Was sich durch das neue Bundesdatenschutzgesetz ändert

(http://www.zdnet.de/magazin/41502020/was-sich-durch-das-neue-bundesdatenschutzgesetz-aendert.htm)

von Peter Marwan, 1. September 2009

Die jetzt in Kraft getretenen Neuerungen beim Bundesdatenschutzgesetz betreffen jedes Unternehmen. Den meisten ist aber nicht klar, welche Auswirkungen es im Alltag hat. ZDNet fasst die wichtigsten zusammen und zeigt auf, was zu tun ist.

Zum 1. September treten einige für Firmen wichtige Änderungen des Bundesdatenschutzgesetzes (BDSG[1]) in Kraft. Mit der erst im Juli verabschiedeten Novelle hat der Bundestag strengere Regeln für den Adresshandel sowie die Auftragsdatenverarbeitung gesetzlich verankert. Neu sind außerdem eine Grundsatzregelung zum Arbeitnehmerdatenschutz sowie mehr Sanktionsmöglichkeiten für die Datenschutzbehörden und eine Stärkung der betrieblichen Datenschutzbeauftragten.

"Ich fordere die Verantwortlichen in den Unternehmen auf, die durch die Neuregelung gebotene Chance zu nutzen, verloren gegangenes Vertrauen zurückzugewinnen", sagt Peter Schaar, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit[2]. Personenbezogene Daten seien kein beliebig ausbeutbares Wirtschaftsgut. Wer sie erhebe und nutze, müsse die Persönlichkeitsrechte der Betroffenen respektieren. Das betrifft fast jedes Unternehmen.

"Die neuen Regelungen stellen erheblich gesteigerte Anforderungen an den Umgang mit Verbraucher- und Beschäftigtendaten. Datenschutz muss endlich zur Chefsache werden. Wer dies verkennt, wird zukünftig mit erheblichen Nachteilen rechnen müssen", so Schaar.

Neben Bank- oder Kreditkarteninformationen soll das Gesetz auch personenbezogene Angaben wie ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, strafbaren Handlungen oder das Sexualleben besser schützen beziehungsweise deren Missbrauch oder unzureichenden Schutz stärker sanktionieren. Drohen schwerwiegende Beeinträchtigungen der Rechte und schutzwürdigen Interessen der Personen, die mit den Daten beschrieben werden, sind Firmen verpflichtet, dies unverzüglich der zuständigen Aufsichtsbehörde mitzuteilen und die Betroffenen zu informieren. Art und Inhalt der Meldung sind in Paragraf 42a BDSG näher erläutert. Hält sich ein Unternehmen nicht daran, droht ein Bußgeld von bis zu 300.000 Euro.

Beim unkontrollierten Abfluss der geschützten Daten drohen jedoch nicht nur empfindliche Geldbußen. Durch die verschärfte Meldepflicht steht auch der Ruf des Unternehmens auf dem Spiel. Bei einem Verstoß gegen die gesetzlichen Regelungen müssen nun alle Betroffenen unverzüglich und vollständig über den Vorfall in Kenntnis gesetzt werden. Ist dies nicht lückenlos möglich oder mit unverhältnismäßig hohem Aufwand verbunden, schreibt das Gesetz die Bekanntgabe durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen vor.

ZDNet.de fasst zusammen, was das neue Gesetz sonst noch bringt, was es im Unternehmensalltag bedeutet, welche Daten von ihm betroffen sind und was jetzt konkret zu tun ist.

Eine einschneidende Änderung ist die Streichung der als "Listenprivileg" bekannten Regelung in Paragraf 28 Absatz 3 des BDSG. Demnach durften bisher als Liste oder anderweitig zusammengefasste Daten, die für bestimmte eigene Zwecke erhoben wurden, auch für andere Zwecke genutzt oder an Dritte übermittelt werden.

Gegen die Streichung liefen insbesondere die Wirtschaftsverbände Sturm, etwa der Deutsche Dialogmarketingverband e.V.[3] oder der Bundesverband des Deutschen Versandhandels[4]. Sie befürchteten[5] unter anderem, dass werbetreibende kleine und mittlere Unternehmen "Probleme bei der Auslegung des Gesetzes bekommen".

