Deutscher Bundestag                                                             Drucksache   16/1201116. Wahlperiode      ...
Drucksache 16/12011                                    –2–                Deutscher Bundestag – 16. Wahlperiodebeschränkt ...
Deutscher Bundestag – 16. Wahlperiode                –3–                           Drucksache 16/12011F. BürokratiekostenF...
Deutscher Bundestag – 16. Wahlperiode   –5–   Drucksache 16/12011
Deutscher Bundestag – 16. Wahlperiode                                –7–                               Drucksache 16/12011...
Drucksache 16/12011                                         –8–                 Deutscher Bundestag – 16. Wahlperiodeordnu...
Deutscher Bundestag – 16. Wahlperiode                        –9–                               Drucksache 16/12011   sensc...
Drucksache 16/12011                                        – 10 –               Deutscher Bundestag – 16. WahlperiodeDurch...
Deutscher Bundestag – 16. Wahlperiode                      – 11 –                           Drucksache 16/12011rige prakti...
Drucksache 16/12011                                        – 12 –               Deutscher Bundestag – 16. Wahlperiode     ...
Deutscher Bundestag – 16. Wahlperiode                     – 13 –                            Drucksache 16/12011     2. sow...
Drucksache 16/12011                                      – 14 –               Deutscher Bundestag – 16. Wahlperiode6. § 29...
Deutscher Bundestag – 16. Wahlperiode                               – 15 –                             Drucksache 16/12011...
Drucksache 16/12011                                       – 16 –              Deutscher Bundestag – 16. WahlperiodeBegründ...
Deutscher Bundestag – 16. Wahlperiode                       – 17 –                           Drucksache 16/12011greifen kö...
Drucksache 16/12011                                         – 18 –              Deutscher Bundestag – 16. WahlperiodeDie S...
Deutscher Bundestag – 16. Wahlperiode                          – 19 –                           Drucksache 16/12011Widersp...
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
Upcoming SlideShare
Loading in...5
×

1612011[1]

541

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
541
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "1612011[1]"

  1. 1. Deutscher Bundestag Drucksache 16/1201116. Wahlperiode 18. 02. 2009Gesetzentwurfder BundesregierungEntwurf eines Gesetzes zur Regelung des Datenschutzauditsund zur Änderung datenschutzrechtlicher VorschriftenA. Problem und ZielDen Aufwendungen von Unternehmen für einen über das gesetzlich vorge-schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquaterwirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere-geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin-det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu-gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 desBundesdatenschutzgesetzes erfüllt werden.In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han-dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Datenist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel-lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danachdürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu-sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs-forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden.Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe-zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohnein jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu-dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt-und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be-troffenen möchten über die Verwendung personenbezogener Daten für dieseZwecke selbst entscheiden können.B. LösungUnternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlichgeregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz-konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn-zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab-ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mitExperten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli-nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un-ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- undGeschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben.Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer-bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
  2. 2. Drucksache 16/12011 –2– Deutscher Bundestag – 16. Wahlperiodebeschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei-nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit demBetroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu-erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Datenfür Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oderMeinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu-dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durchKopplung mit dem Vertragsschluss erzwingen dürfen.C. AlternativenKeineD. Finanzielle Auswirkungen auf die öffentlichen Haushalte1. Haushaltsausgaben ohne VollzugsaufwandKeine2. VollzugsaufwandDas Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereichbeim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit imRahmen der Durchführung des Gesetzes und der Überwachung der zugelasse-nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durchKostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll-zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In-formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie-hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellenund der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech-nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildungeines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und derWirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutzund die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl derKontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel inHöhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden.Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben istim Haushaltsaufstellungsverfahren 2010 zu entscheiden.E. Sonstige KostenKosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor-schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per-sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oderder Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön-nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, beiunrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf-sichtsbehörden und Betroffenen zu benachrichtigen.Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaftnach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten-ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren aufdie Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwilligist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän-gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolgeunterziehen.
  3. 3. Deutscher Bundestag – 16. Wahlperiode –3– Drucksache 16/12011F. BürokratiekostenFür die Wirtschaft werden 15 Informationspflichten neu eingeführt und eineInformationspflicht geändert. Es wird keine Informationspflicht abgeschafft. DieSumme der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio.Euro.Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt,geändert oder abgeschafft.Für die Verwaltung werden zwölf Informationspflichten neu eingeführt undkeine Informationspflicht geändert oder abgeschafft.
  4. 4. Deutscher Bundestag – 16. Wahlperiode –5– Drucksache 16/12011
