1612011[1]
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

1612011[1]

on

  • 573 views

 

Statistics

Views

Total Views
573
Views on SlideShare
573
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

1612011[1] Document Transcript

  • 1. Deutscher Bundestag Drucksache 16/1201116. Wahlperiode 18. 02. 2009Gesetzentwurfder BundesregierungEntwurf eines Gesetzes zur Regelung des Datenschutzauditsund zur Änderung datenschutzrechtlicher VorschriftenA. Problem und ZielDen Aufwendungen von Unternehmen für einen über das gesetzlich vorge-schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquaterwirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere-geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin-det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu-gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 desBundesdatenschutzgesetzes erfüllt werden.In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han-dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Datenist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel-lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danachdürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu-sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs-forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden.Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe-zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohnein jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu-dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt-und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be-troffenen möchten über die Verwendung personenbezogener Daten für dieseZwecke selbst entscheiden können.B. LösungUnternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlichgeregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz-konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn-zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab-ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mitExperten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli-nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un-ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- undGeschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben.Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer-bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
  • 2. Drucksache 16/12011 –2– Deutscher Bundestag – 16. Wahlperiodebeschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei-nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit demBetroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu-erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Datenfür Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oderMeinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu-dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durchKopplung mit dem Vertragsschluss erzwingen dürfen.C. AlternativenKeineD. Finanzielle Auswirkungen auf die öffentlichen Haushalte1. Haushaltsausgaben ohne VollzugsaufwandKeine2. VollzugsaufwandDas Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereichbeim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit imRahmen der Durchführung des Gesetzes und der Überwachung der zugelasse-nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durchKostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll-zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In-formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie-hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellenund der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech-nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildungeines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und derWirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutzund die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl derKontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel inHöhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden.Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben istim Haushaltsaufstellungsverfahren 2010 zu entscheiden.E. Sonstige KostenKosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor-schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per-sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oderder Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön-nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, beiunrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf-sichtsbehörden und Betroffenen zu benachrichtigen.Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaftnach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten-ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren aufdie Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwilligist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän-gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolgeunterziehen.
  • 3. Deutscher Bundestag – 16. Wahlperiode –3– Drucksache 16/12011F. BürokratiekostenFür die Wirtschaft werden 15 Informationspflichten neu eingeführt und eineInformationspflicht geändert. Es wird keine Informationspflicht abgeschafft. DieSumme der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio.Euro.Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt,geändert oder abgeschafft.Für die Verwaltung werden zwölf Informationspflichten neu eingeführt undkeine Informationspflicht geändert oder abgeschafft.
  • 4. Deutscher Bundestag – 16. Wahlperiode –5– Drucksache 16/12011
  • 5. Deutscher Bundestag – 16. Wahlperiode –7– Drucksache 16/12011 Anlage 1Entwurf eines Gesetzes zur Regelung des Datenschutzauditsund zur Änderung datenschutzrechtlicher Vorschriften Vom … Der Bundestag hat das folgende Gesetz beschlossen: kontrollieren lassen, sofern sie nichtöffentliche Stellen im Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind. Sie dürfen ihr Datenschutzkonzept oder eine angebotene Artikel 1 informationstechnische Einrichtung mit einem Datenschutz- Datenschutzauditgesetz auditsiegel kennzeichnen, wenn (DSAG)* 1. bei der Datenverarbeitung, für die das Datenschutzkon- zept oder die informationstechnische Einrichtung vorge- Inhaltsübersicht sehen ist, die Vorschriften zum Schutz personenbezoge-§1 Datenschutzaudit ner Daten eingehalten werden,§2 Zuständigkeit 2. die für das Datenschutzkonzept oder die informati-§3 Kontrollen onstechnische Einrichtung geltenden Richtlinien zur Ver-§4 Zulassung der Kontrollstelle und Entziehung der besserung des Datenschutzes und der Datensicherheit Zulassung nach § 11 Absatz 1 erfüllt werden,§5 Anforderungen an das Personal der Kontrollstelle 3. als Anbieter mit Sitz im Inland die Vorschriften des Bun- desdatenschutzgesetzes über die organisatorische Stel-§6 Pflichten der Kontrollstelle lung des Beauftragten für den Datenschutz eingehalten§7 Pflichten der zuständigen Behörde werden und§8 Überwachung 4. dies nach § 3 kontrolliert wird.§9 Datenschutzauditsiegel, Verzeichnisse Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch§ 10 Gebühren und Auslagen die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten-§ 11 Datenschutzauditausschuss schutzgesetzes genannten Stellen.