Auch der Deutsche Presserat [6] sprach sich in einem Schreiben (PDF[7]) an die Minister Schäuble, Zypries, und zu Guttenberg dagegen aus. "Sollte die Nutzung von so genannten Fremdadressen im Wege des Listenprivilegs faktisch unmöglich werden, befürchten wir einen so deutlichen Rückgang der Abonnentenzahlen, dass manche Verlagshäuser in existenzielle Not geraten. Folge wäre ein Titelsterben und massiver Personalabbau."

Zwar strichen die Volksvertreter das "Listenprivileg" dennoch, jedoch wurden auf Druck der Interessenvertreter zahlreiche Ausnahmefälle definiert. Unterm Strich kritisiert[8] der oberste Datenschützer Peter Schaar, dass der im Herbst vergangenen Jahres von der Bundesregierung zugesagte Wechsel hin zu einer Einwilligungslösung vor der Datenweitergabe für Werbezwecke nur inkonsequent eingeleitet wurde.

"Die entsprechende Regelung enthält so viele Ausnahmen, dass sich hier in der Praxis keine großen Änderungen ergeben dürften. Die heftigen Auseinandersetzungen und die beispiellose Lobbykampagne haben gezeigt, dass beim Datenschutzbewusstsein in der Privatwirtschaft noch großer Nachholbedarf besteht."

Was passiert mit vorhandenen Datenbeständen?

Vor dem 1. September 2009 erfasste Daten dürfen von Firmen für eigene Werbezwecke noch bis Ende August 2012 nach der bisher geltenden Regelung genutzt werden. Unternehmen haben also drei Jahre Zeit, um eine Einwilligungserklärung zu den neuen Bestimmungen einzuholen.

Concept-Factory[9], ein Bonner Beratungsunternehmen, weist[10] darauf hin, dass selbst erhobene personenbezogene Daten auch nach dem 1. September 2009 für eigene Werbung verwendet werden dürfen. Voraussetzung sei allerdings, dass die betroffene Person ihre Einwilligung schriftlich erteilt hat, in anderer Form erteilt hat und der Inhalt der Einwilligung schriftlich bestätigt wurde, oder eine elektronisch erteilte Einwilligung protokolliert wurde und der Betroffene deren Inhalt jederzeit abrufen sowie für die Zukunft widerrufen kann.

Auch weiterhin geworben werden darf für eigene Angebote gegenüber Bestandskunden oder unter Nutzung von Daten aus allgemein zugänglichen Verzeichnissen wie Telefonbüchern. Erlaubt bleibt auch die Werbung zwischen Unternehmen. Steuerbegünstigte Organisationen dürfen weiterhin für Spenden werben.

Außerdem ist die Übermittlung von Adressen mit Angabe einer Gruppenzugehörigkeit erlaubt, wenn aus der Werbung eindeutig hervorgeht, wer die Daten erstmals gespeichert hat. Folgerichtig ist die Nutzung fremder Adressbestände zur Neukundengewinnung per Brief auch weiter ohne Einwilligung möglich. Der Adressnutzer muss im Werbeschreiben allerdings die Herkunft der Adressdaten mit Klarnamen nennen. Die Werbewirtschaft hätte lieber eine codierte Herkunftsangabe nach österreichischem Vorbild gesehen[11].

Verboten: Verkaufsgespräche mit Umfrage zu starten

Das beliebte Vorgehen, eine Marktforschung oder eine Meinungsumfrage zum Einstieg in das Gespräch zu nutzen, dann aber aufgrund der ermittelten Interessen in ein Verkaufsgespräch überzuleiten, ist jetzt untersagt. Das regeln die neu in das Gesetzt aufgenommen Bestimmungen in Paragraf 30a.