  5. 5. Deutscher Bundestag – 16. Wahlperiode –7– Drucksache 16/12011 Anlage 1Entwurf eines Gesetzes zur Regelung des Datenschutzauditsund zur Änderung datenschutzrechtlicher Vorschriften Vom … Der Bundestag hat das folgende Gesetz beschlossen: kontrollieren lassen, sofern sie nichtöffentliche Stellen im Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind. Sie dürfen ihr Datenschutzkonzept oder eine angebotene Artikel 1 informationstechnische Einrichtung mit einem Datenschutz- Datenschutzauditgesetz auditsiegel kennzeichnen, wenn (DSAG)* 1. bei der Datenverarbeitung, für die das Datenschutzkon- zept oder die informationstechnische Einrichtung vorge- Inhaltsübersicht sehen ist, die Vorschriften zum Schutz personenbezoge-§1 Datenschutzaudit ner Daten eingehalten werden,§2 Zuständigkeit 2. die für das Datenschutzkonzept oder die informati-§3 Kontrollen onstechnische Einrichtung geltenden Richtlinien zur Ver-§4 Zulassung der Kontrollstelle und Entziehung der besserung des Datenschutzes und der Datensicherheit Zulassung nach § 11 Absatz 1 erfüllt werden,§5 Anforderungen an das Personal der Kontrollstelle 3. als Anbieter mit Sitz im Inland die Vorschriften des Bun- desdatenschutzgesetzes über die organisatorische Stel-§6 Pflichten der Kontrollstelle lung des Beauftragten für den Datenschutz eingehalten§7 Pflichten der zuständigen Behörde werden und§8 Überwachung 4. dies nach § 3 kontrolliert wird.§9 Datenschutzauditsiegel, Verzeichnisse Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch§ 10 Gebühren und Auslagen die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten-§ 11 Datenschutzauditausschuss schutzgesetzes genannten Stellen.§ 12 Mitglieder des Datenschutzauditausschusses §2§ 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Zuständigkeit Datenschutzauditausschusses (1) Die Durchführung dieses Gesetzes und der auf Grund§ 14 Geschäftsstelle des Datenschutzauditausschusses dieses Gesetzes erlassenen Rechtsverordnungen obliegt den§ 15 Rechtsaufsicht nach Landesrecht zuständigen Behörden, soweit nachste-§ 16 Verordnungsermächtigungen hend nichts anderes bestimmt ist. Soweit für die geschäfts-§ 17 Bußgeldvorschriften mäßige Erbringung von Post- oder Telekommunikations- diensten Daten zu natürlichen oder juristischen Personen§ 18 Strafvorschriften erhoben, verarbeitet oder genutzt werden, ist zuständige Be-§ 19 Einziehung hörde der Bundesbeauftragte für den Datenschutz und die§ 20 Übergangsvorschrift Informationsfreiheit (Bundesbeauftragter). (2) Der Bundesbeauftragte ist zuständig für die Zulassung §1 der Kontrollstellen, die Entziehung der Zulassung und die Datenschutzaudit Vergabe der Kennnummern an die Kontrollstellen. Nach Maßgabe dieses Gesetzes können §31. verantwortliche Stellen ihr Datenschutzkonzept und Kontrollen2. Anbieter von Datenverarbeitungsanlagen und -program- Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1 men (informationstechnischen Einrichtungen) die ange- Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer- botenen informationstechnischen Einrichtungen den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas- senen Kontrollstellen durchgeführt, soweit die Aufgaben- wahrnehmung nicht mit der Durchführung eines Verwal-* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen tungsverfahrens verbunden ist. Der Beauftragte für den Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- und der Vorschriften für die Dienste der Informationsgesellschaft schutzgesetzes ist in die Durchführung der Kontrollen einzu- (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie beziehen. Art und Häufigkeit der Kontrollen richten sich 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, nach dem Risiko des Auftretens von Verstößen gegen dieses S. 81) geändert worden ist, sind beachtet worden. Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
  6. 6. Drucksache 16/12011 –8– Deutscher Bundestag – 16. Wahlperiodeordnungen oder die für das Datenschutzkonzept oder die in- oder Insolvenzstraftaten mit einer Strafe oder wegenformationstechnische Einrichtung geltenden Richtlinien zur Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor-Verbesserung des Datenschutzes und der Datensicherheit schriften mit einer Geldbuße in Höhe von mehr als fünf-nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine hundert Euro belegt worden ist,Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so- 2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz,bald der ordnungsgemäße Geschäftsbetrieb der Kontroll- eine auf Grund dieses Gesetzes erlassene Rechtsverord-stelle es ermöglicht, erstmalig und sodann spätestens inner- nung oder Vorschriften über den Schutz personenbezoge-halb von zwölf Monaten nach dieser Kontrolle erneut kon- ner Daten verstoßen hat oder wiederholt oder grobtrolliert. Danach wird die nichtöffentliche Stelle spätestens pflichtwidrig als Beauftragter für den Datenschutz seinealle 18 Monate kontrolliert. Verpflichtungen verletzt hat, §4 3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur Zulassung der Kontrollstelle und Entziehung Bekleidung öffentlicher Ämter verloren hat, der Zulassung 4. sich nicht in geordneten wirtschaftlichen Verhältnissen (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn befindet, es sei denn, dass dadurch die Interessen der kon- trollierten nichtöffentlichen Stelle oder Dritter nicht ge-1. ihr Leitungspersonal und die für Kontrollen verantwort- fährdet sind, oder lichen Beschäftigten über die erforderliche Zuverlässig- keit, Unabhängigkeit und fachliche Eignung verfügen, 5. aus gesundheitlichen Gründen nicht nur vorübergehend unfähig ist, die Kontrollen nach Maßgabe der nach § 162. die Kontrollstelle akkreditiert ist, Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung3. die für die Zulassung erhobenen Gebühren entrichtet ordnungsgemäß durchzuführen. worden sind und (2) Über die erforderliche Unabhängigkeit verfügt, wer4. die Kontrollstelle ihren Sitz oder eine Niederlassung im bei der Übernahme, Vorbereitung und Durchführung der Bundesgebiet hat. Kontrollen keiner persönlichen, wirtschaftlichen oder beruf- lichen Einflussnahme unterliegt, die geeignet ist, ein objek-Mit der Zulassung ist der Kontrollstelle eine Kennnummer tives Urteil zu beeinträchtigen. Für die Unabhängigkeit undzuzuteilen. Freiheit von Interessenkonflikten bietet in der Regel keine (2) Die Zulassung wird für das gesamte Bundesgebiet er- Gewähr, werteilt. Auf Antrag kann die Zulassung auf einzelne Länder be- 1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oderschränkt werden. Angestellter einer nichtöffentlichen Stelle ist, auf die sich (3) Die Zulassung kann mit Befristungen, Bedingungen seine Kontrolltätigkeit bezieht,oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla- 2. als Leitungspersonal der Kontrollstelle eine Tätigkeit aufgen verbunden werden, soweit die Funktionsfähigkeit des Grund eines Beamtenverhältnisses, Soldatenverhältnis-Kontrollsystems oder Belange des Datenschutzes hinsicht- ses oder eines Anstellungsvertrages mit einer juristischenlich der Voraussetzungen nach Absatz 1 Nummer 1 oder Person des öffentlichen Rechts, eine Tätigkeit auf GrundNummer 2 dies erfordern. Unter denselben Voraussetzungen eines Richterverhältnisses, öffentlich-rechtlichen Dienst-ist die nachträgliche Aufnahme und die Änderung von Auf- verhältnisses als Wahlbeamter auf Zeit oder eines öffent-lagen zulässig. lich-rechtlichen Amtsverhältnisses ausübt, es sei denn, (4) Einer Kontrollstelle wird die Zulassung entzogen, dass die übertragenen Aufgaben ehrenamtlich wahrge-wenn die Kontrollstelle nommen werden,1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 3. Weisungen auf Grund vertraglicher oder sonstiger Bezie- Nummer 2 oder Nummer 4 nicht mehr genügt, hungen bei der Tätigkeit für die Kontrollstelle auch dann2. ihren Verpflichtungen nach diesem Gesetz, insbesondere zu befolgen hat, wenn sie zu Handlungen gegen seine nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund Überzeugung verpflichten, dieses Gesetzes erlassenen Rechtsverordnung in schwer- 4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso- wiegender Weise nicht nachkommt. nell mit Dritten verflochten ist, wenn nicht deren Ein- flussnahme auf die Wahrnehmung der Aufgaben für die §5 Kontrollstelle, insbesondere durch Satzung, Gesell- Anforderungen an das Personal der Kontrollstelle schaftsvertrag oder Anstellungsvertrag ausgeschlossen ist. (1) Über die erforderliche Zuverlässigkeit verfügt, werauf Grund seiner persönlichen Eigenschaften, seines Verhal- (3) Über die erforderliche fachliche Eignung verfügt, wertens und seiner Fähigkeiten die Gewähr für die ordnungsge- auf Grund seiner Ausbildung, beruflichen Bildung und prak-mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihmdie Zuverlässigkeit bietet in der Regel keine Gewähr, wer obliegenden Aufgaben befähigt ist. Im Bereich Recht sind nachzuweisen:1. ausweislich eines Führungszeugnisses für Behörden nach § 30 Absatz 5, § 31 des Bundeszentralregistergesetzes 1. der Abschluss eines Studiums der Rechtswissenschaft wegen Verletzung der Vorschriften des Strafrechts über oder eines Studiums auf einem anderen Gebiet mit den persönlichen Lebens- und Geheimbereich, über rechtswissenschaftlichen Inhalten, die den Umfang eines Eigentums- und Vermögensdelikte, Urkundenfälschung durchschnittlichen Nebenfachstudiums der Rechtswis-