§ 12 Mitglieder des Datenschutzauditausschusses §2§ 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Zuständigkeit Datenschutzauditausschusses (1) Die Durchführung dieses Gesetzes und der auf Grund§ 14 Geschäftsstelle des Datenschutzauditausschusses dieses Gesetzes erlassenen Rechtsverordnungen obliegt den§ 15 Rechtsaufsicht nach Landesrecht zuständigen Behörden, soweit nachste-§ 16 Verordnungsermächtigungen hend nichts anderes bestimmt ist. Soweit für die geschäfts-§ 17 Bußgeldvorschriften mäßige Erbringung von Post- oder Telekommunikations- diensten Daten zu natürlichen oder juristischen Personen§ 18 Strafvorschriften erhoben, verarbeitet oder genutzt werden, ist zuständige Be-§ 19 Einziehung hörde der Bundesbeauftragte für den Datenschutz und die§ 20 Übergangsvorschrift Informationsfreiheit (Bundesbeauftragter). (2) Der Bundesbeauftragte ist zuständig für die Zulassung §1 der Kontrollstellen, die Entziehung der Zulassung und die Datenschutzaudit Vergabe der Kennnummern an die Kontrollstellen. Nach Maßgabe dieses Gesetzes können §31. verantwortliche Stellen ihr Datenschutzkonzept und Kontrollen2. Anbieter von Datenverarbeitungsanlagen und -program- Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1 men (informationstechnischen Einrichtungen) die ange- Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer- botenen informationstechnischen Einrichtungen den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas- senen Kontrollstellen durchgeführt, soweit die Aufgaben- wahrnehmung nicht mit der Durchführung eines Verwal-* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen tungsverfahrens verbunden ist. Der Beauftragte für den Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- und der Vorschriften für die Dienste der Informationsgesellschaft schutzgesetzes ist in die Durchführung der Kontrollen einzu- (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie beziehen. Art und Häufigkeit der Kontrollen richten sich 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, nach dem Risiko des Auftretens von Verstößen gegen dieses S. 81) geändert worden ist, sind beachtet worden. Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
  • 6. Drucksache 16/12011 –8– Deutscher Bundestag – 16. Wahlperiodeordnungen oder die für das Datenschutzkonzept oder die in- oder Insolvenzstraftaten mit einer Strafe oder wegenformationstechnische Einrichtung geltenden Richtlinien zur Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor-Verbesserung des Datenschutzes und der Datensicherheit schriften mit einer Geldbuße in Höhe von mehr als fünf-nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine hundert Euro belegt worden ist,Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so- 2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz,bald der ordnungsgemäße Geschäftsbetrieb der Kontroll- eine auf Grund dieses Gesetzes erlassene Rechtsverord-stelle es ermöglicht, erstmalig und sodann spätestens inner- nung oder Vorschriften über den Schutz personenbezoge-halb von zwölf Monaten nach dieser Kontrolle erneut kon- ner Daten verstoßen hat oder wiederholt oder grobtrolliert. Danach wird die nichtöffentliche Stelle spätestens pflichtwidrig als Beauftragter für den Datenschutz seinealle 18 Monate kontrolliert. Verpflichtungen verletzt hat, §4 3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur Zulassung der Kontrollstelle und Entziehung Bekleidung öffentlicher Ämter verloren hat, der Zulassung 4. sich nicht in geordneten wirtschaftlichen Verhältnissen (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn befindet, es sei denn, dass dadurch die Interessen der kon- trollierten nichtöffentlichen Stelle oder Dritter nicht ge-1. ihr Leitungspersonal und die für Kontrollen verantwort- fährdet sind, oder lichen Beschäftigten über die erforderliche Zuverlässig- keit, Unabhängigkeit und fachliche Eignung verfügen, 5. aus gesundheitlichen Gründen nicht nur vorübergehend unfähig ist, die Kontrollen nach Maßgabe der nach § 162. die Kontrollstelle akkreditiert ist, Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung3. die für die Zulassung erhobenen Gebühren entrichtet ordnungsgemäß durchzuführen. worden sind und (2) Über die erforderliche Unabhängigkeit verfügt, wer4. die Kontrollstelle ihren Sitz oder eine Niederlassung im bei der Übernahme, Vorbereitung und Durchführung der Bundesgebiet hat. Kontrollen keiner persönlichen, wirtschaftlichen oder beruf- lichen Einflussnahme unterliegt, die geeignet ist, ein objek-Mit der Zulassung ist der Kontrollstelle eine Kennnummer tives Urteil zu beeinträchtigen. Für die Unabhängigkeit undzuzuteilen. Freiheit von Interessenkonflikten bietet in der Regel keine (2) Die Zulassung wird für das gesamte Bundesgebiet er- Gewähr, werteilt. Auf Antrag kann die Zulassung auf einzelne Länder be- 1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oderschränkt werden. Angestellter einer nichtöffentlichen Stelle ist, auf die sich (3) Die Zulassung kann mit Befristungen, Bedingungen seine Kontrolltätigkeit bezieht,oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla- 2. als Leitungspersonal der Kontrollstelle eine Tätigkeit aufgen verbunden werden, soweit die Funktionsfähigkeit des Grund eines Beamtenverhältnisses, Soldatenverhältnis-Kontrollsystems oder Belange des Datenschutzes hinsicht- ses oder eines Anstellungsvertrages mit einer juristischenlich der Voraussetzungen nach Absatz 1 Nummer 1 oder Person des öffentlichen Rechts, eine Tätigkeit auf GrundNummer 2 dies erfordern. Unter denselben Voraussetzungen eines Richterverhältnisses, öffentlich-rechtlichen Dienst-ist die nachträgliche Aufnahme und die Änderung von Auf- verhältnisses als Wahlbeamter auf Zeit oder eines öffent-lagen zulässig. lich-rechtlichen Amtsverhältnisses ausübt, es sei denn, (4) Einer Kontrollstelle wird die Zulassung entzogen, dass die übertragenen Aufgaben ehrenamtlich wahrge-wenn die Kontrollstelle nommen werden,1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 3. Weisungen auf Grund vertraglicher oder sonstiger Bezie- Nummer 2 oder Nummer 4 nicht mehr genügt, hungen bei der Tätigkeit für die Kontrollstelle auch dann2. ihren Verpflichtungen nach diesem Gesetz, insbesondere zu befolgen hat, wenn sie zu Handlungen gegen seine nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund Überzeugung verpflichten, dieses Gesetzes erlassenen Rechtsverordnung in schwer- 4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso- wiegender Weise nicht nachkommt. nell mit Dritten verflochten ist, wenn nicht deren Ein- flussnahme auf die Wahrnehmung der Aufgaben für die §5 Kontrollstelle, insbesondere durch Satzung, Gesell- Anforderungen an das Personal der Kontrollstelle schaftsvertrag oder Anstellungsvertrag ausgeschlossen ist. (1) Über die erforderliche Zuverlässigkeit verfügt, werauf Grund seiner persönlichen Eigenschaften, seines Verhal- (3) Über die erforderliche fachliche Eignung verfügt, wertens und seiner Fähigkeiten die Gewähr für die ordnungsge- auf Grund seiner Ausbildung, beruflichen Bildung und prak-mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihmdie Zuverlässigkeit bietet in der Regel keine Gewähr, wer obliegenden Aufgaben befähigt ist. Im Bereich Recht sind nachzuweisen:1. ausweislich eines Führungszeugnisses für Behörden nach § 30 Absatz 5, § 31 des Bundeszentralregistergesetzes 1. der Abschluss eines Studiums der Rechtswissenschaft wegen Verletzung der Vorschriften des Strafrechts über oder eines Studiums auf einem anderen Gebiet mit den persönlichen Lebens- und Geheimbereich, über rechtswissenschaftlichen Inhalten, die den Umfang eines Eigentums- und Vermögensdelikte, Urkundenfälschung durchschnittlichen Nebenfachstudiums der Rechtswis-
