zurecht auch von den Betroffenen als unnötiger Formalismus empfunden.
Außerdem würde der Warncharakter der Einwilligung geschwächt, wenn sie in
Fällen dieser Art vorgeschrieben wäre. Die Abgrenzung lehnt sich an § 33 Abs. 1
BDSG an.
Ziffer 1b: Wenn Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung
gegenüber Personen in ihrer beruflichen oder dienstlichen Funktion verwendet
werden, sind die schutzwürdigen Interessen der Empfänger auch ohne ein
FF\134609.10
-5-
Einwilligungserfordernis ausreichend geschützt. Ein Einwilligungserfordernis
würde insbesondere die Frage aufwerfen, ob die Betroffenen diese für sich selbst
oder im Namen des Unternehmens abgeben müssten. Wäre die Einwilligung vom
den angesprochenen Arbeitnehmer einzuholen, würde ansonsten jede personelle
Änderung im
empfangenden Unternehmen
die Einholung einer neuen
Einwilligung erfordern.
2. Effektive Beseitigung von Vollzugsdefiziten
Die in der jüngeren Vergangenheit aufgetretenen Fälle von rechtwidrigem Umgang mit
personenbezogenen Daten haben Vollzugsdefizite bei der Einhaltung des geltenden
Datenschutzrechts offenbart. Soweit in Reaktion hierauf gesetzliche Maßnahmen getroffen
werden sollen, muss die Beseitigung dieser Vollzugsdefizite im Vordergrund stehen. Deshalb
ist die Kontrolle durch Datenschutzaudits der Verschärfung des Einwilligungserfordernisses
vorzuziehen. Da aber nicht alle Unternehmen zu Datenschutzaudits verpflichtet werden
können, ist die Wahlmöglichkeit zwischen der Option der strengeren Kontrolle und der
Option der strengeren rechtlichen Anforderungen ein geeigneter Weg zur Beseitigung von
Vollzugsdefiziten.
3. Geringere Belastung der Wirtschaft
Eine Verschärfung des Einwilligungserfordernisses würde zu erheblichen Belastungen der
Wirtschaft führen, die bei einer kontrollierten Einhaltung der Datenschutzvorschriften nicht
gerechtfertigt sind. Ohne Werbung können Unternehmen die von ihnen angebotenen Waren
und Dienstleistungen nicht vertreiben. Direkt adressierte Werbung, bei der potentielle
Interessenten nach sinnvollen Kriterien ausgesucht werden, ist nicht nur im Interesse der
Empfänger sondern auch ein wesentlicher Pfeiler des Erfolgs vieler Unternehmen. Gerade
Unternehmen im Mittelstand können sich häufig die kostenintensive Werbung über
Massenmedien nicht leisten. Sie sind auf ausgewählte Direktwerbung angewiesen, um ihre
potentiellen Kunden zu erreichen. Neue Wettbewerber, die konkurrenzfähige Waren und
Dienstleistungen anbieten, können sich gegen etablierte Anbieter nur durchsetzen, wenn sie
ihren potentiellen Kunden ihre Waren und Dienstleistungen direkt anbieten können.
FF\134609.10
-6-
4. Nutzen für Empfänger von Werbung
Direktwerbung bietet den Empfängern erheblichen Nutzen. Informationen von verschiedenen
Anbietern ermöglichen eine informierte Auswahl beim Kauf von Produkten und bei der
Nutzung von Dienstleistungen. Die interessengerechte Vorauswahl beim Versand von
Werbung reduziert die Werbeflut. Die Betroffenen müssen nicht mit formalen
Einwilligungserklärungen und zusätzlicher Bürokratie belastet werden, wenn die Einhaltung
ihrer Rechte in geprüfter Weise sichergestellt ist. Die Adressaten von Werbung nach
geeigneten Kriterien auszuwählen, liegt damit nicht nur im Interesse der Wirtschaft sondern
besonders im Interesse der Empfänger. Beide Seiten haben ein gemeinsames Ziel: Der
Empfänger soll nur für ihn interessante Werbung erhalten.
5. Motivation zur Durchführung von freiwilligen Datenschutzkontrollen
Die
Auditoption
motiviert
Unternehmen
zur
Durchführung
von
freiwilligen
Datenschutzkontrollen nach dem neuen Datenschutzauditgesetz. Es ist zu begrüßen, wenn
Unternehmen den Aufwand von Datenschutzkontrollen auf sich nehmen und damit den
hohen Stellenwert des Datenschutzes in ihren Unternehmen belegen und durchsetzen. Das
Datenschutzauditgesetz bietet hierfür Rahmenbedingungen, die in der Praxis Akzeptanz
finden werden, wenn den kontrollierten Unternehmen gleichzeitig erhöhtes Vertrauen
entgegengebracht wird. Wer sich strikt an die bestehenden Datenschutzvorgaben hält und
dies durch externe Stellen kontrollieren lässt, muss nicht schärfer reguliert werden. Wenn
Unternehmen über das gesetzlich verpflichtende Maß hinaus die Einhaltung von
Datenschutzvorschriften sicherstellen, ist eine gewisse Privilegierung sinnvoll und
angemessen.
./.
FF\134609.10
Herunterladen