Neue Regeln zum Datenschutz Inhalt Novelle des Bundesdatenschutzgesetzes 2009 Am 3. Juli 2009 hat der Bundestag die Novelle des Bundesdatenschutzgesetzes (BDSG) verabschiedet, die in weiten Teilen am 1. September 2009 in Kraft treten wird. Hintergrund der Novelle waren verschiedene sogenannte Datenskandale großer deutscher Konzerne mit bislang ungekannter Medienbegleitung in Deutschland sowie der (versuchte) Verkauf von Millionen von Kontakt- und Marketingdaten. Ziel der Novelle ist eine Verschärfung der bestehenden Vorschriften des BDSG in punktuellen Bereichen sowie eine bessere Durchsetzbarkeit der bestehenden (und neuen) Regelungen in der Praxis. Nachdem die BDSG Novelle im Frühjahr 2009 zunehmend zum Gegenstand parteipolitischen Taktierens vor der Bundestagswahl wurde, konnte in letzter Sitzung vor der Sommerpause noch ein Kompromiss im Innenausschuss erzielt werden, auf Grundlage dessen – zusammen mit dem aktualisierten Gesetzesentwurf – der Bundestag die BDSG Novelle verabschiedete1. Dabei kam es auch zu verschiedenen „Last-minute“ Änderungen, wie z.B. den Änderungen des zwingenden Inhalts von Auftragsdatenverarbeitungsverträgen nach § 11 BDSG. Im Laufe des Gesetzgebungsverfahrens wurden verschiedene Regelungen sehr kontrovers diskutiert und waren Gegenstand intensiver Lobbyarbeit, insbesondere die Abschaffung bzw. Einschränkung des sogenannten Listenprivilegs für Werbeaktionen. Andere, für die Unternehmenspraxis durchaus signifikante Verschärfungen des BDSG waren kaum Gegenstand der öffentlichen Diskussion. 1 Vgl.: http://dip21.bundestag.de/dip21/btd/16/120/1612011.pdf und: http://dip21.bundestag.de/dip21/btd/16/136/1613657.pdf Juli 2009 Novelle des Bundesdatenschutzgesetzes 2009 1 Die Neuerungen im Überblick 3 Gesamtbewertung 7 Von der Aufnahme detaillierter Regelungen zum Arbeitnehmerdatenschutz, ursprünglich ebenfalls für diese Legislaturperiode vorgesehen, wurde jedoch Abstand genommen; es wurde lediglich eine kurze allgemein gehaltene Vorschrift zu Beschäftigtendaten in einem neu geschaffenen § 32 BDSG aufgenommen und das Vorhaben (erneut) in die nächste Legislaturperiode verschoben. Ebenso wurde von dem ursprünglich vorgesehenen Datenschutzauditgesetz Abstand genommen, unter dem sich Unternehmen von zertifizierten Prüfern hätten auditieren lassen können. Gleichermaßen ist das heftig umstrittene Verbandsklagerecht nicht enthalten. Die nachfolgende Übersicht stellt die wesentlichen gesetzlichen Neuerungen im Rahmen des BDSG vor, jeweils mit einem kurzen Kommentar über die Konsequenzen in der Praxis. Juli 2009 Die Neuerungen im Überblick Neuerung Kommentar Arbeitnehmerdatenschutz Daten der Arbeitnehmer dürfen genutzt werden, (a) (b) soweit für Zwecke des Beschäftigtenverhältnis erforderlich; zur Aufdeckung von Straftaten, die im Beschäftigtenverhältnis begangen wurden, wenn zu dokumentierende tatsächliche Verdachtsmomente vorliegen. Geschützt sind auch nichtelektronische Dokumente mit Personenbezug. Keine wirkliche Neuerung, sondern nur Nachzeichnung der etablierten Rechtsprechung. Unter b) bleibt offen, inwieweit insbesondere E-Mails, die häufig dem Telekommunikationsgeheimnis unterliegen, ebenfalls genutzt werden können und ob eine Nutzung zur Aufdeckung von Verstößen, die keine Straftaten darstellen, möglich ist. Einbeziehung nicht-elektronischer Dokumente erschwert Kontrollen des Arbeitgebers erheblich. Kündigungsschutz des Datenschutzbeauftragten Datenschutzbeauftragte genießen besonderen Kündigungsschutz, etwa vergleichbar dem Immissionsschutzbeauftragten, Störfallbeauftragten