  • 7. Deutscher Bundestag – 16. Wahlperiode –9– Drucksache 16/12011 senschaft nicht unterschreiten, an einer deutschen Hoch- (4) Die Kontrollstelle unterrichtet die von ihr kontrollier- schule oder ein gleichwertiger ausländischer Abschluss ten nichtöffentlichen Stellen, die nach Landesrecht für die sowie eine dreijährige berufliche Tätigkeit mit dem Sitze oder Niederlassungen der nichtöffentlichen Stellen zu- Schwerpunkt auf dem Gebiet des Datenschutzrechts oder ständigen Behörden sowie den Bundesbeauftragten,2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 1. spätestens drei Monate vor der beabsichtigten Einstel- sowie eine mindestens fünfjährige berufliche Tätigkeit lung ihrer Tätigkeit, mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 2. im Falle eines Antrags auf Eröffnung eines Insolvenzver- rechts. fahrens unverzüglich.Im Bereich Informationstechnik sind nachzuweisen: Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif- ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn1. der Abschluss eines Studiums der Informatik, der Wirt- die Kontrolle der von ihr kontrollierten nichtöffentlichen schaftsinformatik oder eines Studiums auf einem anderen Stellen durch eine andere Kontrollstelle sichergestellt ist. Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen §7 Hochschule oder ein gleichwertiger ausländischer Ab- Pflichten der zuständigen Behörde schluss sowie eine dreijährige berufliche Tätigkeit mit (1) Die Kontrollstelle wird von der zuständigen Behörde dem Schwerpunkt auf dem Gebiet der Informationstech- des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt, nik oder überwacht, indem die zuständige Behörde bei Bedarf Über- prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei-2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der len die zuständigen Behörden einander die zur Überwachung Informationstechnik sowie eine mindestens fünfjährige der Kontrollstellen erforderlichen Auskünfte. Stellt die zu- berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge- ständige Behörde Tatsachen fest, die die Entziehung der Zu- biet der Informationstechnik. lassung rechtfertigen oder die Aufnahme oder Änderung vonDie berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- Auflagen zur Zulassung erforderlich machen können, hat siedens für die Kontrollstelle nicht seit mehr als drei Jahren un- 1. wenn der Ort der zu beanstandenden Kontrolltätigkeitterbrochen sein. und der Sitz oder die Niederlassung der Kontrollstelle in demselben Land liegen, beim Bundesbeauftragten unter §6 Mitteilung dieser Tatsachen die Entziehung der Zulas- Pflichten der Kontrollstelle sung oder die Aufnahme oder Änderung von Auflagen anzuregen oder, (1) Die Kontrollstelle hat ein Datenschutzkonzept odereine informationstechnische Einrichtung gegen angemes- 2. wenn der Ort der zu beanstandenden Kontrolltätigkeitsene Vergütung in ihre Kontrollen einzubeziehen, soweit die und der Sitz oder die Niederlassung der Kontrollstelle innichtöffentliche Stelle die Einbeziehung verlangt und ihren verschiedenen Ländern liegen, der zuständigen BehördeSitz oder eine Niederlassung in dem Land hat, in dem die des Landes, in dem der Sitz oder die Niederlassung derKontrollstelle zugelassen ist. Die zuständige Behörde kann Kontrollstelle liegt, die Tatsachen mitzuteilen.auf Antrag der Kontrollstelle eine Ausnahme von der Ver- Erhält die zuständige Behörde des Landes, in dem der Sitzpflichtung nach Satz 1 zulassen, soweit oder die Niederlassung der Kontrollstelle liegt, Kenntnis von1. die Kontrollstelle wirksame Kontrollen nicht gewährleis- Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes- ten kann und beauftragten unter Mitteilung dieser Tatsachen an, ein Ver- fahren zur Entziehung der Zulassung oder zur Aufnahme2. die Durchführung der Kontrollen durch eine andere oder Änderung von Auflagen einzuleiten. Im Rahmen des Kontrollstelle sichergestellt ist. § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle (2) Die Kontrollstelle übermittelt der zuständigen Behör- nach Satz 1 durch den Bundesbeauftragten überwacht.den jährlich bis zum 31. Januar ein Verzeichnis der nicht- (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständigeöffentlichen Stellen, die am 31. Dezember des Vorjahres Behörde anordnen, dass von dem Verstoß betroffene Daten-ihrer Kontrolle unterstanden und legt bis zum 31. März jedes schutzkonzepte oder informationstechnische EinrichtungenJahres einen Bericht über ihre Tätigkeit im Vorjahr vor. nicht mit dem Datenschutzauditsiegel gekennzeichnet wer- den dürfen, wenn dies in einem angemessenen Verhältnis zur (3) Die Kontrollstellen erteilen einander die für eine ord- Bedeutung der Vorschrift, gegen die verstoßen wurde, sowienungsgemäße Durchführung dieses Gesetzes notwendigen zu Art und Umständen des Verstoßes steht. Im Falle einesAuskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- schwerwiegenden Verstoßes oder eines Verstoßes mit Lang-stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie zeitwirkung kann die zuständige Behörde der nichtöffent-unverzüglich die zuständige Behörde. Soweit eine Kontroll- lichen Stelle die Kennzeichnung für einen bestimmten Zeit-stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- raum untersagen.sachen feststellt, die einen hinreichenden Verdacht auf Ver-stöße der in Satz 2 genannten Art begründen, der eine nichtvon der Kontrollstelle kontrollierte nichtöffentliche Stelle §8betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich Überwachungder Kontrollstelle mit, deren Kontrolle die betroffene nicht- (1) Die nichtöffentlichen Stellen und die Kontrollstellenöffentliche Stelle untersteht. haben den zuständigen Behörden auf Verlangen die zur
  • 8. Drucksache 16/12011 – 10 – Deutscher Bundestag – 16. WahlperiodeDurchführung der den zuständigen Behörden durch dieses § 10Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- Gebühren und Auslagenben erforderlichen Auskünfte zu erteilen. (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und (2) Die von der zuständigen Behörde beauftragten Perso- Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung desnen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- Verwaltungsaufwandes Gebühren und Auslagen erhobentriebsräume der Auskunftspflichtigen während der Ge- werden. Das Bundesministerium des Innern wird ermächtigt,schäfts- oder Betriebszeit betreten und dort Besichtigungen im Einvernehmen mit dem Bundesministerium der Finanzenvornehmen und geschäftliche Unterlagen einsehen und prü- durch Rechtsverordnung ohne Zustimmung des Bundesratesfen, soweit dies zur Durchführung ihrer Aufgaben erforder- die gebührenpflichtigen Tatbestände, die Gebührensätze so-lich ist. wie die Auslagenerstattung zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen. In der Rechtsverord- (3) Auskunftspflichtige haben die Maßnahmen nach nung kann die Erstattung von Auslagen abweichend vomAbsatz 2 zu dulden, die zu besichtigenden Bereiche selbst Verwaltungskostengesetz geregelt werden.oder durch andere so zu bezeichnen, dass die Besichtigungordnungsgemäß vorgenommen werden kann, selbst oder (2) Für Amtshandlungen der zuständigen Behörden nachdurch andere die erforderliche Hilfe bei Besichtigungen zu § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren undleisten sowie die geschäftlichen Unterlagen zur Einsicht- Auslagen nach Maßgabe des Landesrechts erhoben werden.nahme und Prüfung vorzulegen. § 11 (4) Auskunftspflichtige können die Auskunft auf solche DatenschutzauditausschussFragen verweigern, deren Beantwortung sie oder einen der in§ 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- Beim Bundesbeauftragten wird ein Datenschutzauditaus-zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- schuss gebildet. Er erlässt Richtlinien zur Verbesserung desfolgung oder eines Verfahrens nach dem Gesetz über Ord- Datenschutzes und der Datensicherheit, insbesondere durchnungswidrigkeiten aussetzen würde. Auskunftspflichtige 1. Transparenz der Datenerhebung, -verarbeitung und -nut-sind darauf hinzuweisen. zung, (5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 2. Datenvermeidung und Datensparsamkeit nach § 3a destrollen der nichtöffentlichen Stellen durch die Kontrollstel- Bundesdatenschutzgesetzes,len. 3. die Stärkung der organisatorischen Stellung des Be- auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1 §9 des Bundesdatenschutzgesetzes, Datenschutzauditsiegel, Verzeichnisse 4. technische und organisatorische Maßnahmen nach § 9 (1) Wer ein Datenschutzkonzept oder eine informations- des Bundesdatenschutzgesetzes.technische Einrichtung mit dem Datenschutzauditsiegel Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei-kennzeichnen will, hat dies dem Bundesbeauftragten vor der ner Internetseite und im elektronischen Bundesanzeiger.erstmaligen Verwendung des Siegels anzuzeigen. Der Bun-desbeauftragte hat ein Verzeichnis der angezeigten Daten- (2) Der Datenschutzauditausschuss unterrichtet die Öf-schutzkonzepte sowie informationstechnischen Einrichtun- fentlichkeit jährlich in einem Bericht über seine Tätigkeitgen mit den Angaben nach Satz 3 zu führen und zum Zwecke und Erfahrungen, insbesondere über Praktikabilität und er-der Information der zuständigen Behörden und der Betroffe- forderliche Änderungen erlassener Richtlinien sowie dennen auf seiner Internetseite sowie im elektronischen Bundes- Bedarf für neue Richtlinien.anzeiger zu veröffentlichen. Das Verzeichnis muss folgendeAngaben enthalten: § 12 Mitglieder des Datenschutzauditausschusses1. den Namen und die Anschrift oder die der nichtöffent- lichen Stelle durch die Kontrollstelle zugeordnete alpha- (1) Mitglieder des Datenschutzauditausschusses sind numerische Identifikationsnummer, 1. zwei Vertreter der Verwaltung des Bundes,2. den Namen und die Anschrift oder die Kennnummer der 2. zwei Vertreter des Bundesamtes für Sicherheit in der In- Kontrollstelle, formationstechnik,3. das angezeigte Datenschutzkonzept sowie die informa- 3. zwei Vertreter des Bundesbeauftragten, tionstechnische Einrichtung. 4. zwei Vertreter der Verwaltung der Länder,Weitere Angaben darf das Verzeichnis nicht enthalten. 5. vier Vertreter von Aufsichtsbehörden der Länder für den (2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- Datenschutz im nichtöffentlichen Bereich,lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 6. sechs Vertreter von Unternehmen oder ihren Verbänden.führen und zum Zwecke der Information der zuständigenBehörden und der Betroffenen auf seiner Internetseite sowie Sie unterliegen keinen Weisungen und sind ehrenamtlich tä-im elektronischen Bundesanzeiger zu veröffentlichen. Das tig. Die §§ 83 und 84 des VerwaltungsverfahrensgesetzesVerzeichnis enthält die Namen, Anschriften und Kennnum- sind anzuwenden.mern der zugelassenen Kontrollstellen. Weitere Angaben (2) Die Mitglieder des Datenschutzauditausschusses müs-darf es nicht enthalten. sen über gründliche Fachkenntnisse und mindestens dreijäh-
  • 9. Deutscher Bundestag – 16. Wahlperiode – 11 – Drucksache 16/12011rige praktische Erfahrungen auf dem Gebiet des Datenschut- aufheben. Wenn der Datenschutzauditausschuss Beschlüssezes verfügen. oder sonstige Handlungen unterlässt, die zur Erfüllung sei- (3) Das Bundesministerium des Innern beruft die Mitglie- ner gesetzlichen Aufgaben erforderlich sind, kann die Auf-der des Datenschutzauditausschusses und für jedes Mitglied sichtsbehörde anordnen, dass innerhalb einer bestimmteneinen Stellvertreter für die Dauer von drei Jahren, die Mit- Frist die erforderlichen Maßnahmen getroffen werden. Dieglieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag Aufsichtsbehörde hat die geforderten Handlungen im Ein-und jeweils im Einvernehmen mit dem Bundesbeauftragten, zelnen zu bezeichnen. Sie kann ihre Anordnung selbstden für den Datenschutz zuständigen obersten Landesbehör- durchführen oder von einem anderen durchführen lassen,den, den Aufsichtsbehörden nach § 38 des Bundesdaten- wenn die Anordnung vom Datenschutzauditausschuss nichtschutzgesetzes sowie den Bundesdachverbänden der Wirt- befolgt worden ist.schaft. (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei- (4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur chen, kann die Aufsichtsbehörde den Datenschutzauditaus-mit beratender Stimme hinzuzuziehen, soweit Gegenstand schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeitder Sitzung eine Richtlinie ist, die nichtöffentliche Stellen der Auflösungsanordnung unverzüglich neue Mitglieder ge-betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni- mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagenekationsgesetzes oder § 42 Absatz 3 des Postgesetzes der Personen nicht zu berücksichtigen, die dem aufgelösten Da-Kontrolle des Bundesbeauftragten unterliegen. tenschutzauditausschuss angehört haben. § 13 § 16 Geschäftsordnung, Vorsitz und Beschlussfassung Verordnungsermächtigungen des Datenschutzauditausschusses (1) Die Landesregierungen werden ermächtigt, durch (1) Der Datenschutzauditausschuss gibt sich eine Ge- Rechtsverordnungschäftsordnung, die der Genehmigung durch das Bundes- 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab-ministerium des Innern bedarf. satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be- (2) Der Datenschutzauditausschuss wählt den Vorsitzen- leihen oder sie an der Erfüllung der Aufgaben zu beteili-den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss gen,jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 2. die Voraussetzungen und das Verfahren der Beleihungtionen, der Aufsichtsbehörden für den Datenschutz und der und der Beteiligung zu regeln.Verwaltung gehören. Die Landesregierungen können die Ermächtigung durch (3) Der Datenschutzauditausschuss beschließt Rechtsverordnung ganz oder teilweise auf andere Behörden1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der des Landes übertragen. Mehrheit von zwei Dritteln der gesetzlichen Mitglieder (2) Die Bundesregierung wird ermächtigt, nach Anhörung und des Bundesbeauftragten durch Rechtsverordnung ohne Zu-2. in Angelegenheiten der Geschäftsordnung mit der Mehr- stimmung des Bundesrates heit der gesetzlichen Mitglieder. 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu § 14 beleihen oder sie an der Erfüllung der Aufgaben zu betei- Geschäftsstelle des Datenschutzauditausschusses ligen, Der Datenschutzauditausschuss wird bei der Durchfüh- 2. die Voraussetzungen und das Verfahren der Beleihungrung seiner Aufgaben durch eine Geschäftsstelle unterstützt, und der Beteiligung zu regeln.die den Weisungen des Vorsitzenden des Datenschutzaudit-ausschusses unterliegt. (3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates § 15 nähere Regelungen zu treffen über Rechtsaufsicht 1. die Einzelheiten der Verwendung des Datenschutzaudit- (1) Der Datenschutzauditausschuss untersteht der Auf- siegels, um eine einheitliche Kennzeichnung und eindeu-sicht des Bundesministeriums des Innern (Aufsichtsbehör- tige Erkennbarkeit der Kennzeichnung der Datenschutz-de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit konzepte und informationstechnischen Einrichtungen zuder Ausschusstätigkeit, insbesondere darauf, dass die Aufga- gewährleisten,be nach § 11 Absatz 1 Satz 2 erfüllt wird. 2. die Voraussetzungen und das Verfahren der Zulassung (2) Die Aufsichtsbehörde kann an den Sitzungen des Da- nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen undtenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen das Verfahren der Entziehung der Zulassung nach § 4das Wort zu erteilen. Sie kann schriftliche Berichte und die Absatz 4, § 7 Absatz 1 Satz 3 und 4,Vorlage von Akten verlangen. 3. die Mindestanforderungen an die Kontrollen und die im (3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der Rahmen der Kontrollen vorgesehenen Vorkehrungen,Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe- 4. die Gestaltung des Datenschutzauditsiegels,hörde kann rechtswidrige Beschlüsse des Datenschutzaudit-ausschusses beanstanden und nach vorheriger Beanstandung 5. die Anzeige nach § 9 Absatz 1 Satz 1.