  7. 7. Deutscher Bundestag – 16. Wahlperiode –9– Drucksache 16/12011 senschaft nicht unterschreiten, an einer deutschen Hoch- (4) Die Kontrollstelle unterrichtet die von ihr kontrollier- schule oder ein gleichwertiger ausländischer Abschluss ten nichtöffentlichen Stellen, die nach Landesrecht für die sowie eine dreijährige berufliche Tätigkeit mit dem Sitze oder Niederlassungen der nichtöffentlichen Stellen zu- Schwerpunkt auf dem Gebiet des Datenschutzrechts oder ständigen Behörden sowie den Bundesbeauftragten,2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 1. spätestens drei Monate vor der beabsichtigten Einstel- sowie eine mindestens fünfjährige berufliche Tätigkeit lung ihrer Tätigkeit, mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 2. im Falle eines Antrags auf Eröffnung eines Insolvenzver- rechts. fahrens unverzüglich.Im Bereich Informationstechnik sind nachzuweisen: Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif- ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn1. der Abschluss eines Studiums der Informatik, der Wirt- die Kontrolle der von ihr kontrollierten nichtöffentlichen schaftsinformatik oder eines Studiums auf einem anderen Stellen durch eine andere Kontrollstelle sichergestellt ist. Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen §7 Hochschule oder ein gleichwertiger ausländischer Ab- Pflichten der zuständigen Behörde schluss sowie eine dreijährige berufliche Tätigkeit mit (1) Die Kontrollstelle wird von der zuständigen Behörde dem Schwerpunkt auf dem Gebiet der Informationstech- des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt, nik oder überwacht, indem die zuständige Behörde bei Bedarf Über- prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei-2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der len die zuständigen Behörden einander die zur Überwachung Informationstechnik sowie eine mindestens fünfjährige der Kontrollstellen erforderlichen Auskünfte. Stellt die zu- berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge- ständige Behörde Tatsachen fest, die die Entziehung der Zu- biet der Informationstechnik. lassung rechtfertigen oder die Aufnahme oder Änderung vonDie berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- Auflagen zur Zulassung erforderlich machen können, hat siedens für die Kontrollstelle nicht seit mehr als drei Jahren un- 1. wenn der Ort der zu beanstandenden Kontrolltätigkeitterbrochen sein. und der Sitz oder die Niederlassung der Kontrollstelle in demselben Land liegen, beim Bundesbeauftragten unter §6 Mitteilung dieser Tatsachen die Entziehung der Zulas- Pflichten der Kontrollstelle sung oder die Aufnahme oder Änderung von Auflagen anzuregen oder, (1) Die Kontrollstelle hat ein Datenschutzkonzept odereine informationstechnische Einrichtung gegen angemes- 2. wenn der Ort der zu beanstandenden Kontrolltätigkeitsene Vergütung in ihre Kontrollen einzubeziehen, soweit die und der Sitz oder die Niederlassung der Kontrollstelle innichtöffentliche Stelle die Einbeziehung verlangt und ihren verschiedenen Ländern liegen, der zuständigen BehördeSitz oder eine Niederlassung in dem Land hat, in dem die des Landes, in dem der Sitz oder die Niederlassung derKontrollstelle zugelassen ist. Die zuständige Behörde kann Kontrollstelle liegt, die Tatsachen mitzuteilen.auf Antrag der Kontrollstelle eine Ausnahme von der Ver- Erhält die zuständige Behörde des Landes, in dem der Sitzpflichtung nach Satz 1 zulassen, soweit oder die Niederlassung der Kontrollstelle liegt, Kenntnis von1. die Kontrollstelle wirksame Kontrollen nicht gewährleis- Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes- ten kann und beauftragten unter Mitteilung dieser Tatsachen an, ein Ver- fahren zur Entziehung der Zulassung oder zur Aufnahme2. die Durchführung der Kontrollen durch eine andere oder Änderung von Auflagen einzuleiten. Im Rahmen des Kontrollstelle sichergestellt ist. § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle (2) Die Kontrollstelle übermittelt der zuständigen Behör- nach Satz 1 durch den Bundesbeauftragten überwacht.den jährlich bis zum 31. Januar ein Verzeichnis der nicht- (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständigeöffentlichen Stellen, die am 31. Dezember des Vorjahres Behörde anordnen, dass von dem Verstoß betroffene Daten-ihrer Kontrolle unterstanden und legt bis zum 31. März jedes schutzkonzepte oder informationstechnische EinrichtungenJahres einen Bericht über ihre Tätigkeit im Vorjahr vor. nicht mit dem Datenschutzauditsiegel gekennzeichnet wer- den dürfen, wenn dies in einem angemessenen Verhältnis zur (3) Die Kontrollstellen erteilen einander die für eine ord- Bedeutung der Vorschrift, gegen die verstoßen wurde, sowienungsgemäße Durchführung dieses Gesetzes notwendigen zu Art und Umständen des Verstoßes steht. Im Falle einesAuskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- schwerwiegenden Verstoßes oder eines Verstoßes mit Lang-stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie zeitwirkung kann die zuständige Behörde der nichtöffent-unverzüglich die zuständige Behörde. Soweit eine Kontroll- lichen Stelle die Kennzeichnung für einen bestimmten Zeit-stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- raum untersagen.sachen feststellt, die einen hinreichenden Verdacht auf Ver-stöße der in Satz 2 genannten Art begründen, der eine nichtvon der Kontrollstelle kontrollierte nichtöffentliche Stelle §8betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich Überwachungder Kontrollstelle mit, deren Kontrolle die betroffene nicht- (1) Die nichtöffentlichen Stellen und die Kontrollstellenöffentliche Stelle untersteht. haben den zuständigen Behörden auf Verlangen die zur
  8. 8. Drucksache 16/12011 – 10 – Deutscher Bundestag – 16. WahlperiodeDurchführung der den zuständigen Behörden durch dieses § 10Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- Gebühren und Auslagenben erforderlichen Auskünfte zu erteilen. (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und (2) Die von der zuständigen Behörde beauftragten Perso- Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung desnen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- Verwaltungsaufwandes Gebühren und Auslagen erhobentriebsräume der Auskunftspflichtigen während der Ge- werden. Das Bundesministerium des Innern wird ermächtigt,schäfts- oder Betriebszeit betreten und dort Besichtigungen im Einvernehmen mit dem Bundesministerium der Finanzenvornehmen und geschäftliche Unterlagen einsehen und prü- durch Rechtsverordnung ohne Zustimmung des Bundesratesfen, soweit dies zur Durchführung ihrer Aufgaben erforder- die gebührenpflichtigen Tatbestände, die Gebührensätze so-lich ist. wie die Auslagenerstattung zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen. In der Rechtsverord- (3) Auskunftspflichtige haben die Maßnahmen nach nung kann die Erstattung von Auslagen abweichend vomAbsatz 2 zu dulden, die zu besichtigenden Bereiche selbst Verwaltungskostengesetz geregelt werden.oder durch andere so zu bezeichnen, dass die Besichtigungordnungsgemäß vorgenommen werden kann, selbst oder (2) Für Amtshandlungen der zuständigen Behörden nachdurch andere die erforderliche Hilfe bei Besichtigungen zu § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren undleisten sowie die geschäftlichen Unterlagen zur Einsicht- Auslagen nach Maßgabe des Landesrechts erhoben werden.nahme und Prüfung vorzulegen. § 11 (4) Auskunftspflichtige können die Auskunft auf solche DatenschutzauditausschussFragen verweigern, deren Beantwortung sie oder einen der in§ 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- Beim Bundesbeauftragten wird ein Datenschutzauditaus-zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- schuss gebildet. Er erlässt Richtlinien zur Verbesserung desfolgung oder eines Verfahrens nach dem Gesetz über Ord- Datenschutzes und der Datensicherheit, insbesondere durchnungswidrigkeiten aussetzen würde. Auskunftspflichtige 1. Transparenz der Datenerhebung, -verarbeitung und -nut-sind darauf hinzuweisen. zung, (5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 2. Datenvermeidung und Datensparsamkeit nach § 3a destrollen der nichtöffentlichen Stellen durch die Kontrollstel- Bundesdatenschutzgesetzes,len. 3. die Stärkung der organisatorischen Stellung des Be- auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1 §9 des Bundesdatenschutzgesetzes, Datenschutzauditsiegel, Verzeichnisse 4. technische und organisatorische Maßnahmen nach § 9 (1) Wer ein Datenschutzkonzept oder eine informations- des Bundesdatenschutzgesetzes.technische Einrichtung mit dem Datenschutzauditsiegel Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei-kennzeichnen will, hat dies dem Bundesbeauftragten vor der ner Internetseite und im elektronischen Bundesanzeiger.erstmaligen Verwendung des Siegels anzuzeigen. Der Bun-desbeauftragte hat ein Verzeichnis der angezeigten Daten- (2) Der Datenschutzauditausschuss unterrichtet die Öf-schutzkonzepte sowie informationstechnischen Einrichtun- fentlichkeit jährlich in einem Bericht über seine Tätigkeitgen mit den Angaben nach Satz 3 zu führen und zum Zwecke und Erfahrungen, insbesondere über Praktikabilität und er-der Information der zuständigen Behörden und der Betroffe- forderliche Änderungen erlassener Richtlinien sowie dennen auf seiner Internetseite sowie im elektronischen Bundes- Bedarf für neue Richtlinien.anzeiger zu veröffentlichen. Das Verzeichnis muss folgendeAngaben enthalten: § 12 Mitglieder des Datenschutzauditausschusses1. den Namen und die Anschrift oder die der nichtöffent- lichen Stelle durch die Kontrollstelle zugeordnete alpha- (1) Mitglieder des Datenschutzauditausschusses sind numerische Identifikationsnummer, 1. zwei Vertreter der Verwaltung des Bundes,2. den Namen und die Anschrift oder die Kennnummer der 2. zwei Vertreter des Bundesamtes für Sicherheit in der In- Kontrollstelle, formationstechnik,3. das angezeigte Datenschutzkonzept sowie die informa- 3. zwei Vertreter des Bundesbeauftragten, tionstechnische Einrichtung. 4. zwei Vertreter der Verwaltung der Länder,Weitere Angaben darf das Verzeichnis nicht enthalten. 5. vier Vertreter von Aufsichtsbehörden der Länder für den (2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- Datenschutz im nichtöffentlichen Bereich,lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 6. sechs Vertreter von Unternehmen oder ihren Verbänden.führen und zum Zwecke der Information der zuständigenBehörden und der Betroffenen auf seiner Internetseite sowie Sie unterliegen keinen Weisungen und sind ehrenamtlich tä-im elektronischen Bundesanzeiger zu veröffentlichen. Das tig. Die §§ 83 und 84 des VerwaltungsverfahrensgesetzesVerzeichnis enthält die Namen, Anschriften und Kennnum- sind anzuwenden.mern der zugelassenen Kontrollstellen. Weitere Angaben (2) Die Mitglieder des Datenschutzauditausschusses müs-darf es nicht enthalten. sen über gründliche Fachkenntnisse und mindestens dreijäh-