Unternehmen, die Markt- oder Meinungsforschung betreiben und dabei personenbezogene Daten erheben, müssen sich bei der zuständigen Aufsichtsbehörde melden. Ausnahmeregelungen gibt es hier nicht. Außerdem müssen sie einen betrieblichen Datenschutzbeauftragten auch dann bestellen, wenn sie aufgrund ihrer Beschäftigtenzahlen dazu nicht verpflichtet wären. Alle Unternehmen, in denen mehr als zehn Personen mit der elektronischen Verarbeitung von Personendaten beschäftigt sind, müssen ohnehin schon länger einen Datenschutzbeauftragten[12] bestellen. Neu ist, dass dieser nun denselben Kündigungsschutz wie ein Betriebsrat genießt. Er ist also bis zu einem Jahr nach seiner Abberufung unkündbar. Außerdem hat der zum Datenschutzbeauftragte jetzt Anspruch auf Fortbildungen im Datenschutzrecht auf Kosten des Arbeitgebers.

Neu zum BDSG hinzugekommen ist Paragraf 32. Er enthält Bestimmungen zum Datenschutz der Beschäftigten und stärkt vor allem die Zweckbindung von Beschäftigtendaten. Er gilt für alle Unternehmen, die Mitarbeiter beschäftigen. Mit ihm findet der Arbeitnehmerdatenschutz Eingang in das Bundesdatenschutzgesetz.

Paragraf 3a des BDSG stellt den Grundsatz der Datenvermeidung und Datensparsamkeit auf. Demnach sind so wenig personenbezogene Daten wie möglich zu erheben. Das gilt übrigens nicht nur für automatisierte Verfahren, sondern auch für anderweitige Aufzeichnungen, etwa die guten alten Papierakten.

Eine Kontrolle zur Aufdeckung von Straftaten ist demnach nur noch bei "tatsächlichen Anhaltspunkten für begangene Straftaten" erlaubt – und zwar unter der Voraussetzung, dass "das schutzwürdige Interesse des Beschäftigten nicht überwiegt". Sogenannte Massenscreenings wie etwa bei der Deutschen Bahn[13] oder der Deutschen Telekom[14] darf es künftig nicht mehr geben.

Der Bundesverband der Deutschen Industrie e.V. (BDI) bemängelt [15], dass dadurch die innerbetriebliche präventive Bekämpfung von Korruption eingeschränkt würde, da nur ein begründeter Verdacht auf bereits begangene Straftaten eine Datenerhebung rechtfertigen könne. Zu verhindernde bevorstehende Taten würden nicht erwähnt.

In der Gesetzesbegründung wird zwar ausgeführt, dass Datenerhebungen zur präventiven Kriminalitätsbekämpfung (erforderliche Datenerhebung "zur Durchführung des Beschäftigungsverhältnisses") zulässig bleiben. Diese Konstruktion kann nach Ansicht des BDI jedoch in der Auslegung durch Gerichte für starke Unsicherheiten sorgen und sich für alle Unternehmen negativ auf den Bereich Compliance[16] auswirken. Die neuen Regelungen werden zwar von vielen Daten- und Verbraucherschützern sowie von der politischen Opposition als unzureichend erachtet – sie sind aber Wasser auf die Mühlen der IT-Sicherheitsanbieter. Diese mühen sich schließlich schon seit Jahren ihre in den USA erprobten Lösungen für DLP – je nach Gusto Data Loss Prevention oder Data Leak Prevention – an den Mann zu bringen. Ihre Argumentationslinien stießen aber bei vielen Verantwortlichen hierzulande auf taube Ohren, weil bisher die gesetzlichen Vorgaben fehlten.

Das hat sich mit dem neuen Budnesdatenschutzgesetz nun geändert. Christoph Hardy, Senior Security Consultant bei Sophos[17], meint, Unternehmen dürften IT- und Datensicherheit nicht nur als rein technisches Thema verstehen, sondern müssten auch die Gefahren berücksichtigen, die von einem zu lockeren Umgang mit den Daten durch die eigenen Mitarbeiter oder externe Dienstleister ausgehen. "Schon der Verlust eines USB-Sticks oder Notebooks mit vertraulichen personenbezogenen Daten kann jetzt ein meldepflichtiger Vorfall sein."