  • 10. Drucksache 16/12011 – 12 – Deutscher Bundestag – 16. Wahlperiode § 17 Artikel 2 Bußgeldvorschriften Änderung des Bundesdatenschutzgesetzes (1) Ordnungswidrig handelt, wer Das Bundesdatenschutzgesetz in der Fassung der Be-1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt tig, nicht vollständig oder nicht rechtzeitig übermittelt geändert durch das Gesetz vom …, wird wie folgt geändert: oder einen dort genannten Bericht nicht, nicht richtig 1. Die Inhaltsübersicht wird wie folgt geändert: oder nicht rechtzeitig vorlegt, a) Nach der Angabe zu § 9 wird die Angabe „§ 9a2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- Datenschutzaudit“ gestrichen. ständige Behörde, eine nichtöffentliche Stelle oder den b) Die Angabe zu § 28 wie folgt gefasst: Bundesbeauftragten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke“.3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, c) Nach der Angabe zu § 42 wird folgende Angabe ein- gefügt:4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, „§ 42a Informationspflicht bei unrechtmäßiger Kennt- nicht vollständig oder nicht rechtzeitig erteilt, niserlangung von Daten“.5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder d) Nach der Angabe zu § 46 wird folgende Angabe ein- gefügt:6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, „§ 47 Übergangsregelung“. eine Anzeige nicht, nicht richtig, nicht vollständig oder 2. Dem § 4f Absatz 3 werden folgende Sätze angefügt: nicht rechtzeitig erstattet. „Ist nach Absatz 1 ein Beauftragter für den Datenschutz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- zu bestellen, so ist die Kündigung des Arbeitsverhältnis-sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 ses unzulässig, es sei denn, dass Tatsachen vorliegen,zuwiderhandelt. welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (3) Die Ordnungswidrigkeit kann in den Fällen des berechtigen. Nach der Abberufung als Beauftragter fürAbsatzes 2 mit einer Geldbuße bis zu dreihunderttausend den Datenschutz ist die Kündigung innerhalb eines Jah-Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- res nach der Beendigung der Bestellung unzulässig, es seizigtausend Euro geahndet werden. Die Geldbuße soll den denn, dass die verantwortliche Stelle zur Kündigung auswirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- wichtigem Grund ohne Einhaltung einer Kündigungsfristrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- berechtigt ist. Zur Erhaltung der zur Erfüllung seinernannten Beträge hierfür nicht aus, können sie überschritten Aufgaben erforderlichen Fachkunde hat die verantwort-werden. liche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen § 18 zu ermöglichen und deren Kosten zu übernehmen.“ Strafvorschriften 3. § 9a wird aufgehoben. Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3lung in der Absicht begeht, sich oder einen anderen zu berei- Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2chern oder einen anderen zu schädigen, wird mit Freiheits- Buchstabe a“ ersetzt.strafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 5. § 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst: § 19 Einziehung „§ 28 Datenerhebung und -speicherung für eigene Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder Geschäftszwecke“.Absatz 2 oder eine Straftat nach § 18 begangen worden, kön-nen Gegenstände, auf die sich die Straftat oder die Ord- b) In Absatz 1 Satz 1 Nummer 1 werden die Wörternungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- „Vertragsverhältnisses oder vertragsähnlichen Ver-gehung oder Vorbereitung gebraucht worden oder bestimmt trauensverhältnisses“ durch die Wörter „rechtsge-gewesen sind, eingezogen werden. § 23 des Gesetzes über schäftlichen oder rechtsgeschäftsähnlichen Schuld-Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind verhältnisses“ ersetzt.anzuwenden. c) Absatz 2 wird wie folgt gefasst: „(2) Die Übermittlung oder Nutzung für einen an- § 20 deren Zweck ist zulässig Übergangsvorschrift 1. unter den Voraussetzungen des Absatzes 1 Satz 1 § 1 ist erst ab dem 1. Juli 2010 anzuwenden. Nummer 2 oder Nummer 3,
  • 11. Deutscher Bundestag – 16. Wahlperiode – 13 – Drucksache 16/12011 2. soweit es erforderlich ist oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen a) zur Wahrung berechtigter Interessen eines Drit- nicht entgegenstehen. Nach den Sätzen 1 bis 3 über- ten oder mittelte Daten dürfen nur für den Zweck verarbeitet b) zur Abwehr von Gefahren für die staatliche oder genutzt werden, für den sie übermittelt worden oder öffentliche Sicherheit oder zur Verfolgung sind.“ von Straftaten e) Nach Absatz 3 werden folgende Absätze 3a und 3b und kein Grund zu der Annahme besteht, dass der eingefügt: Betroffene ein schutzwürdiges Interesse an dem „(3a) Wird die Einwilligung nach § 4a Absatz 1 Ausschluss der Übermittlung oder Nutzung hat, Satz 3 in anderer Form als der Schriftform erteilt, hat oder die verantwortliche Stelle dem Betroffenen den Inhalt 3. wenn es im Interesse einer Forschungseinrichtung der Einwilligung schriftlich zu bestätigen, es sei denn, zur Durchführung wissenschaftlicher Forschung dass die Einwilligung elektronisch erklärt wird und erforderlich ist, das wissenschaftliche Interesse an die verantwortliche Stelle sicherstellt, dass die Ein- der Durchführung des Forschungsvorhabens das willigung protokolliert wird und der Betroffene deren Interesse des Betroffenen an dem Ausschluss der Inhalt jederzeit abrufen und die Einwilligung jederzeit Zweckänderung erheblich überwiegt und der mit Wirkung für die Zukunft widerrufen kann. Eine Zweck der Forschung auf andere Weise nicht oder zusammen mit anderen Erklärungen erteilte Einwilli- nur mit unverhältnismäßigem Aufwand erreicht gung ist nur wirksam, wenn der Betroffene durch An- werden kann.“ kreuzen, durch eine gesonderte Unterschrift oder durch ein anderes, ausschließlich auf die Einwilligung d) Absatz 3 wird wie folgt gefasst: in die Verarbeitung oder Nutzung der Daten für „(3) Die Verarbeitung oder Nutzung personenbezo- Zwecke des Adresshandels, der Werbung oder der gener Daten für Zwecke des Adresshandels, der Wer- Markt- oder Meinungsforschung bezogenes Tun bung oder der Markt- oder Meinungsforschung ist zu- zweifelsfrei zum Ausdruck bringt, dass er die Einwil- lässig, soweit der Betroffene nach Maßgabe des ligung bewusst erteilt. Absatzes 3a eingewilligt hat. Darüber hinaus ist die (3b) Die verantwortliche Stelle darf den Abschluss Verarbeitung oder Nutzung personenbezogener Daten eines Vertrags nicht von einer Einwilligung des Be- zulässig, soweit es sich um listenmäßig oder sonst zu- troffenen nach Absatz 3 Satz 1 abhängig machen, sammengefasste Daten über Angehörige einer Perso- wenn dem Betroffenen ein anderer Zugang zu gleich- nengruppe handelt, die sich auf die Zugehörigkeit des wertigen vertraglichen Leistungen ohne die Einwilli- Betroffenen zu dieser Personengruppe, seine Berufs-, gung nicht oder nicht in zumutbarer Weise möglich Branchen- oder Geschäftsbezeichnung, seinen Na- ist.