  9. 9. Deutscher Bundestag – 16. Wahlperiode – 11 – Drucksache 16/12011rige praktische Erfahrungen auf dem Gebiet des Datenschut- aufheben. Wenn der Datenschutzauditausschuss Beschlüssezes verfügen. oder sonstige Handlungen unterlässt, die zur Erfüllung sei- (3) Das Bundesministerium des Innern beruft die Mitglie- ner gesetzlichen Aufgaben erforderlich sind, kann die Auf-der des Datenschutzauditausschusses und für jedes Mitglied sichtsbehörde anordnen, dass innerhalb einer bestimmteneinen Stellvertreter für die Dauer von drei Jahren, die Mit- Frist die erforderlichen Maßnahmen getroffen werden. Dieglieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag Aufsichtsbehörde hat die geforderten Handlungen im Ein-und jeweils im Einvernehmen mit dem Bundesbeauftragten, zelnen zu bezeichnen. Sie kann ihre Anordnung selbstden für den Datenschutz zuständigen obersten Landesbehör- durchführen oder von einem anderen durchführen lassen,den, den Aufsichtsbehörden nach § 38 des Bundesdaten- wenn die Anordnung vom Datenschutzauditausschuss nichtschutzgesetzes sowie den Bundesdachverbänden der Wirt- befolgt worden ist.schaft. (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei- (4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur chen, kann die Aufsichtsbehörde den Datenschutzauditaus-mit beratender Stimme hinzuzuziehen, soweit Gegenstand schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeitder Sitzung eine Richtlinie ist, die nichtöffentliche Stellen der Auflösungsanordnung unverzüglich neue Mitglieder ge-betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni- mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagenekationsgesetzes oder § 42 Absatz 3 des Postgesetzes der Personen nicht zu berücksichtigen, die dem aufgelösten Da-Kontrolle des Bundesbeauftragten unterliegen. tenschutzauditausschuss angehört haben. § 13 § 16 Geschäftsordnung, Vorsitz und Beschlussfassung Verordnungsermächtigungen des Datenschutzauditausschusses (1) Die Landesregierungen werden ermächtigt, durch (1) Der Datenschutzauditausschuss gibt sich eine Ge- Rechtsverordnungschäftsordnung, die der Genehmigung durch das Bundes- 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab-ministerium des Innern bedarf. satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be- (2) Der Datenschutzauditausschuss wählt den Vorsitzen- leihen oder sie an der Erfüllung der Aufgaben zu beteili-den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss gen,jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 2. die Voraussetzungen und das Verfahren der Beleihungtionen, der Aufsichtsbehörden für den Datenschutz und der und der Beteiligung zu regeln.Verwaltung gehören. Die Landesregierungen können die Ermächtigung durch (3) Der Datenschutzauditausschuss beschließt Rechtsverordnung ganz oder teilweise auf andere Behörden1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der des Landes übertragen. Mehrheit von zwei Dritteln der gesetzlichen Mitglieder (2) Die Bundesregierung wird ermächtigt, nach Anhörung und des Bundesbeauftragten durch Rechtsverordnung ohne Zu-2. in Angelegenheiten der Geschäftsordnung mit der Mehr- stimmung des Bundesrates heit der gesetzlichen Mitglieder. 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu § 14 beleihen oder sie an der Erfüllung der Aufgaben zu betei- Geschäftsstelle des Datenschutzauditausschusses ligen, Der Datenschutzauditausschuss wird bei der Durchfüh- 2. die Voraussetzungen und das Verfahren der Beleihungrung seiner Aufgaben durch eine Geschäftsstelle unterstützt, und der Beteiligung zu regeln.die den Weisungen des Vorsitzenden des Datenschutzaudit-ausschusses unterliegt. (3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates § 15 nähere Regelungen zu treffen über Rechtsaufsicht 1. die Einzelheiten der Verwendung des Datenschutzaudit- (1) Der Datenschutzauditausschuss untersteht der Auf- siegels, um eine einheitliche Kennzeichnung und eindeu-sicht des Bundesministeriums des Innern (Aufsichtsbehör- tige Erkennbarkeit der Kennzeichnung der Datenschutz-de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit konzepte und informationstechnischen Einrichtungen zuder Ausschusstätigkeit, insbesondere darauf, dass die Aufga- gewährleisten,be nach § 11 Absatz 1 Satz 2 erfüllt wird. 2. die Voraussetzungen und das Verfahren der Zulassung (2) Die Aufsichtsbehörde kann an den Sitzungen des Da- nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen undtenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen das Verfahren der Entziehung der Zulassung nach § 4das Wort zu erteilen. Sie kann schriftliche Berichte und die Absatz 4, § 7 Absatz 1 Satz 3 und 4,Vorlage von Akten verlangen. 3. die Mindestanforderungen an die Kontrollen und die im (3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der Rahmen der Kontrollen vorgesehenen Vorkehrungen,Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe- 4. die Gestaltung des Datenschutzauditsiegels,hörde kann rechtswidrige Beschlüsse des Datenschutzaudit-ausschusses beanstanden und nach vorheriger Beanstandung 5. die Anzeige nach § 9 Absatz 1 Satz 1.
  10. 10. Drucksache 16/12011 – 12 – Deutscher Bundestag – 16. Wahlperiode § 17 Artikel 2 Bußgeldvorschriften Änderung des Bundesdatenschutzgesetzes (1) Ordnungswidrig handelt, wer Das Bundesdatenschutzgesetz in der Fassung der Be-1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt tig, nicht vollständig oder nicht rechtzeitig übermittelt geändert durch das Gesetz vom …, wird wie folgt geändert: oder einen dort genannten Bericht nicht, nicht richtig 1. Die Inhaltsübersicht wird wie folgt geändert: oder nicht rechtzeitig vorlegt, a) Nach der Angabe zu § 9 wird die Angabe „§ 9a2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- Datenschutzaudit“ gestrichen. ständige Behörde, eine nichtöffentliche Stelle oder den b) Die Angabe zu § 28 wie folgt gefasst: Bundesbeauftragten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke“.3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, c) Nach der Angabe zu § 42 wird folgende Angabe ein- gefügt:4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, „§ 42a Informationspflicht bei unrechtmäßiger Kennt- nicht vollständig oder nicht rechtzeitig erteilt, niserlangung von Daten“.5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder d) Nach der Angabe zu § 46 wird folgende Angabe ein- gefügt:6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, „§ 47 Übergangsregelung“. eine Anzeige nicht, nicht richtig, nicht vollständig oder 2. Dem § 4f Absatz 3 werden folgende Sätze angefügt: nicht rechtzeitig erstattet. „Ist nach Absatz 1 ein Beauftragter für den Datenschutz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- zu bestellen, so ist die Kündigung des Arbeitsverhältnis-sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 ses unzulässig, es sei denn, dass Tatsachen vorliegen,zuwiderhandelt. welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (3) Die Ordnungswidrigkeit kann in den Fällen des berechtigen. Nach der Abberufung als Beauftragter fürAbsatzes 2 mit einer Geldbuße bis zu dreihunderttausend den Datenschutz ist die Kündigung innerhalb eines Jah-Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- res nach der Beendigung der Bestellung unzulässig, es seizigtausend Euro geahndet werden. Die Geldbuße soll den denn, dass die verantwortliche Stelle zur Kündigung auswirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- wichtigem Grund ohne Einhaltung einer Kündigungsfristrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- berechtigt ist. Zur Erhaltung der zur Erfüllung seinernannten Beträge hierfür nicht aus, können sie überschritten Aufgaben erforderlichen Fachkunde hat die verantwort-werden. liche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen § 18 zu ermöglichen und deren Kosten zu übernehmen.