Sieben goldene Regeln

Firmen müssten daher sicherstellen, dass die Angestellten ausreichend über die Gefahren der digitalen Welt informiert werden und sich bewusst sind, welche Folgen der Verlust sensibler Daten für ihren Arbeitgeber und sie selbst haben kann. Dafür gibt Hardy Firmen "sieben goldene Regeln" an die Hand, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten.

  1. Jeder Klick kann gefährlich sein.
  2. Schwer zu knackende Passwörter einrichten. Als sichere Variante gilt ein Mix aus mindestens zehn Ziffern, Buchstaben oder Sonderzeichen. Mitarbeiter sollten für jeden Zugang ein anderes Passwort verwenden.
  3. Mitarbeiter, die soziale Netzwerke beruflich nutzen, sollten dort nicht zu viele geschäftliche und private Informationen preisgeben, da diese von Cyberkriminellen für gezielte Angriffe gegen das Unternehmen missbraucht werden könnten.
  4. Nur verschlüsselte Daten sind sicher: Vertrauliche Geschäftsinformationen und Kundendaten sollten prinzipiell nur verschlüsselt gespeichert und übertragen werden.
  5. Auf mobile Geräte besonders achten.
  6. Mitarbeiter müssen sich darüber im Klaren sein, dass verlorene Daten massive wirtschaftliche Schäden verursachen, den Verlust von Kunden nach sich ziehen und sogar Arbeitsplätze gefährden können. Die durchschnittlichen Kosten pro Datenpanne in deutschen Unternehmen lagen 2008 bei 2,4 Millionen Euro. Jeder einzelne verlorene Datensatz schlug dabei mit 122 Euro zu Buche.
  7. Datendiebstahl kann Folgen haben: Zwar haften im Falle verlorener Daten Unternehmen grundsätzlich für ihre Mitarbeiter. Werden diese jedoch des fahrlässigen oder vorsätzlichen Datendiebstahls überführt, drohen eine Abmahnung oder sogar die Kündigung.

Auch Bernd Bilek, Experte für Data Loss Prevention bei Symantec[18], hat eine Reihe von Tipps parat. Seiner Ansicht nach fängt der Schutz mit der Ausarbeitung eines Sicherheitskonzepts an. Dabei müssen zunächst folgende Fragen beantwortet werden: Wo sind vertrauliche Daten gespeichert? Wer sollte sie wie nutzen dürfen? Und wie lassen sich die Daten am besten vor Verlust schützen?

Der erste Schritt dazu sei eine vollständige Analyse und Klassifizierung des Datenbestandes. Daran schließe sich eine Diskussion an, wie die Firma mit vertraulichen Daten umgeht, und ob neue Richtlinien vonnöten sind. Dann empfiehlt der Symantec-Experte die Auswahl eines geeigneten DLP-Produktes mit Echtzeitüberwachung. "Nicht vergessen werden darf der menschliche Faktor: Denn DLP ist keine reine IT-Angelegenheit", so Bilek.

"Die Mitarbeiter müssen in die Prozesse einbezogen werden, um den Verlust vertraulicher Informationen zu verhindern. Egal, ob Personaldaten, Finanzinformationen oder Marketingpläne: Daten wie diese repräsentieren das Unternehmen und müssen geschützt werden. Dies muss auch allen Mitarbeitern klar sein."

Checkliste für DLP-Projekte

Kern eines wirkungsvollen Sicherheitskonzeptes sei die Sicherheitsrichtlinie, die alle Maßnahmen regelt. Bilek empfiehlt Firmen, sich dabei nach den Normen DIN ISO/IEC 27001 und 27002 zu richten. "Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit des Unternehmens klar und eindeutig definiert." Anschließend habe die IT mittels DLP für die korrekte Umsetzung und technische Sicherheit. Zusammenfassen ließe sich der Weg zu einer DLP-Lösung in einer Checkliste mit zehn Punkten.