“ men, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung f) Absatz 4 wird wie folgt geändert: oder Nutzung aa) In Satz 1 werden das Wort „Nutzung“ jeweils 1. für Zwecke der Werbung für eigene Angebote oder durch das Wort „Verarbeitung“ und das Wort der eigenen Markt- oder Meinungsforschung der „Übermittlung“ jeweils durch das Wort „Nut- verantwortlichen Stelle erforderlich ist, die diese zung“ ersetzt. Daten mit Ausnahme der Angabe zur Gruppenzu- bb) In Satz 2 werden nach dem Wort „Ansprache“ die gehörigkeit beim Betroffenen nach § 28 Absatz 1 Wörter „und in den Fällen des Absatzes 1 Satz 1 Satz 1 Nummer 1 erhoben hat, Nummer 1 auch bei Begründung des rechts- 2. für Zwecke der Werbung oder der Markt- oder geschäftlichen oder rechtsgeschäftsähnlichen Meinungsforschung gegenüber freiberuflich oder Schuldverhältnisses“ eingefügt. gewerblich Tätigen unter deren Geschäftsadresse cc) Satz 3 wird wie folgt geändert: erforderlich ist oder aaa) Nach dem Wort „Daten“ werden die Wörter 3. für Zwecke der Spendenwerbung einer verant- „im Rahmen der Zwecke“ eingefügt. wortlichen Stelle erforderlich ist, wenn Spenden an diese gemäß § 10b Absatz 1 und § 34g des Ein- bbb) Das Wort „werden“ wird durch die Wörter kommensteuergesetzes steuerbegünstigt sind. „worden sind“ ersetzt. Für Zwecke nach Satz 2 Nummer 1 darf die ver- dd) Folgender Satz wird angefügt: antwortliche Stelle zu den dort genannten Daten wei- „In den Fällen des Absatzes 1 Satz 1 Nummer 1 tere Daten hinzuspeichern. Die Nutzung personenbe- darf für den Widerspruch keine strengere Form zogener Daten für Zwecke der Werbung oder der verlangt werden als für die Begründung des Markt- oder Meinungsforschung ist zudem zulässig, rechtsgeschäftlichen oder rechtsgeschäftsähn- soweit sie zusammen mit Werbung oder Markt- oder lichen Schuldverhältnisses.“ Meinungsforschung nach Satz 2 Nummer 1 oder mit der Durchführung eines rechtsgeschäftlichen oder g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“ rechtsgeschäftsähnlichen Schuldverhältnisses nach durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“ Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung ersetzt.
  • 12. Drucksache 16/12011 – 14 – Deutscher Bundestag – 16. Wahlperiode6. § 29 wird wie folgt geändert: ten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbe- a) Absatz 1 wird wie folgt geändert: sondere auf Grund der Vielzahl der betroffenen Fälle, tritt aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort an ihre Stelle die Information der Öffentlichkeit durch „und“ durch das Wort „oder“ ersetzt. Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitun- bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ gen. Eine Benachrichtigung, die der Benachrichtigungs- durch die Wörter „§ 28 Absatz 1 Satz 1 und pflichtige erteilt hat, darf in einem Strafverfahren oder in Absatz 3 bis 3b“ ersetzt. einem Verfahren nach dem Gesetz über Ordnungswidrig- b) Absatz 2 wird wie folgt geändert: keiten gegen ihn oder einen in § 52 Absatz 1 der Straf- prozessordnung bezeichneten Angehörigen des Benach- aa) Satz 1 Nummer 1 wird wie folgt gefasst: richtigungspflichtigen nur mit Zustimmung des Benach- „1. der Dritte, dem die Daten übermittelt wer- richtigungspflichtigen verwendet werden.“ den, ein berechtigtes Interesse an ihrer 9. § 43 wird wie folgt geändert: Kenntnis glaubhaft dargelegt hat und“. a) Absatz 1 wird wie folgt geändert: bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“ durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. aa) Nach Nummer 2 werden folgende Nummern 2a und 2b eingefügt: cc) In Satz 3 wird nach der Angabe „Nummer 1“ die Angabe „Buchstabe a“ gestrichen. „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge- währleistet, dass die Datenübermittlung7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden festgestellt und überprüft werden kann, die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf- trag nicht, nicht richtig, nicht vollständig8. Nach § 42 wird folgender § 42a eingefügt: oder nicht in der vorgeschriebenen Weise „§ 42a erteilt,“. Informationspflicht bei unrechtmäßiger bb) Nach Nummer 3 wird folgende Nummer 3a ein- Kenntniserlangung von Daten gefügt: Stellt eine nichtöffentliche Stelle im Sinne des § 2 „3a. entgegen § 28 Absatz 4 Satz 4 eine stren- Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 gere Form verlangt,“. Satz 1 Nummer 2 fest, dass bei ihr gespeicherte b) Absatz 2 wird wie folgt geändert: 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), aa) In Nummer 5 werden die Wörter „, indem er sie 2. personenbezogene Daten, die einem Berufsgeheimnis an Dritte weitergibt“ und am Ende das Wort unterliegen, „oder“ gestrichen. 3. personenbezogene Daten, die sich auf strafbare Hand- bb) Folgende Nummer 5a wird angefügt: lungen oder Ordnungswidrigkeiten oder den Verdacht „5a. entgegen § 28 Absatz 4 Satz 1 Daten für strafbarer Handlungen oder Ordnungswidrigkeiten Zwecke der Werbung oder der Markt- oder beziehen, oder Meinungsforschung verarbeitet oder nutzt,“. 4. personenbezogene Daten zu Bank- oder Kreditkarten- cc) In Nummer 6 wird der Punkt am Ende durch das konten Wort „oder“ ersetzt. unrechtmäßig übermittelt oder auf sonstige Weise Dritten dd) Folgende Nummer 7 wird angefügt: unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder „7. entgegen § 42a Satz 1 eine Mitteilung nicht, schutzwürdigen Interessen der Betroffenen, hat sie dies nicht richtig, nicht vollständig oder nicht nach den Sätzen 2 bis 5 unverzüglich der zuständigen rechtzeitig macht.“ Aufsichtsbehörde sowie den Betroffenen mitzuteilen. c) Absatz 3 wird wie folgt geändert: Die Benachrichtigung des Betroffenen muss unver- züglich erfolgen, sobald angemessene Maßnahmen zur aa) Das Wort „fünfundzwanzigtausend“ wird durch Sicherung der Daten ergriffen worden oder nicht unver- das Wort „fünfzigtausend“ und das Wort „zwei- züglich erfolgt sind und die Strafverfolgung nicht mehr hundertfünfzigtausend“ wird durch das Wort gefährdet wird. Die Benachrichtigung der Betroffenen „dreihunderttausend“ ersetzt. muss eine Darlegung der Art der unrechtmäßigen Kennt- bb) Nach Satz 1 werden folgende Sätze eingefügt: niserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die „Die Geldbuße soll den wirtschaftlichen Vorteil, Benachrichtigung der zuständigen Aufsichtsbehörde den der Täter aus der Ordnungswidrigkeit gezo- muss zusätzlich eine Darlegung möglicher nachteiliger gen hat, übersteigen. Reichen die in Satz 1 ge- Folgen der unrechtmäßigen Kenntniserlangung und der nannten Beträge hierfür nicht aus, so können sie von der Stelle daraufhin ergriffenen Maßnahmen enthal- überschritten werden.“