“ Strafvorschriften 3. § 9a wird aufgehoben. Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3lung in der Absicht begeht, sich oder einen anderen zu berei- Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2chern oder einen anderen zu schädigen, wird mit Freiheits- Buchstabe a“ ersetzt.strafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 5. § 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst: § 19 Einziehung „§ 28 Datenerhebung und -speicherung für eigene Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder Geschäftszwecke“.Absatz 2 oder eine Straftat nach § 18 begangen worden, kön-nen Gegenstände, auf die sich die Straftat oder die Ord- b) In Absatz 1 Satz 1 Nummer 1 werden die Wörternungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- „Vertragsverhältnisses oder vertragsähnlichen Ver-gehung oder Vorbereitung gebraucht worden oder bestimmt trauensverhältnisses“ durch die Wörter „rechtsge-gewesen sind, eingezogen werden. § 23 des Gesetzes über schäftlichen oder rechtsgeschäftsähnlichen Schuld-Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind verhältnisses“ ersetzt.anzuwenden. c) Absatz 2 wird wie folgt gefasst: „(2) Die Übermittlung oder Nutzung für einen an- § 20 deren Zweck ist zulässig Übergangsvorschrift 1. unter den Voraussetzungen des Absatzes 1 Satz 1 § 1 ist erst ab dem 1. Juli 2010 anzuwenden. Nummer 2 oder Nummer 3,
  11. 11. Deutscher Bundestag – 16. Wahlperiode – 13 – Drucksache 16/12011 2. soweit es erforderlich ist oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen a) zur Wahrung berechtigter Interessen eines Drit- nicht entgegenstehen. Nach den Sätzen 1 bis 3 über- ten oder mittelte Daten dürfen nur für den Zweck verarbeitet b) zur Abwehr von Gefahren für die staatliche oder genutzt werden, für den sie übermittelt worden oder öffentliche Sicherheit oder zur Verfolgung sind.“ von Straftaten e) Nach Absatz 3 werden folgende Absätze 3a und 3b und kein Grund zu der Annahme besteht, dass der eingefügt: Betroffene ein schutzwürdiges Interesse an dem „(3a) Wird die Einwilligung nach § 4a Absatz 1 Ausschluss der Übermittlung oder Nutzung hat, Satz 3 in anderer Form als der Schriftform erteilt, hat oder die verantwortliche Stelle dem Betroffenen den Inhalt 3. wenn es im Interesse einer Forschungseinrichtung der Einwilligung schriftlich zu bestätigen, es sei denn, zur Durchführung wissenschaftlicher Forschung dass die Einwilligung elektronisch erklärt wird und erforderlich ist, das wissenschaftliche Interesse an die verantwortliche Stelle sicherstellt, dass die Ein- der Durchführung des Forschungsvorhabens das willigung protokolliert wird und der Betroffene deren Interesse des Betroffenen an dem Ausschluss der Inhalt jederzeit abrufen und die Einwilligung jederzeit Zweckänderung erheblich überwiegt und der mit Wirkung für die Zukunft widerrufen kann. Eine Zweck der Forschung auf andere Weise nicht oder zusammen mit anderen Erklärungen erteilte Einwilli- nur mit unverhältnismäßigem Aufwand erreicht gung ist nur wirksam, wenn der Betroffene durch An- werden kann.“ kreuzen, durch eine gesonderte Unterschrift oder durch ein anderes, ausschließlich auf die Einwilligung d) Absatz 3 wird wie folgt gefasst: in die Verarbeitung oder Nutzung der Daten für „(3) Die Verarbeitung oder Nutzung personenbezo- Zwecke des Adresshandels, der Werbung oder der gener Daten für Zwecke des Adresshandels, der Wer- Markt- oder Meinungsforschung bezogenes Tun bung oder der Markt- oder Meinungsforschung ist zu- zweifelsfrei zum Ausdruck bringt, dass er die Einwil- lässig, soweit der Betroffene nach Maßgabe des ligung bewusst erteilt. Absatzes 3a eingewilligt hat. Darüber hinaus ist die (3b) Die verantwortliche Stelle darf den Abschluss Verarbeitung oder Nutzung personenbezogener Daten eines Vertrags nicht von einer Einwilligung des Be- zulässig, soweit es sich um listenmäßig oder sonst zu- troffenen nach Absatz 3 Satz 1 abhängig machen, sammengefasste Daten über Angehörige einer Perso- wenn dem Betroffenen ein anderer Zugang zu gleich- nengruppe handelt, die sich auf die Zugehörigkeit des wertigen vertraglichen Leistungen ohne die Einwilli- Betroffenen zu dieser Personengruppe, seine Berufs-, gung nicht oder nicht in zumutbarer Weise möglich Branchen- oder Geschäftsbezeichnung, seinen Na- ist.“ men, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung f) Absatz 4 wird wie folgt geändert: oder Nutzung aa) In Satz 1 werden das Wort „Nutzung“ jeweils 1. für Zwecke der Werbung für eigene Angebote oder durch das Wort „Verarbeitung“ und das Wort der eigenen Markt- oder Meinungsforschung der „Übermittlung“ jeweils durch das Wort „Nut- verantwortlichen Stelle erforderlich ist, die diese zung“ ersetzt. Daten mit Ausnahme der Angabe zur Gruppenzu- bb) In Satz 2 werden nach dem Wort „Ansprache“ die gehörigkeit beim Betroffenen nach § 28 Absatz 1 Wörter „und in den Fällen des Absatzes 1 Satz 1 Satz 1 Nummer 1 erhoben hat, Nummer 1 auch bei Begründung des rechts- 2. für Zwecke der Werbung oder der Markt- oder geschäftlichen oder rechtsgeschäftsähnlichen Meinungsforschung gegenüber freiberuflich oder Schuldverhältnisses“ eingefügt. gewerblich Tätigen unter deren Geschäftsadresse cc) Satz 3 wird wie folgt geändert: erforderlich ist oder aaa) Nach dem Wort „Daten“ werden die Wörter 3. für Zwecke der Spendenwerbung einer verant- „im Rahmen der Zwecke“ eingefügt. wortlichen Stelle erforderlich ist, wenn Spenden an diese gemäß § 10b Absatz 1 und § 34g des Ein- bbb) Das Wort „werden“ wird durch die Wörter kommensteuergesetzes steuerbegünstigt sind. „worden sind“ ersetzt. Für Zwecke nach Satz 2 Nummer 1 darf die ver- dd) Folgender Satz wird angefügt: antwortliche Stelle zu den dort genannten Daten wei- „In den Fällen des Absatzes 1 Satz 1 Nummer 1 tere Daten hinzuspeichern. Die Nutzung personenbe- darf für den Widerspruch keine strengere Form zogener Daten für Zwecke der Werbung oder der verlangt werden als für die Begründung des Markt- oder Meinungsforschung ist zudem zulässig, rechtsgeschäftlichen oder rechtsgeschäftsähn- soweit sie zusammen mit Werbung oder Markt- oder lichen Schuldverhältnisses.“ Meinungsforschung nach Satz 2 Nummer 1 oder mit der Durchführung eines rechtsgeschäftlichen oder g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“ rechtsgeschäftsähnlichen Schuldverhältnisses nach durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“ Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung ersetzt.
  12. 12. Drucksache 16/12011 – 14 – Deutscher Bundestag – 16. Wahlperiode6. § 29 wird wie folgt geändert: ten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbe- a) Absatz 1 wird wie folgt geändert: sondere auf Grund der Vielzahl der betroffenen Fälle, tritt aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort an ihre Stelle die Information der Öffentlichkeit durch „und“ durch das Wort „oder“ ersetzt. Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitun- bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ gen. Eine Benachrichtigung, die der Benachrichtigungs- durch die Wörter „§ 28 Absatz 1 Satz 1 und pflichtige erteilt hat, darf in einem Strafverfahren oder in Absatz 3 bis 3b“ ersetzt. einem Verfahren nach dem Gesetz über Ordnungswidrig- b) Absatz 2 wird wie folgt geändert: keiten gegen ihn oder einen in § 52 Absatz 1 der Straf- prozessordnung bezeichneten Angehörigen des Benach- aa) Satz 1 Nummer 1 wird wie folgt gefasst: richtigungspflichtigen nur mit Zustimmung des Benach- „1. der Dritte, dem die Daten übermittelt wer- richtigungspflichtigen verwendet werden.“ den, ein berechtigtes Interesse an ihrer 9. § 43 wird wie folgt geändert: Kenntnis glaubhaft dargelegt hat und“. a) Absatz 1 wird wie folgt geändert: bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“ durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. aa) Nach Nummer 2 werden folgende Nummern 2a und 2b eingefügt: cc) In Satz 3 wird nach der Angabe „Nummer 1“ die Angabe „Buchstabe a“ gestrichen. „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge- währleistet, dass die Datenübermittlung7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden festgestellt und überprüft werden kann, die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf- trag nicht, nicht richtig, nicht vollständig8. Nach § 42 wird folgender § 42a eingefügt: oder nicht in der vorgeschriebenen Weise „§ 42a erteilt,“. Informationspflicht bei unrechtmäßiger bb) Nach Nummer 3 wird folgende Nummer 3a ein- Kenntniserlangung von Daten gefügt: Stellt eine nichtöffentliche Stelle im Sinne des § 2 „3a. entgegen § 28 Absatz 4 Satz 4 eine stren- Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 gere Form verlangt,“. Satz 1 Nummer 2 fest, dass bei ihr gespeicherte b) Absatz 2 wird wie folgt geändert: 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), aa) In Nummer 5 werden die Wörter „, indem er sie 2. personenbezogene Daten, die einem Berufsgeheimnis an Dritte weitergibt“ und am Ende das Wort unterliegen, „oder“ gestrichen. 