  1. Risiken und deren Tragweite definieren, dabei auch Menschen und Prozesse einbeziehen.
  2. Sicherheitsrichtlinien erstellen, geltende Standards als Checkliste nutzen. Folgende Kriterien sind relevant: Richtlinien nach Nutzer, Art der Inhalte, Speicherort und Netzwerkkommunikation differenzieren.
  3. Nutzer sind neben Mitarbeitern auch Lieferanten, Kunden und andere Geschäftspartner. Wer soll welche Befugnisse besitzen?
  4. Art der Inhalte: Inhalte sollten nach dem Grad der Vertraulichkeit unterschieden werden. Ausgefeilte Sicherheitspolitik differenziert zunächst zwischen verschiedenen Arten von Informationen im Unternehmen und entwickelt dann für jede Kategorie geeignete Schutzmaßnahmen.
  5. Inhalte werden unterschieden in öffentliche Inhalte, sensible Inhalte, Inhalte, die das Wissenskapital des Unternehmens darstellen, und personengebundene Daten.
  6. Speicherort und Netzwerkkommunikation: fest installierte Geräte, mobile Endgeräte sowie Netzwerkkommunikation.
  7. Richtlinien für die Krisenkommunikation erstellen.
  8. Richtlinien implementieren und deren Einhaltung kontrollieren. Dazu gehören auch Schulungen.
  9. Know-how der Anwender um eine Technologie ergänzen, die die Einhaltung der Richtlinien kontinuierlich und automatisch überprüft.
  10. Verantwortlichkeiten klar definieren.
Peter Schaar, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, erwartet, dass nach der Bundestagswahl weitere Schritte zum Ausbau des Datenschutzes unternommen werden. "Dazu gehören ein Arbeitnehmerdatenschutzgesetz und eine Generalüberholung der in die Jahre gekommenen datenschutzrechtlichen Bestimmungen."

Egal übrigens, wie die Bundestagswahl ausgehen wird, sind Ende Mai bereits Änderungen für das Bundesdatenschutzgesetzt beschlossen worden, die am 1. April 2010 in Kraft treten. Dies sind die Paragrafen 28a und 28b. Laut Paragraf 28a sind Datenübermittlung an Auskunfteien dann nur noch zulässig, wenn trotz Fälligkeit nicht bezahlt worden ist und wenn die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist. Außerdem muss einer der in Paragraf 28a Abs. 1 Nr. 1 - 5[19] aufgeführten Fälle vorliegen. Dazu gehört, dass die Forderung durch ein Urteil festgestellt wurde (etwa im Insolvenzverfahren), die Forderung vom Betroffenen ausdrücklich anerkannt wurde, ein Mahnverfahren bereits länger läuft oder aufgrund des Zahlungsverzugs die Voraussetzungen für eine fristlose Kündigung vorliegen.

Kreditinstitute können personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Kreditgeschäfts ab 1. April 2010 auch ohne Einwilligung an Auskunfteien übermitteln. Allerding soll dem eine Interessenabwägung im Einzelfall vorangehen. Handelt es sich um ein reines Girokonto oder die bloße Abfrage von Konditionen, ist es im Sinne des Gesetzgebers nicht gerechtfertigt.

Wichtig sind zudem zwei Punkte. In Paragraf 6 wird geregelt, dass Personen nicht benachteiligt werden dürfen, die die ihnen nach dem Datenschutzgesetz zustehenden Rechte ausüben. Das klingt zunächst merkwürdig, ist aber sinnvoll: Damit soll ausgeschlossen werden, dass - wie in der Vergangenheit vorgekommen - die Anfrage einer Selbstauskunft bereits als verdächtig gewertet wird. Außerdem kann künftig einmal pro Kalenderjahr eine unentgeltliche Selbsauskunft verlangt werden. Bisher wurde dafür - beispielsweise bei der Schufa - Geld verlangt.

Streit um Werte aus Scoring-Verfahren

Scoring[20]-Werte zur Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses dürfen gemäß Paragraf 28b BDSG nur unter bestimmten Bedingungen verwendet werden. Außerdem haben Betroffene erweiterte Auskunftsrechte. Zu viele, wie eine der größten Auskunfteien, die Schufa, meint[21]: Der "erhebliche organisatorische Mehraufwand bei Auskunfteien und bei Unternehmen, die Kreditgeschäfte anbieten", wirke sich auch auf die Kosten von Kreditgeschäften aus. Das könne sogar so weit gehen, dass Firmen daraus ein Standortnachteil entstehe, da die deutsche Regelung über die EU-Anforderungen hinausgehe.

