RMT-Logo
RHEIN MAIN TREUHAND GMBH
Weichertstr.2  63741 Aschaffenburg
Fon +49 (6021) 3880-0
Fax +49 (6021) 3880-10
info@rhein-main-treuhand.de
Datenschutz 2009 Verschärfung und Sanktion

Die Novelle des Bundesdatenschutzgesetzes trat am 01.09.2009 in Kraft. Sie hat erhebliche Auswirkungen auf wirtschaftliche Unternehmen. Denn es werden die Regeln für den Datenschutzbeauftragten erweitert und die für die sog. Auftragsdatenverarbeitung und den Arbeitnehmerdatenschutz verschärft.

Außerdem werden neue Informationspflichten bei einem sog. Datenabfluss vorgeschrieben. Geschäftsführer sind persönlich schon bei einfacher Fahrlässigkeit im Umgang mit den Vorschriften durch Bußgeld bis zu € 50.000, höchstens mit € 300.000 bedroht. Obendrein wird beim Unternehmen neben dem Bußgeld auch noch zusätzlich der erlangte wirtschaftliche Vorteil aus der Ordnungswidrigkeit abgeschöpft.

1. Datenschutzbeauftragter (DSB)

Der Kündigungsschutz für die Person des DSB wird erweitert – nur noch aus wichtigem Grund und Jahresfrist - vgl. § 4f Abs. 3 S. 5 BDSG. Der DSB muss sich laufend fortbilden, der Betrieb hat ihm dies zu ermöglichen. Empfehlung: Monatsberichte des DSB an die Geschäftsleitung.

2. Auftragsdatenverarbeitung

Datenverarbeitung erfolgt auch durch Dritte – Buchführung, Wartungsverträge usw. - vgl. § 11 Abs. 2 BDSG. Um der weiterhin bestehenden rechtlichen Verantwortung Rechnung zu tragen wird gesetzlich festgehalten, was im schriftlichen Vertrag bei einer Auslagerung der Datenverarbeitung geregelt sein muss:

# Regelungsinhalt
1 Gegenstand des Vertrags
1 Dauer des Vertrags
2 Art der Daten
2 Umfang, Art und Zweck der beauftragten Bearbeitung (Erhebung, Verarbeitung oder Nutzung)
2 Kreis der Betroffenen
3 Technische oder organisatorische Maßnahmen gemäß § 9 BDSG
4 Berichtigung, Löschung und Sperrung von Daten
5 Pflichten des Auftragnehmers bzw. Kontrollpflichten gemäß § 4 BDSG
6 Unterauftragsverhältnisse beim Auftragsvolumen
7 Kontrollrechte des Auftraggebers
8 Meldepflichten des Auftragnehmers bzw. seiner Mitarbeiter bei festgestellten Verstößen gegen den Schutz
personenbezogener Daten oder gegen Auftragsbestimmungen
9 Vorbehaltene Weisungsbefugnisse des Auftraggebers
10 Rückgabepflichten hinsichtlich Datenträger bzw. Löschungserklärung des Auftragnehmers

Der Auftraggeber hat vor Erteilung eines Auftrags zur Auftragsdatenverarbeitung die Einhaltung der technischen und organisatorischen Maßnahmen bei dem Dritten zu überprüfen. Bei Dauerverhältnissen sind diese Prüfungen in Intervallen vorzunehmen und zu dokumentieren (§ 11 Abs. 2 S. 4 und 5 BDSG). Auch diese Vorschrift ist mit Bußgeld sanktioniert. Empfehlung: Standardtextbaustein in Auftragsbestätigungen oder jeweils aktuelle, intervallmäßige Eigenerklärungen.

3. Arbeitnehmerdatenschutz

Die Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten wurde bislang nur allgemeinrechtlich vom BDSG beurteilt. Jetzt ist dafür eine Spezialnorm für den Mitarbeiterdatenschutz geschaffen worden. Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten eines Beschäftigten ist nach § 32 Abs. 1 BDSG nur noch für Zwecke des Beschäftigungsverhältnisses möglich, soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Noch strenger ist die neue Vorschrift bei dem Verdacht von Straftaten eines Mitarbeiters. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Diese Vorgaben gelten nach § 32 Abs. 2 BDSG zudem auch ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

4. Datenabfluss

Datenabfluss kann unrechtmäßig erfolgen – bspw. Verlust eines Notebooks. Die dadurch abgeflossenen, personenbezogenen Daten sind unter Umständen anlassbezogen dem Betroffenen und der Aufsichtsbehörde zu melden - § 42a BDSG. Der Betroffene ist allerdings erst dann zu unterrichten, wenn die polizeilichen Ermittlungen nicht mehr gefährdet sind. Die Informationspflicht über den Datenabfluss besteht hinsichtlich vier Datenkategorien. Sollte die Information nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgen, liegt eine Ordnungswidrigkeit vor - vgl. § 43 Abs. 2 Nr. 7 BDSG.