oder Betriebsratsmitgliedern. Arbeitgeber hat Teilnahme an Fortbildungen zu ermöglichen und zu bezahlen. Betrifft sämtliche Unternehmen, die einen Datenschutzbeauftragten bestellen müssen. Nicht betroffen sind folglich Unternehmen, die einen Datenschutzbeauftragten nicht bestellen müssen sowie solche, die einen externen Datenschutzbeauftragten bestellt haben. Auftragsdatenverarbeitung Rechte und Pflichten innerhalb Auftragsdatenverarbeitungsverhältnisse sind detaillierter festzulegen als bisher. Auftraggeber muss sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der wesentlichen Bestimmungen beim Auftragnehmer überzeugen. Betrifft sämtliche Unternehmen, die Daten im Auftrag von externen Stellen verarbeiten lassen, z.B. im Bereich der Zahlungsverkehrsabwicklung oder anlässlich eines IT-Outsourcing. Ist bußgeldbewehrt. Bestehende Auftragsdatenverarbeitungen sollten entsprechend überprüft werden. Neue Regeln zum Datenschutz 3 Neuerung Kommentar Kopplungsverbot Vertragsabschluss darf nicht von der Einwilligung des Betroffenen zur Nutzung seiner Daten, insbesondere zu Werbezwecken, abhängig gemacht werden, wenn der Betroffene ansonsten keinen Zugang zu gleichwertigen vertraglichen Leistungen hätte. Betrifft vor allem Monopolisten und Unternehmen im Bereich der Daseinsvorsorge (z.B. Elektrizität, Wasser). Kann aber auch Nicht-Monopolisten einschränken, wenn es eine einheitliche Marktpraxis gibt, wie wenn z.B. – hypothetisch – generell ein Konto nur dann eröffnet werden könnte, wenn der Kunde zuvor in die Nutzung seiner Daten für Werbezwecke eingewilligt hätte. Datenvermeidung und -sparsamkeit Generell sind so wenig personenbezogene Daten wie möglich zu nutzen. Personenbezogene Daten sind zu pseudonymisieren oder zu anonymisieren, soweit nicht unverhältnismäßig. Bleibt trotz erweitertem Anwendungsbereich bloße Zielvorgabe, die nicht bußgeldbewehrt ist. Werbung und Adresshandel Nutzung der Daten mit Einwilligung des Betroffenen weitgehend unbeschränkt möglich. Einwilligung kann auch elektronisch, d.h. etwa im Internet, erteilt werden. Reste der sog. opt-in Lösung. Adresshändler und sonstige Werbetreibende werden vermehrt über Anreizsysteme (z.B. Bonusprogramme, Clubmitgliedschaften) nachdenken, um potentielle Kunden zur Einwilligung zu motivieren. Ohne (nicht gegen!) Einwilligung des Betroffenen – und immer vorausgesetzt, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen – weiterhin möglich sind z.B: Rechtssicherheit für alle Werbetreibenden, die Vertragsdaten für Werbezwecke umwidmen möchten. (a) Werbung für eigene Angebote: bestimmte Daten wie Name, Anschrift, Berufsbezeichnung können genutzt werden, wenn diese bereits im Rahmen eines Vertrags mit der Person erhoben wurden und die Erhebung zulässig war; oder die Daten aus allgemein zugänglichen Verzeichnissen (z.B. Telefonbuch) entnommen wurden. (b) Werbung im Hinblick auf die berufliche Tätigkeit eines Betroffenen Juli 2009 Interessante Möglichkeit der Direktansprache unter der beruflichen Anschrift Neuerung Kommentar und unter seiner beruflichen Anschrift: bestimmte Daten wie Name, Anschrift und Berufsbezeichnung dürfen genutzt und ggf. auch übermittelt werden. z.B. für Fachverlage, Büroartikelhersteller, Anbieter von Fachseminaren. (c) Werbung für steuerbegünstigte Spenden: bestimmte Daten wie Name, Anschrift und Berufsbezeichnung dürfen genutzt und ggf. auch übermittelt werden Erlaubt insbesondere als gemeinnützig anerkannten Organisationen die Nutzung von Daten. (d) Generell für Zwecke der Werbung: bestimmte Daten