  • 13. Deutscher Bundestag – 16. Wahlperiode – 15 – Drucksache 16/1201110. Nach § 46 wird folgender § 47 eingefügt: 4. § 16 Absatz 2 wird wie folgt geändert: „§47 a) Nummer 2 wird aufgehoben. Übergangsregelung b) Die bisherigen Nummern 3 bis 6 werden die Num- Für die Verarbeitung und Nutzung vor dem 1. Juli mern 2 bis 5. 2009 erhobener Daten ist § 28 in der bis dahin gelten- den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“ Artikel 4 Artikel 3 Änderung des Telekommunikationsgesetzes Änderung des Telemediengesetzes* Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt Das Telemediengesetz vom 26. Februar 2007 (BGBl. I geändert:S. 179) wird wie folgt geändert: 1. Dem § 93 wird folgender Absatz 3 angefügt:1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15 Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter „(3) Stellt der Diensteanbieter fest, dass bei ihm ge- „§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. speicherte Bestandsdaten oder Verkehrsdaten unrechtmä- ßig übermittelt worden oder auf sonstige Weise Dritten2. § 12 wird wie folgt geändert: zur Kenntnis gelangt sind, und drohen schwerwiegende a) Absatz 3 wird aufgehoben. Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bun- b) Der bisherige Absatz 4 wird Absatz 3. desdatenschutzgesetzes entsprechend.“3. Nach § 15 wird folgender § 15a eingefügt: 2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni- „§ 15a kationsdiensten“ die Wörter „ohne die Einwilligung“ ein- Informationspflicht bei unrechtmäßiger gefügt. Kenntniserlangung von Daten Stellt der Diensteanbieter fest, dass bei ihm gespei- cherte Bestands- oder Nutzungsdaten unrechtmäßig Artikel 5 übermittelt worden oder auf sonstige Weise Dritten zur Bekanntmachungserlaubnis Kenntnis gelangt sind, und drohen schwerwiegende Be- einträchtigungen für die Rechte oder schutzwürdigen In- Das Bundesministerium des Innern kann den Wortlaut des teressen des betroffenen Nutzers, gilt § 42a des Bundes- Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel- datenschutzgesetzes entsprechend.“ tenden Fassung im Bundesgesetzblatt bekannt machen.* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Artikel 6 Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Inkrafttreten und der Vorschriften für die Dienste der Informationsgesellschaft (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie Tag nach der Verkündung in Kraft. 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, S. 82) geändert worden ist, sind beachtet worden. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
  • 14. Drucksache 16/12011 – 16 – Deutscher Bundestag – 16. WahlperiodeBegründung A. Allgemeiner Teil gekennzeichnete Datenschutzkonzepte oder informations- technische Einrichtungen an dem DatenschutzauditsiegelI. Ziel und Inhalt des Entwurfs erkennen und bei der Entscheidung zwischen mehreren An-In der jüngeren Vergangenheit sind zunehmend Fälle des un- bietern berücksichtigen. Anstrengungen, die über die gesetz-berechtigten Handels mit personenbezogenen Daten bekannt lichen Anforderungen in Bezug auf den Datenschutz hinaus-geworden. Die Herkunft der Daten ist größtenteils nicht gehen, können für Unternehmen einen wirtschaftlichennachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 Mehrwert darstellen. Zugleich wird bei den VerbrauchernAbsatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes Bewusstsein für die Datenschutzrelevanz eines Produkteshat sich dabei für die Herstellung der notwendigen Transpa- oder einer Dienstleistung geschaffen und gefördert.renz als besonders nachteilig erwiesen. Danach dürfen be-stimmte personenbezogene Daten, wenn sie listenmäßig II. Gesetzgebungskompetenzoder sonst zusammengefasst sind, für Zwecke der Werbungoder der Markt- oder Meinungsforschung, ohne Einwilli- Die Gesetzgebungskompetenz des Bundes folgt für Rege-gung der Betroffenen übermittelt oder genutzt werden. Die lungen des Datenschutzes als Annex aus der Kompetenz fürpraktische Anwendung dieser Vorschrift hat dazu geführt, die geregelte Sachmaterie.dass personenbezogene Daten der Bürgerinnen und Bürgerweitläufig zum Erwerb oder zur Nutzung angeboten werden, Einem Datenschutzaudit nach Artikel 1 können sich privateohne in jedem Fall die in der Vorschrift angelegten Anforde- Unternehmen und diesen gleichgestellte öffentlich-recht-rungen zu beachten. Personenbezogene Daten werden ohne liche Wettbewerbsunternehmen unterziehen. BetroffeneBeachtung der Zweckbindung verarbeitet und mit weiteren Sachmaterie ist daher ganz überwiegend das Recht der Wirt-Daten verknüpft und weiter übermittelt. Zudem hat sich das schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes).Verhältnis der Bürgerinnen und Bürger zur Werbung und Die Berechtigung des Bundes zur Inanspruchnahme der Ge-Markt- oder Meinungsforschung seit der Einführung der setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- Grundgesetz. Eine bundesgesetzliche Regelung über eindelt. Die gezielte Ansprache zum Zwecke der Werbung oder Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit imMarkt- oder Meinungsforschung wird von den Bürgerinnen Bundesgebiet im gesamtstaatlichen Interesse erforderlich.und Bürgern zunehmend als Belastung empfunden und ist Eine unterschiedliche Regelung dieser Materie durch denmit dem Wunsch nach mehr Selbstbestimmung verbunden. Landesgesetzgeber oder sein Untätigbleiben würde zu er-Zudem haben die öffentlich bekannt gewordenen Vorkomm- heblichen Nachteilen für die Gesamtwirtschaft führen, dienisse deutlich gemacht, dass für eine effektivere Durchset- sowohl im Interesse des Bundes als auch der Länder nichtzung der bestehenden gesetzlichen Regelungen zum Daten- hingenommen werden können. Insbesondere wäre zu be-schutz die Stellung der betrieblichen Beauftragten für den fürchten, dass unterschiedliche landesrechtliche Behandlun-Datenschutz gestärkt werden muss und die Bußgeldtatbe- gen gleicher Lebenssachverhalte erhebliche Wettbewerbs-stände erweitert werden müssen, um zu einem wirksamen verzerrungen und störende Schranken für die länderüber-Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäreschlagenen Änderungen resultieren in weiten Bereichen aus etwa der Fall, wenn Datenschutzauditsiegel in den Ländernden Erfahrungen der Länder im Bereich der Aufsichtspraxis. anhand unterschiedlicher Verfahren vergeben würden. DieDie Regelungen zur Neugestaltung des § 28 Absatz 3 des landesrechtlich unterschiedliche Ausgestaltung des Kon-Bundesdatenschutzgesetzes finden unabhängig von der Un- trollverfahrens und des Verfahrens für die Zulassung derternehmensgröße Anwendung, jedoch zielen insbesondere Kontrollstellen würde abweichende Maßstäbe bei der Prü-die vorgeschlagenen gesetzlichen Erlaubnistatbestände in fung und Bewertung nach sich ziehen. Unternehmen, die§ 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- länderübergreifend oder bundesweit agieren, müssten sichtung spezialisierter kleinerer und mittlerer Unternehmen. für gleich bleibende Auditgegenstände unterschiedlichen Verfahren und Kontrollen durch wechselnde Personen unter-Das Datenschutzauditgesetz bietet Unternehmen die Mög- ziehen mit der Gefahr abweichender Ergebnisse. In einemlichkeit, sich auf freiwilliger Basis einem