3. personenbezogene Daten, die sich auf strafbare Hand- bb) Folgende Nummer 5a wird angefügt: lungen oder Ordnungswidrigkeiten oder den Verdacht „5a. entgegen § 28 Absatz 4 Satz 1 Daten für strafbarer Handlungen oder Ordnungswidrigkeiten Zwecke der Werbung oder der Markt- oder beziehen, oder Meinungsforschung verarbeitet oder nutzt,“. 4. personenbezogene Daten zu Bank- oder Kreditkarten- cc) In Nummer 6 wird der Punkt am Ende durch das konten Wort „oder“ ersetzt. unrechtmäßig übermittelt oder auf sonstige Weise Dritten dd) Folgende Nummer 7 wird angefügt: unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder „7. entgegen § 42a Satz 1 eine Mitteilung nicht, schutzwürdigen Interessen der Betroffenen, hat sie dies nicht richtig, nicht vollständig oder nicht nach den Sätzen 2 bis 5 unverzüglich der zuständigen rechtzeitig macht.“ Aufsichtsbehörde sowie den Betroffenen mitzuteilen. c) Absatz 3 wird wie folgt geändert: Die Benachrichtigung des Betroffenen muss unver- züglich erfolgen, sobald angemessene Maßnahmen zur aa) Das Wort „fünfundzwanzigtausend“ wird durch Sicherung der Daten ergriffen worden oder nicht unver- das Wort „fünfzigtausend“ und das Wort „zwei- züglich erfolgt sind und die Strafverfolgung nicht mehr hundertfünfzigtausend“ wird durch das Wort gefährdet wird. Die Benachrichtigung der Betroffenen „dreihunderttausend“ ersetzt. muss eine Darlegung der Art der unrechtmäßigen Kennt- bb) Nach Satz 1 werden folgende Sätze eingefügt: niserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die „Die Geldbuße soll den wirtschaftlichen Vorteil, Benachrichtigung der zuständigen Aufsichtsbehörde den der Täter aus der Ordnungswidrigkeit gezo- muss zusätzlich eine Darlegung möglicher nachteiliger gen hat, übersteigen. Reichen die in Satz 1 ge- Folgen der unrechtmäßigen Kenntniserlangung und der nannten Beträge hierfür nicht aus, so können sie von der Stelle daraufhin ergriffenen Maßnahmen enthal- überschritten werden.“
  13. 13. Deutscher Bundestag – 16. Wahlperiode – 15 – Drucksache 16/1201110. Nach § 46 wird folgender § 47 eingefügt: 4. § 16 Absatz 2 wird wie folgt geändert: „§47 a) Nummer 2 wird aufgehoben. Übergangsregelung b) Die bisherigen Nummern 3 bis 6 werden die Num- Für die Verarbeitung und Nutzung vor dem 1. Juli mern 2 bis 5. 2009 erhobener Daten ist § 28 in der bis dahin gelten- den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“ Artikel 4 Artikel 3 Änderung des Telekommunikationsgesetzes Änderung des Telemediengesetzes* Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt Das Telemediengesetz vom 26. Februar 2007 (BGBl. I geändert:S. 179) wird wie folgt geändert: 1. Dem § 93 wird folgender Absatz 3 angefügt:1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15 Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter „(3) Stellt der Diensteanbieter fest, dass bei ihm ge- „§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. speicherte Bestandsdaten oder Verkehrsdaten unrechtmä- ßig übermittelt worden oder auf sonstige Weise Dritten2. § 12 wird wie folgt geändert: zur Kenntnis gelangt sind, und drohen schwerwiegende a) Absatz 3 wird aufgehoben. Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bun- b) Der bisherige Absatz 4 wird Absatz 3. desdatenschutzgesetzes entsprechend.“3. Nach § 15 wird folgender § 15a eingefügt: 2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni- „§ 15a kationsdiensten“ die Wörter „ohne die Einwilligung“ ein- Informationspflicht bei unrechtmäßiger gefügt. Kenntniserlangung von Daten Stellt der Diensteanbieter fest, dass bei ihm gespei- cherte Bestands- oder Nutzungsdaten unrechtmäßig Artikel 5 übermittelt worden oder auf sonstige Weise Dritten zur Bekanntmachungserlaubnis Kenntnis gelangt sind, und drohen schwerwiegende Be- einträchtigungen für die Rechte oder schutzwürdigen In- Das Bundesministerium des Innern kann den Wortlaut des teressen des betroffenen Nutzers, gilt § 42a des Bundes- Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel- datenschutzgesetzes entsprechend.“ tenden Fassung im Bundesgesetzblatt bekannt machen.* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Artikel 6 Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Inkrafttreten und der Vorschriften für die Dienste der Informationsgesellschaft (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie Tag nach der Verkündung in Kraft. 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, S. 82) geändert worden ist, sind beachtet worden. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
  14. 14. Drucksache 16/12011 – 16 – Deutscher Bundestag – 16. WahlperiodeBegründung A. Allgemeiner Teil gekennzeichnete Datenschutzkonzepte oder informations- technische Einrichtungen an dem DatenschutzauditsiegelI. Ziel und Inhalt des Entwurfs erkennen und bei der Entscheidung zwischen mehreren An-In der jüngeren Vergangenheit sind zunehmend Fälle des un- bietern berücksichtigen. Anstrengungen, die über die gesetz-berechtigten Handels mit personenbezogenen Daten bekannt lichen Anforderungen in Bezug auf den Datenschutz hinaus-geworden. Die Herkunft der Daten ist größtenteils nicht gehen, können für Unternehmen einen wirtschaftlichennachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 Mehrwert darstellen. Zugleich wird bei den VerbrauchernAbsatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes Bewusstsein für die Datenschutzrelevanz eines Produkteshat sich dabei für die Herstellung der notwendigen Transpa- oder einer Dienstleistung geschaffen und gefördert.renz als besonders nachteilig erwiesen. Danach dürfen be-stimmte personenbezogene Daten, wenn sie listenmäßig II. Gesetzgebungskompetenzoder sonst zusammengefasst sind, für Zwecke der Werbungoder der Markt- oder Meinungsforschung, ohne Einwilli- Die Gesetzgebungskompetenz des Bundes folgt für Rege-gung der Betroffenen übermittelt oder genutzt werden. Die lungen des Datenschutzes als Annex aus der Kompetenz fürpraktische Anwendung dieser Vorschrift hat dazu geführt, die geregelte Sachmaterie.dass personenbezogene Daten der Bürgerinnen und Bürgerweitläufig zum Erwerb oder zur Nutzung angeboten werden, Einem Datenschutzaudit nach Artikel 1 können sich privateohne in jedem Fall die in der Vorschrift angelegten Anforde- Unternehmen und diesen gleichgestellte öffentlich-recht-rungen zu beachten. Personenbezogene Daten werden ohne liche Wettbewerbsunternehmen unterziehen. BetroffeneBeachtung der Zweckbindung verarbeitet und mit weiteren Sachmaterie ist daher ganz überwiegend das Recht der Wirt-Daten verknüpft und weiter übermittelt. Zudem hat sich das schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes).Verhältnis der Bürgerinnen und Bürger zur Werbung und Die Berechtigung des Bundes zur Inanspruchnahme der Ge-Markt- oder Meinungsforschung seit der Einführung der setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- Grundgesetz. Eine bundesgesetzliche Regelung über eindelt. Die gezielte Ansprache zum Zwecke der Werbung oder Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit imMarkt- oder Meinungsforschung wird von den Bürgerinnen Bundesgebiet im gesamtstaatlichen Interesse erforderlich.und Bürgern zunehmend als Belastung empfunden und ist Eine unterschiedliche Regelung dieser Materie durch denmit dem Wunsch nach mehr Selbstbestimmung verbunden. Landesgesetzgeber oder sein Untätigbleiben würde zu er-Zudem haben die öffentlich bekannt gewordenen Vorkomm- heblichen Nachteilen für die Gesamtwirtschaft führen, dienisse deutlich gemacht, dass für eine effektivere Durchset- sowohl im Interesse des Bundes als auch der Länder nichtzung der bestehenden gesetzlichen Regelungen zum Daten- hingenommen werden können. Insbesondere wäre zu be-schutz die Stellung der betrieblichen Beauftragten für den fürchten, dass unterschiedliche landesrechtliche Behandlun-Datenschutz gestärkt werden muss und die Bußgeldtatbe- gen gleicher Lebenssachverhalte erhebliche Wettbewerbs-stände erweitert werden müssen, um zu einem wirksamen verzerrungen und störende Schranken für die länderüber-Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäreschlagenen Änderungen resultieren in weiten Bereichen aus etwa der Fall, wenn Datenschutzauditsiegel in den Ländernden Erfahrungen der Länder im Bereich der Aufsichtspraxis. anhand unterschiedlicher Verfahren vergeben würden. DieDie Regelungen zur Neugestaltung des § 28 Absatz 3 des landesrechtlich unterschiedliche Ausgestaltung des