wie Name, Anschrift und Berufsbezeichnung dürfen übermittelt werden, soweit für den Betroffenen nachvollziehbar ist, woher seine Daten kommen und er der Nutzung effektiv widersprechen kann. Weitestgehender Erlaubnistatbestand. Adresshändler, Verlage und sonstige professionell Werbetreibende können die Herausgabe von Daten in erster Linie hierauf stützen. Sog. Beipackwerbung und Empfehlungswerbung sind daneben auch zukünftig möglich. Markt- und Meinungsforschung Datenspeicherung muss Aufsichtsbehörde angezeigt werden. Datennutzung wurde insgesamt gegenüber Werbung privilegiert. Bußgeldbewehrte Anzeigepflicht trifft alle Markt- oder Meinungsforschungsunternehmen – auch solche, die dies zu verschleierter Werbung oder Gewinnspielen einsetzen. Informationspflicht (Selbstanzeige) Unternehmen, deren Daten Dritten unrechtmäßig zur Kenntnis gelangt sind (sei es durch eine unzulässige Übermittlung, ein Sicherheitsleck oder einen Hackerangriff), haben die Aufsichtsbehörde und die Betroffenen hierüber zu informieren, wenn eine schwerwiegende Beeinträchtigung droht. Falls eine Information der Betroffenen zu aufwendig ist, hat eine Veröffentlichung in zwei Tageszeitungen zu erfolgen. Beispiele: Verlust von Kreditkarten-, Sozialversicherungsoder Krankendaten. Betrifft uneingeschränkt sämtliche Unternehmen, da jedes Unternehmen personenbezogene Daten speichert. Kann erhebliche Aufwendungen verursachen und zu Reputationsschaden führen. Neue Regeln zum Datenschutz 5 Neuerung Kommentar Gewinnabschöpfung Geldbußen sollen einen etwaigen wirtschaftlichen Gewinn aus der Verletzung des Datenschutzrechts übersteigen. Verstöße gegen das Datenschutzrecht sollen sich nicht „lohnen“. Die Gewinnabschöpfung ist weder der Höhe nach noch zeitlich begrenzt! Ordnungswidrigkeiten und Bußgelder Ergänzung des Ordnungswidrigkeitskatalogs. Ordnungswidrigkeiten können zudem grundsätzlich mit einer Geldbuße bis zu EUR 50.000 (vorher: bis EUR 25.000) und, in besonders gelagerten Fällen, bis zu EUR 300.000 (vorher: EUR 250.000) geahndet werden. Ausweitung und Verschärfung der Sanktionen; insbesondere sind nun auch die mangelhafte Erteilung eines Auftrags zur Auftragsdatenverarbeitung und die unzureichende Überwachung des Auftraggebers ordnungswidrig. Erweiterte Eingriffsbefugnisse der Aufsichtsbehörden Aufsichtsbehörden dürfen nicht nur weiterhin Bußgelder verhängen, sondern auch die Beseitigung festgestellter Verstöße anordnen und, bei schwerwiegenden Verstößen, bestimmte Verfahren untersagen. Erhebliche Eingriffsbefugnisse in betroffene Unternehmen. In Kraft treten Die Änderungen werden zum 1. September 2009 wirksam. Längere Übergangsfristen gelten für Markt- und Meinungsforschung (bis 31. August 2010) sowie für die Werbung (bis 31. August 2012). Juli 2009 Ergebnis intensiver Lobbyarbeit. Gesamtbewertung Ein realistisches Bild der Verschärfungen durch die BDSG Novelle ergibt sich erst aus der Gesamtschau der folgenden oben genannten Änderungen: – Informationspflicht (Selbstanzeige) bei unzulässigen Übermittlungen/Datenlecks, – Erweiterte Eingriffsbefugnisse der Aufsichtsbehörden, und – Erweiterter Bußgeldrahmen mit möglicher Gewinnabschöpfung. Das Risiko von negativen (Rechts-) Folgen, die bei Datenschutzverstößen – insbesondere unzulässigen Übermittlungen – nunmehr realistisch drohen, hat sich erheblich erhöht; eine Kettenreaktion könnte künftig eintreten: Selbstanzeige mit entsprechender Öffentlichkeit (Mediatisierung), daraufhin Untersuchung durch die zuständige Datenschutzaufsichtsbehörde (mit jetzt erweitertem