5. Datenschutzverstöße

Nach US-amerikanischem Vorbild werden auch deutsche Unternehmen künftig die Datenschutzaufsichtsbehörden und die Betroffenen über Datenschutzverstöße informieren müssen. Die Informationspflicht greift, wenn personenbezogene Daten (solche nach § 3 Abs. 9 BDSG, dem Berufsgeheimnis unterliegende, sich auf Straftaten und Ordnungswidrigkeiten beziehende oder auch Bank- und Kreditkartenkonten betreffende) Dritten auf unrechtmäßige Weise zur Kenntnis gelangt sind. Die Verpflichtung besteht jedoch nur dann, wenn den Betroffenen zusätzlich „schwerwiegende Beeinträchtigungen“ drohen. Diese Regelung erfasst über eine Verweisung auch Bestands- Nutzungs- und Verkehrsdaten nach § 15a TMG und § 93 Abs. 3 TKG.

Falls diese Informationspflicht greift, könnten die damit verbundenen Kosten erheblich sein. Nach § 42a BDSG (neu) tritt an die Stelle der Informationspflicht gegenüber den Betroffenen eine Pflicht zur Information der Öffentlichkeit. Diese muss über Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen, die mindestens eine halbe Seite einnehmen müssen oder über eine mindestens gleich geeignete Maßnahme erfolgen. Diese Pflicht müsste allerdings eine Einschränkung für den Fall erfahren, in dem die Datenpanne nur regionale oder gar nur örtliche Auswirkung entfaltet.

Bei Verstößen gegen diese Verpflichtungen drohen zum Einen Bußgelder in Höhe von bis zu 300.000 €, bzw. wenn der wirtschaftliche Vorteil des Verstoßes im Einzelfall über den Wert von 300.000 € hinausgeht sogar noch erheblich höhere Summen.

6. Verarbeitungsgrundsätze

Die bereits nach geltendem Recht bestehenden Grundsätze zur Datenvermeidung und Datensparsamkeit werden künftig nicht nur für die Gestaltung von Datenverarbeitungssystemen, sondern für jede Verwendung (z. B. auch bei Daten in Papierform) von Daten gelten. Grundsätzlich sind die Daten einer Anonymisierung oder Pseudonymisierung zu unterwerfen. Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Identifizierung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Im Gegensatz zur Anonymisierung bleiben die Bezüge verschiedener Datensätze bei der Pseudonymisierung, die auf dieselbe Art pseudonymisiert wurden, erhalten. Die Pseudonymisierung ermöglicht also - unter Zuhilfenahme eines Schlüssels - die Zuordnung von Daten zu einer Person, was ohne diesen Schlüssel nicht oder nur schwer möglich ist, da Daten und Identifikationsmerkmale getrennt sind.

Entscheidend ist also, dass eine Zusammenführung von Person und Daten noch möglich ist. Nicht wesentlich erschwert ist andererseits jedoch die Identifikation, wenn als Kennzeichen lediglich Initialen und Geburtsdatum verwendet werden.

Je aussagekräftiger die Datenansammlung ist (z.B. Einkommen, Krankheitsgeschichte, Wohnort,  Größe), desto größer ist die theoretische Möglichkeit, diese auch ohne Code einer bestimmten Person zuzuordnen und diese identifizieren zu können. Um die Anonymisierung zu wahren, müssten diese Daten gegebenenfalls getrennt oder verfälscht werden, um die Identifizierung zu erschweren. Auf diese Bearbeitung der Daten darf nur noch verzichtet werden, wenn es einen unverhältnismäßigen Aufwand verursachen würde, oder dies im Hinblick auf den angestrebten Verwendungszweck nicht möglich ist.

Im Vergleich zur bisherigen Rechtslage kehrt sich die Beweislast damit um – vgl. § 3a BDSGneu.

7. Aufsichtsbehörden

Die Aufsichtsbehörde kann nun auch Maßnahmen zur Beseitigung von Datenschutzverstößen anordnen, ohne dass diese auf die Durchsetzung von Regelungen über die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung personenbezogener Daten in oder aus nicht automatisierten Dateien abstellen. Die Beschränkung auf Anordnungen, die sich innerhalb des Rahmens der Anforderungen aus § 9 BDSG halten, fällt damit weg. Das heißt, auch bei sonstigen Datenschutzverstößen können Anordnungen ergehen. Bei besonders schwerwiegenden Verstößen kann sogar der Umgang mit personenbezogenen Daten gänzlich untersagt werden.

Quellenhinweis:

Praxisticker 172 des Landesverbandes der steuerberatenden und wirtschaftsprüfenden Berufe in Bayern e.V.

Dr. Peter Küffner LSWB-Präsident

Ko-Autoren StB Stefan Groß und StB Dr. Nils Hallermann (Peters, Schönberger &
Partner GbR, München)
LSWB, Hauptgeschäftsstelle München, Implerstr. 11, 81371 München
Tel 089 / 273 214 17, Fax 089 / 273 06 56, Email: praxisticker@lswb.de

Zum SeitenanfangSeitenanfang