Kon-Bundesdatenschutzgesetzes finden unabhängig von der Un- trollverfahrens und des Verfahrens für die Zulassung derternehmensgröße Anwendung, jedoch zielen insbesondere Kontrollstellen würde abweichende Maßstäbe bei der Prü-die vorgeschlagenen gesetzlichen Erlaubnistatbestände in fung und Bewertung nach sich ziehen. Unternehmen, die§ 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- länderübergreifend oder bundesweit agieren, müssten sichtung spezialisierter kleinerer und mittlerer Unternehmen. für gleich bleibende Auditgegenstände unterschiedlichen Verfahren und Kontrollen durch wechselnde Personen unter-Das Datenschutzauditgesetz bietet Unternehmen die Mög- ziehen mit der Gefahr abweichender Ergebnisse. In einemlichkeit, sich auf freiwilliger Basis einem Datenschutzaudit Land auditierte und mit einem Datenschutzauditsiegel ge-zu unterziehen und hierfür in ein Kontrollsystem einbezie- kennzeichnete Datenschutzkonzepte oder informationstech-hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine nische Einrichtungen unterlägen in den einzelnen Länderninformationstechnische Einrichtung von einem Datenschutz- unterschiedlichen Bedingungen. Dies würde die Verwend-auditausschuss beim Bundesbeauftragten für den Daten- barkeit für die betroffenen Unternehmen nachhaltig beein-schutz und die Informationsfreiheit festgelegte Richtlinien trächtigen. Unterschiedliche Landesregelungen zum Daten-zur Verbesserung des Datenschutzes und der Datensicherheit schutzauditverfahren würden zu einer gesamtstaatlich be-und lassen die Unternehmen dies in einem formalisierten denklichen Verlagerung der wirtschaftlichen Aktivitäten inVerfahren durch Kontrollstellen regelmäßig überprüfen, weniger kontrollintensive Länder führen. Unterläge ein Da-können sie das Datenschutzkonzept oder die informa- tenschutzkonzept oder eine informationstechnische Einrich-tionstechnische Einrichtung mit einem Datenschutzauditsie- tung in Ländern verschärften Kontrollmaßnahmen, käme esgel kennzeichnen. Auf diese Weise können Unternehmen unter Umständen dort nicht zum Einsatz. Dies hätte aucheinen Vorteil gegenüber Wettbewerbern erzielen, die sich Folgen für Verbraucherinnen und Verbraucher, die in solchenkeinem Datenschutzaudit unterziehen. Verbraucher können Ländern auf auditierte Verfahren und Produkte nicht zurück-
  15. 15. Deutscher Bundestag – 16. Wahlperiode – 17 – Drucksache 16/12011greifen könnten. Auch unterschiedliche Landesregelungen sind, kündigen können oder bei einer unbefugten Kenntnis-in Bezug auf den Kreis der in die Kontrollen einbezogenen erlangung sensibler Daten durch Dritte die Aufsichtsbehör-Auditgegenstände bergen Gefahren für die Sicherheit und den und die Betroffenen nicht benachrichtigen müssen. An-Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- deren Unternehmen in anderen Ländern bliebe diesedesrechtlich unterschiedliches Kontrollniveau wäre den Ver- Möglichkeit verwehrt bzw. sie wären zur Benachrichtigungbraucherinnen und Verbrauchern auch nicht zu vermitteln. verpflichtet, obwohl es sich um die gleichen personenbezo-Das Vertrauen der Verbraucher in Datenschutzauditsiegel genen Daten handelt, die gleichen betrieblichen Voraus-wäre insgesamt erschüttert. Auch für die Festlegung der von setzungen bestehen oder dieselbe unbefugte Kenntniserlan-den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- gung sensibler Daten durch Dritte erfolgt ist. Es entstündendepflichten ist eine bundesgesetzliche Regelung im gesamt- für letztere gravierende wettbewerbsverzerrende Änderun-staatlichen Interesse notwendig. Im Falle landesrechtlich un- gen, denen die erstgenannten Unternehmen nicht ausgesetztterschiedlich geregelter Pflichten der Kontrollstellen bestün- wären. Zudem können die bestehenden Regelungen desde die Gefahr, dass die für die Aufklärung von Verstößen Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge-wichtigen gegenseitigen Unterrichtungen, die gerade auch ändert werden.ein schnelles Tätigwerden der zuständigen Behörden ermög-lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht derliche Regelung kann sichergestellt werden, dass für den Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge-Wirtschaftsstandort Deutschland einheitliche rechtliche setzes). Es besteht die Erforderlichkeit einer bundesgesetz-Rahmenbedingungen im Hinblick auf die Verwendung des lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz.Datenschutzauditsiegels gegeben sind. Sinn des Daten- Eine bundeseinheitliche Regelung der Informationspflichtschutzauditsiegels ist es gerade, durch seine einheitliche bei unbefugter Kenntniserlangung sensibler Daten und desAusgestaltung die Verbraucherinnen und Verbraucher über Kopplungsverbots im Telemedien- und Telekommunika-die zur Verbesserung des Datenschutzes beitragende Gestal- tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun-tung zu informieren und hinsichtlich dieser Gestaltung für desgebiet im gesamtstaatlichen Interesse erforderlich. Diedas gesamte Bundesgebiet einheitliche Standards zu setzen. bestehenden Regelungen des Telemedien- und Telekommu-Eine bundesgesetzliche Regelung ist ferner erforderlich, um nikationsgesetzes können nur durch ein Bundesgesetz geän-einheitliche rechtliche Rahmenbedingungen im Hinblick auf dert werden. Eine ausbleibende Regelung würde zu erheb-den Schutz der Verbraucherinnen und Verbraucher durch lichen Nachteilen für die Gesamtwirtschaft führen, die imSanktionen bei Verstößen zu gewährleisten. Interesse des Bundes nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass die unterschiedlicheBetroffene Sachmaterien des Artikels 2 sind vorwiegend das Behandlung gleicher Lebenssachverhalte zu erheblichenBürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des Wettbewerbsverzerrungen führt. Unternehmen, die demGrundgesetzes), das Recht der Wirtschaft (Artikel 74 Telemedien- oder Telekommunikationsgesetz unterliegen,Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- müssten bei einer unbefugten Kenntniserlangung sensiblerrecht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). Daten durch Dritte die Aufsichtsbehörden und die Betroffe-Soweit die konkurrierende Gesetzgebungskompetenz des nen nicht benachrichtigen und unterlägen einem gegenüberBundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund- der Regelung im Bundesdatenschutzgesetz eingeschränktemgesetzes in Anspruch genommen wird, besteht die Erforder- Kopplungsverbot. Andere Unternehmen blieben zur Be-lichkeit einer bundesgesetzlichen Regelung gemäß Arti- nachrichtigung verpflichtet, obwohl es sich um vergleichbarkel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche sensible personenbezogene Daten handelt, und dürften in ge-Regelung der gesetzlichen Erlaubnistatbestände für die Ver- ringerem Umfang Kopplungen vornehmen. Es entstündenarbeitung und Nutzung personenbezogener Daten zum Zwe- für diese dadurch gravierende wettbewerbsverzerrende Än-cke des Adresshandels und der Werbung, Markt- oder derungen, denen die Unternehmen, die dem Telemedien-Meinungsforschung, des Kündigungsschutzes der Beauf- oder Telekommunikationsgesetz unterliegen, nicht ausge-tragten für den Datenschutz und einer Informationspflicht setzt wären.von Unternehmen bei einer unbefugten Kenntniserlangungsensibler Daten durch Dritte ist zur Wahrung der Wirt-schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- III. Vereinbarkeit mit dem Recht der Europäischenresse erforderlich. Eine unterschiedliche oder ausbleibende UnionRegelung dieser Materien durch den Landesgesetzgeberwürde zu erheblichen Nachteilen für die Gesamtwirtschaft Der Gesetzentwurf ist mit dem Recht der Europäischenführen, die sowohl im Interesse des Bundes als auch der Län- Union vereinbar. Er steht insbesondere nicht im Widerspruchder nicht hingenommen werden kann. Insbesondere wäre zu zu den Regelungen der Richtlinie 95/46/EG (EG-Daten-befürchten, dass unterschiedliche landesrechtliche Behand- schutzrichtlinie).lungen gleicher Lebenssachverhalte erhebliche Wettbe-werbsverzerrungen und störende Schranken für die länder- Bei einem Datenschutzaudit nach dem Gesetzentwurf wer-übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei den Datenschutzkonzepte oder informationstechnische Ein-unterschiedlichen Regelungen durch die Länder bestünde richtungen anhand von Richtlinien zur Verbesserung desdie Gefahr, dass einige Unternehmen weiterhin personenbe- Datenschutzes und der Datensicherheit überprüft, die überzogene Daten ohne Einwilligung der Betroffenen zum Zwe- die Vorschriften hinausgehen, die die Vorgaben der EG-cke der Werbung, Markt- oder Meinungsforschung für Dritte Datenschutzrichtlinie enthält. Der Gesetzentwurf fördertverarbeiten und nutzen können, einen Beauftragten für den daher mittelbar die tatsächliche Durchsetzung dieser Rege-Datenschutz aus Gründen, die nicht auf sein Amt bezogen lungen.