Eingriffsinstrumentarium) und Verhängung eines Bußgelds mit im schlimmsten Fall Gewinnabschöpfung auch für die Vergangenheit. Unternehmen werden angesichts dieses realistisch gewordenen Szenarios eine Strategie entwerfen müssen, wie sie bei intern festgestellten unzulässigen Übermittlungen oder Datenlecks konkret vorgehen wollen. Aus Risiko Management Sicht heraus wurden letztlich sowohl der mögliche Schaden als auch die Eintrittswahrscheinlichkeit von negativen (Rechts-) Folgen bei Datenschutzverstößen durch die BDSG Novelle erhöht. Verstärkend kommt die seit 2008 zunehmende öffentliche Wahrnehmung und mediale Begleitung bei Datenschutzverstößen großer Unternehmensgruppen hinzu (Reputationsverlust / Druck auf die Geschäftsleitung). Juli 2009 Berlin Linklaters LLP Potsdamer Platz 5 10785 Berlin Postfach 30 18 50 10746 Berlin Tel: (+49) 30 21496-0 Fax: (+49) 30 21496-100 Redakteure: Düsseldorf Linklaters LLP Königsallee 49-51 40212 Düsseldorf Postfach 10 35 41 40026 Düsseldorf Tel: (+49) 211 22977-0 Fax: (+49) 211 22977-435 Dr. Daniel Pauly Dr. Konrad Berger E-Mail: [email protected] E-Mail: [email protected] Diese Veröffentlichung verfolgt ausschließlich den Zweck, bestimmte Themen anzusprechen und erhebt keinen Anspruch auf Vollständigkeit; diese Veröffentlichung stellt keine Rechtsberatung dar. Sollten Sie weitere Fragen bezüglich der hier angesprochenen oder hinsichtlich anderer rechtlicher Themen haben, so wenden Sie sich bitte an Ihren Ansprechpartner bei Linklaters LLP oder an den Herausgeber. © Linklaters LLP. Alle Rechte vorbehalten 2009 Wichtige Informationen bezüglich unserer aufsichtsrechtlichen Stellung finden Sie unter www.linklaters.com/regulation. Frankfurt am Main Linklaters LLP Mainzer Landstraße 16 60325 Frankfurt am Main Postfach 17 01 11 60075 Frankfurt am Main Tel: (+49) 69 71003-0 Fax: (+49) 69 71003-333 Ihre Kontakt-Daten sind in unserer Datenbank gespeichert. Sie werden von unseren verschiedenen internationalen Büros ausschließlich für interne Zwecke und für diese oder ähnliche Marketing-Aktionen genutzt. Eine Weitergabe an Dritte für deren Zwecke findet nicht statt. Wenn Sie diese Publikation nicht mehr erhalten möchten oder Ihre Daten nicht korrekt sind, teilen Sie uns dies bitte per E-Mail an [email protected] mit. Linklaters ist seit dem 1. Mai 2007 eine Limited Liability Partnership (LLP) englischen Rechts. Die Bezugnahme auf Linklaters in diesem Dokument meint Linklaters LLP und ggf. verbundene Gesellschaften weltweit. Linklaters LLP ist eine in England und Wales unter OC326345 registrierte Limited Liability Partnership und unterliegt als Anwaltskanzlei den Bestimmungen der Solicitors Regulation Authority. Der Begriff "Partner" bezeichnet in Bezug auf die Linklaters LLP Gesellschafter sowie Mitarbeiter der LLP oder der mit ihr verbundenen Kanzleien oder sonstigen Gesellschaften mit entsprechender Position und Qualifikation. Eine Liste der Namen der Gesellschafter der Linklaters LLP und der Personen, die zwar nicht Gesellschafter sind, aber als Partner bezeichnet werden, sowie ihrer jeweiligen fachlichen Qualifikation steht am eingetragenen Sitz der Firma in One Silk Street, London EC2Y 8HQ, England, oder unter www.linklaters.com zur Verfügung. Bei diesen Personen handelt es sich um deutsche oder ausländische Rechtsanwälte, die an ihrem jeweiligen Standort als nationale, europäische oder ausländische Anwälte registriert sind. München Linklaters LLP Prinzregentenplatz 10 81675 München Postfach 80 15 20 81615 München Tel: (+49) 89 41808-0 Fax: (+49) 89 41808-100 8