Auch hinsichtlich der beabsichtigten Transparenz verfehle die Neufassung des Gesetzes ihr Ziel, nörgelt die Schufa. Sie befürchtet, dass neue Auskunfteien entstehen, die für Verbraucher vergleichsweise undurchsichtig agieren. "Im Sinne der Verbraucher würden wir eine gesetzliche Regelung über die Zulassung von Auskunfteien und ein übergeordnetes Internetportal mit einer Übersicht über alle zugelassenen Auskunfteien sehr begrüßen", appellierte der Schufa-Vorstandsvorsitzende Rainer Neumann an den Gesetzgeber.

Wer im Glashaus sitzt ...

Diese Forderung könnte jedoch zum Eigentor werden. Verbraucherministerin Aigner[22] hat erst vor wenigen Tagen einen Bericht vorgestellt[23], in dem das Ausmaß der fehlerhaft gespeicherten Daten bei Auskunfteien und deren Auskunftsverhalten kritisiert wird. "Die Fehlerquoten der gesammelten Daten sind viel zu hoch und die den Verbrauchern erteilten Selbstauskünfte oft völlig unbrauchbar", sagte Ministerin Aigner anlässlich der Vorstellung des Berichts "Verbraucherinformation Scoring".

Laut dem Papier erhalten Verbraucher bei zwei von vier angefragten Auskunfteien nur die Daten zurück, die sie für die Anfrage zur Verfügung stellen müssen. "Das ist nicht länger hinzunehmen. Es stellt sich die Frage, wie auf dieser Basis überhaupt zuverlässige Scorewerte zur Bonitätsbewertung von Verbrauchern ermittelt werden", so Aigner. Der Bericht belegt, dass bei den einbezogenen Auskunfteien fast die Hälfte der Verbraucherdaten fehlerhaft gespeichert werden. Bei der Schufa waren es 46 Prozent.

URLs in diesem Artikel:
[1] = http://de.wikipedia.org/wiki/Bundesdatenschutzgesetz
[2] = http://www.bfdi.bund.de/cln_118/Vorschaltseite_DE_node.html
[3] = http://www.ddv.de/
[4] = http://www.versandhandel.org/
[5] = http://www.versandhandel.org/News.80+M5723faa90a2.0.html
[6] = http://www.presserat.info/
[7] = http://www.presserat.info/fileadmin/download/PDF/2009-03-16_Schreiben_zur_BDSG-Novelle.pdf
[8] = http://www.bfdi.bund.de/cln_111/sid_F0AB7C67E90958B58875281F8119AD61/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2009/PM_21_Modernisierung_Datenschutzrecht.html?nn=408908
[9] = http://www.concept-factory.de/
[10] = http://www.privacy-audit.de/
[11] = http://www.bdi.eu/908.htm
[12] = http://de.wikipedia.org/wiki/Datenschutzbeauftragter
[13] = http://www.zdnet.de/news/wirtschaft_sicherheit_security_deutsche_bahn_sammelt_heimlich_krankendaten_ihrer_mitarbeiter_story-39001024-41501005-1.htm
[14] = http://www.zdnet.de/news/wirtschaft_unternehmen_business_deutsche_telekom_hat_angeblich_auch_bankdaten_ausspioniert_story-39001020-41004199-1.htm
[15] = http://www.bdi.eu/908.htm
[16] = http://www.zdnet.de/artikel_zum_thema_compliance_thema-39002356-39000942o0o0-1.htm
[17] = http://www.sophos.de
[18] = http://www.symantec.de
[19] = http://bundesrecht.juris.de/bdsg_1990/__28.html
[20] = http://de.wikipedia.org/wiki/Kreditscoring
[21] = http://www.schufa.de/de/presse/aktuellepressemitteilungen/090529.jsp
[22] = http://www.bmelv.de/
[23] = http://www.bmelv.de/cln_102/SharedDocs/Pressemitteilungen/2009/178-Verbraucherinformation-Scoring.html?nn=310770
Copyright (c) 2012 NetMediaInteractive GmbH. Alle Rechte vorbehalten.