  16. 16. Drucksache 16/12011 – 18 – Deutscher Bundestag – 16. WahlperiodeDie Stärkung der Unabhängigkeit des Beauftragten für den bei unrechtmäßiger Kenntniserlangung bestimmter DatenDatenschutz durch einen erweiterten Kündigungsschutz und durch Dritte die Aufsichtsbehörden und die Betroffenendie Ermöglichung der Fortbildung fördern die Vorgabe in bzw. ersatzweise die Öffentlichkeit zu benachrichtigen.Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danachsehen die Mitgliedstaaten eine „unabhängige Überwachung“ Kosten für die Wirtschaft können nach Maßgabe von ggf.der Anwendung der zur Umsetzung der Richtlinie erlassenen von den Ländern und dem Bund zu erlassenden Kostenord-einzelstaatlichen Bestimmungen durch den Beauftragten für nungen entstehen, durch die die Kosten für die einzelnenden Datenschutz vor. Die Stärkung der Einwilligung und die Auditverfahren auf die Antragsteller abgewälzt werden kön-Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung nen. Des Weiteren wird die Durchführung des Audits (Sam-und Nutzung personenbezogener Daten zu nicht ausschließ- meln und Zurverfügungstellen von Informationen, ggf. erfor-lich eigenen Zwecken der Werbung, Markt- oder Meinungs- derliche Nachbesserungen am Gegenstand des Audits)forschung steht im Einklang mit den Regelungen der Richt- Kosten bei den kontrollierten Stellen verursachen. Die Höhelinie und wird insbesondere den aus Artikel 2 Buchstabe h, dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nichtArtikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der näher beziffern, da die konkrete Ausgestaltung des Verfah-Richtlinie abzuleitenden Zielen gerecht. rens einer noch zu erlassenden Rechtsverordnung vorbehal- ten ist und die Richtlinien zur Verbesserung des Datenschut- zes und der Datensicherheit als Maßstab der Prüfung vonIV. Finanzielle Auswirkungen auf die öffentlichen einem noch zu errichtenden Datenschutzauditausschuss zu Haushalte beschließen sind. Kosten entstehen bei den Stellen, die sich beim Bundesbeauftragten für den Datenschutz und die Infor-Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- mationsfreiheit als Kontrollstellen zulassen und im Rahmenzugsaufwand. des Kontrollsystems gegen angemessene Vergütung Kon-In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- trollen durchführen und dabei von den zuständigen Behör-ständigen Behörden der Länder Vollzugsaufwand. Sie haben den der Länder überwacht werden.die zugelassenen Kontrollstellen, die das Kontrollverfahren Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zudurchführen, zu überwachen und Verstöße dem Bundes- erwarten.beauftragten für den Datenschutz und die Informationsfrei-heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus-ihnen vorbehalten. Die Kosten für die einzelnen Amtshand- wirkungen auf Einzelpreise und das allgemeine Preisniveau,lungen der zuständigen Behörden können vom Bund und den insbesondere auf das Verbraucherpreisniveau, sind nicht zuLändern durch Kostenordnungen auf die Antragsteller abge- erwarten.wälzt werden.Vollzugsaufwand entsteht durch die Bildung eines Daten- VI. Auswirkungenschutzauditausschusses mit Vertretern aus Bund, Ländernund der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 1. Bürokratiebelastungen für die Wirtschafttragten für den Datenschutz und die Informationsfreiheit. Für die Wirtschaft werden 15 Informationspflichten neu ein-Die Tätigkeit der Vertreter erfolgt ehrenamtlich. geführt und eine Informationspflicht geändert.Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- Geändert wird die Informationspflicht in § 28 Absatz 3 desten für den Datenschutz und die Informationsfreiheit in Bundesdatenschutzgesetzes. Hier wird partiell die gesetz-einem Teilbereich durch die Überwachung der Kontrollstel- liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28len; ferner durch die Zulassung und die Entziehung der Zu- Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestelltlassung gegenüber den Kontrollstellen und die Führung auf eine Einwilligung. Damit entfällt in diesen Fällen dieeines Registers der angezeigten Datenschutzkonzepte und Hinweispflicht bei der Verwendung der Daten zu Gunsten ei-informationstechnischen Einrichtungen sowie der zugelasse- ner Einwilligung von ihrer Weitergabe. Durch diese Ände-nen Kontrollstellen. rung entstehen Bürokratiekosten von 9,65 Mio. Euro. DerFür den Vollzugsaufwand beim Bundesbeauftragten für den Betrag errechnet sich bei einer Fallzahl von 30 MillionenDatenschutz und die Informationsfreiheit können in Abhän- Kundenbeziehungen, in denen der Vertragspartner diesegigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Einwilligung anstrebt (insbesondere Verträge im Versand-Stellen sowie jährlich Haushaltsmittel in Höhe von rd. handel – 13,5 Millionen, Telekommunikation – 13,5 Millio-1,2 Mio. Euro für Personal- und Sachausgaben benötigt nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs-werden. Über die Ausbringung und Finanzierung dieser zeit von einer Minute pro Fall und einem Stundensatz vonPersonal- und Sachausgaben ist im Haushaltsaufstellungs- 19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl derverfahren 2010 zu entscheiden. Fälle bei einer elektronischen Abwicklung deutlich geringer sein. Die angenommene Minute beinhaltet daher auch Auf- wand zur Schulung von Mitarbeitern und zur UmstellungV. Kosten von Webseiten.Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Durch die übrigen neu eingeführten InformationspflichtenÜbergangsvorschrift künftig eine Einwilligung der Betroffe- entstehen insgesamt Bürokratiekosten von 493 761 Euro.nen einzuholen ist, um deren personenbezogene Daten fürZwecke der Werbung, Markt- oder Meinungsforschung zu Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda-verarbeiten und zu nutzen. Ferner können Kosten für die tenschutzgesetzes werden nichtöffentliche Stellen verpflich-Wirtschaft entstehen, soweit diese künftig verpflichtet sind, tet, Betroffene über die verantwortliche Stelle und das
  17. 17. Deutscher Bundestag – 16. Wahlperiode – 19 – Drucksache 16/12011Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 Sofern ein Unternehmen sich entscheidet, als KontrollstelleNummer 1 auch bei Begründung des rechtsgeschäftlichen Kontrollen durchzuführen, erfolgt dies gegen angemesseneoder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- Vergütung. Die durch die Benennung der Vertreter für denrichten. § 42a des Bundesdatenschutzgesetzes verpflichtet Datenschutzauditausschuss und das Erzielen eines Einver-nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- nehmens über deren Person verursachten Kosten fallen nichttroffenen unverzüglich zu benachrichtigen, wenn bestimmte ins Gewicht und werden durch die Mitwirkung an der Er-sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt arbeitung des Prüfmaßstabs des Datenschutzauditverfahrenssind und schwerwiegende Beeinträchtigungen für die Rechte aufgewogen.oder schutzwürdigen Interessen der Betroffenen drohen. So-weit die Benachrichtigung der Betroffenen einen unverhält- 2. Bürokratiebelastungen für die Bürgerinnen und Bürgernismäßigen Aufwand erfordern würde, insbesondere auf- Für die Bürgerinnen und Bürger wird keine Informations-grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle pflicht neu eingeführt, geändert oder abgeschafft.die Information an die Öffentlichkeit durch Anzeigen, diemindestens eine halbe Zeitungsseite umfassen, in mindes- 3. Bürokratiebelastungen für die Verwaltungtens zwei bundesweit erscheinenden Tageszeitungen. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflichten geändert oderDas Datenschutzauditgesetz enthält für die Wirtschaft fol- abgeschafft.gende neue Informationspflichten: Diese Informationspflichten sind im Einzelnen:Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4Absatz 1) und kann diese auf einzelne Länder beschränken § 7 Absatz 1 Satz 2 Auskunftserteilung der zuständigen(§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann Datenschutzaudit- Behörden untereinanderihr eine Ausnahme von der Einbeziehung von einem Daten- gesetzschutzkonzept oder einer informationstechnischen Einrich- § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigentung in ihre Kontrollen gewährt werden (§ 6 Absatz 1 Nummer 1 Daten- Behörde zur Anregung der Ent-Satz 2). Jährlich hat die Kontrollstelle den zuständigen schutzauditgesetz ziehung der Zulassung oder Ände-Behörden ein Verzeichnis der nichtöffentlichen Stellen, die rung von Auflagen an den Bundes-am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- beauftragten für den Datenschutzden und bis zum 31. März jedes Jahres einen Bericht über und die Informationsfreiheitihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständigeKontrollstellen erteilen einander die für eine ordnungsge- Nummer 2 Daten- Behörde des Landesmäße Durchführung dieses Gesetzes notwendigen Aus- schutzauditgesetzkünfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigenregelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- Datenschutzaudit- Behörde zur Anregung eines Verfah-züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). gesetz rens der Entziehung der ZulassungSoweit eine Kontrollstelle im Rahmen der von ihr durchge- oder Änderung von Auflagen an denführten Kontrollen Tatsachen feststellt, die einen hinrei- Bundesbeauftragten für den Daten-chenden Verdacht auf Verstöße der in Satz 2 genannten Art schutz und die Informationsfreiheitbegründen, der eine nicht von der Kontrollstelle kontrol- § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus-lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle Datenschutzaudit- kunftspflichtigendie Tatsachen unverzüglich der Kontrollstelle mit, deren gesetzKontrolle die betroffene nichtöffentliche Stelle untersteht § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für(§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von Datenschutzaudit- Datenschutzkonzepte durch denihr kontrollierten nichtöffentlichen Stellen, die zuständigen gesetz Bundesbeauftragten für den Daten-Behörden sowie den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheitschutz und die Informationsfreiheit, bevor sie ihre Tätigkeit § 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Interneteinstellt, oder im Falle eines Antrags auf Eröffnung des Datenschutzaudit- und im elektronischen Bundes-Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent- gesetz anzeigerlichen Stellen sowie die Kontrollstellen haben den zuständi-gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses derAbsatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- Datenschutzaudit- zugelassenen Kontrollstellenzuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- gesetzwendung des Datenschutzauditsiegels ist das Datenschutz- § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internetkonzept oder die informationstechnische Einrichtung dem Datenschutzaudit- und im elektronischen Bundes-Bundesbeauftragten für den Datenschutz und die Informa- gesetz anzeigertionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). § 11 Absatz 1 Veröffentlichungspflicht der maß- Satz 3 Daten- geblichen Richtlinien im Internet undDie Summe der zu erwartenden Belastungen für die Wirt- schutzauditgesetz im elektronischen Bundesanzeigerschaft beträgt insgesamt 10,14 Mio. Euro. § 15 Absatz 2 Berichtspflicht an die Aufsichts-Die für die Wirtschaft entstehenden Kosten sind hinnehm- Satz 3 Daten- behördebar, weil das Datenschutzaudit freiwillig ist und es die Un- schutzauditgesetzternehmen daher von einer Wirtschaftlichkeitsbetrachtung § 15 Absatz 3 Pflicht der Genehmigung durch dieabhängig machen können, ob sie sich einem Audit mit den Satz 1 Daten- Aufsichtsbehördedamit ggf. einhergehenden Bürokratiekosten unterziehen. schutzauditgesetz

×