Datenschutzaudit Land auditierte und mit einem Datenschutzauditsiegel ge-zu unterziehen und hierfür in ein Kontrollsystem einbezie- kennzeichnete Datenschutzkonzepte oder informationstech-hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine nische Einrichtungen unterlägen in den einzelnen Länderninformationstechnische Einrichtung von einem Datenschutz- unterschiedlichen Bedingungen. Dies würde die Verwend-auditausschuss beim Bundesbeauftragten für den Daten- barkeit für die betroffenen Unternehmen nachhaltig beein-schutz und die Informationsfreiheit festgelegte Richtlinien trächtigen. Unterschiedliche Landesregelungen zum Daten-zur Verbesserung des Datenschutzes und der Datensicherheit schutzauditverfahren würden zu einer gesamtstaatlich be-und lassen die Unternehmen dies in einem formalisierten denklichen Verlagerung der wirtschaftlichen Aktivitäten inVerfahren durch Kontrollstellen regelmäßig überprüfen, weniger kontrollintensive Länder führen. Unterläge ein Da-können sie das Datenschutzkonzept oder die informa- tenschutzkonzept oder eine informationstechnische Einrich-tionstechnische Einrichtung mit einem Datenschutzauditsie- tung in Ländern verschärften Kontrollmaßnahmen, käme esgel kennzeichnen. Auf diese Weise können Unternehmen unter Umständen dort nicht zum Einsatz. Dies hätte aucheinen Vorteil gegenüber Wettbewerbern erzielen, die sich Folgen für Verbraucherinnen und Verbraucher, die in solchenkeinem Datenschutzaudit unterziehen. Verbraucher können Ländern auf auditierte Verfahren und Produkte nicht zurück-
  • 15. Deutscher Bundestag – 16. Wahlperiode – 17 – Drucksache 16/12011greifen könnten. Auch unterschiedliche Landesregelungen sind, kündigen können oder bei einer unbefugten Kenntnis-in Bezug auf den Kreis der in die Kontrollen einbezogenen erlangung sensibler Daten durch Dritte die Aufsichtsbehör-Auditgegenstände bergen Gefahren für die Sicherheit und den und die Betroffenen nicht benachrichtigen müssen. An-Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- deren Unternehmen in anderen Ländern bliebe diesedesrechtlich unterschiedliches Kontrollniveau wäre den Ver- Möglichkeit verwehrt bzw. sie wären zur Benachrichtigungbraucherinnen und Verbrauchern auch nicht zu vermitteln. verpflichtet, obwohl es sich um die gleichen personenbezo-Das Vertrauen der Verbraucher in Datenschutzauditsiegel genen Daten handelt, die gleichen betrieblichen Voraus-wäre insgesamt erschüttert. Auch für die Festlegung der von setzungen bestehen oder dieselbe unbefugte Kenntniserlan-den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- gung sensibler Daten durch Dritte erfolgt ist. Es entstündendepflichten ist eine bundesgesetzliche Regelung im gesamt- für letztere gravierende wettbewerbsverzerrende Änderun-staatlichen Interesse notwendig. Im Falle landesrechtlich un- gen, denen die erstgenannten Unternehmen nicht ausgesetztterschiedlich geregelter Pflichten der Kontrollstellen bestün- wären. Zudem können die bestehenden Regelungen desde die Gefahr, dass die für die Aufklärung von Verstößen Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge-wichtigen gegenseitigen Unterrichtungen, die gerade auch ändert werden.ein schnelles Tätigwerden der zuständigen Behörden ermög-lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht derliche Regelung kann sichergestellt werden, dass für den Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge-Wirtschaftsstandort Deutschland einheitliche rechtliche setzes). Es besteht die Erforderlichkeit einer bundesgesetz-Rahmenbedingungen im Hinblick auf die Verwendung des lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz.Datenschutzauditsiegels gegeben sind. Sinn des Daten- Eine bundeseinheitliche Regelung der Informationspflichtschutzauditsiegels ist es gerade, durch seine einheitliche bei unbefugter Kenntniserlangung sensibler Daten und desAusgestaltung die Verbraucherinnen und Verbraucher über Kopplungsverbots im Telemedien- und Telekommunika-die zur Verbesserung des Datenschutzes beitragende Gestal- tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun-tung zu informieren und hinsichtlich dieser Gestaltung für desgebiet im gesamtstaatlichen Interesse erforderlich. Diedas gesamte Bundesgebiet einheitliche Standards zu setzen. bestehenden Regelungen des Telemedien- und Telekommu-Eine bundesgesetzliche Regelung ist ferner erforderlich, um nikationsgesetzes können nur durch ein Bundesgesetz geän-einheitliche rechtliche Rahmenbedingungen im Hinblick auf dert werden. Eine ausbleibende Regelung würde zu erheb-den Schutz der Verbraucherinnen und Verbraucher durch lichen Nachteilen für die Gesamtwirtschaft führen, die imSanktionen bei Verstößen zu gewährleisten. Interesse des Bundes nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass die unterschiedlicheBetroffene Sachmaterien des Artikels 2 sind vorwiegend das Behandlung gleicher Lebenssachverhalte zu erheblichenBürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des Wettbewerbsverzerrungen führt. Unternehmen, die demGrundgesetzes), das Recht der Wirtschaft (Artikel 74 Telemedien- oder Telekommunikationsgesetz unterliegen,Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- müssten bei einer unbefugten Kenntniserlangung sensiblerrecht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). Daten durch Dritte die Aufsichtsbehörden und die Betroffe-Soweit die konkurrierende Gesetzgebungskompetenz des nen nicht benachrichtigen und unterlägen einem gegenüberBundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund- der Regelung im Bundesdatenschutzgesetz eingeschränktemgesetzes in Anspruch genommen wird, besteht die Erforder- Kopplungsverbot. Andere Unternehmen blieben zur Be-lichkeit einer bundesgesetzlichen Regelung gemäß Arti- nachrichtigung verpflichtet, obwohl es sich um vergleichbarkel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche sensible personenbezogene Daten handelt, und dürften in ge-Regelung der gesetzlichen Erlaubnistatbestände für die Ver- ringerem Umfang Kopplungen vornehmen. Es entstündenarbeitung und Nutzung personenbezogener Daten zum Zwe- für diese dadurch gravierende wettbewerbsverzerrende Än-cke des Adresshandels und der Werbung, Markt- oder derungen, denen die Unternehmen, die dem Telemedien-Meinungsforschung, des Kündigungsschutzes der Beauf- oder Telekommunikationsgesetz unterliegen, nicht ausge-tragten für den Datenschutz und einer Informationspflicht setzt wären.von Unternehmen bei einer unbefugten Kenntniserlangungsensibler Daten durch Dritte ist zur Wahrung der Wirt-schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- III. Vereinbarkeit mit dem Recht der Europäischenresse erforderlich. Eine unterschiedliche oder ausbleibende UnionRegelung dieser Materien durch den Landesgesetzgeberwürde zu erheblichen Nachteilen für die Gesamtwirtschaft Der Gesetzentwurf ist mit dem Recht der Europäischenführen, die sowohl im Interesse des Bundes als auch der Län- Union vereinbar. Er steht insbesondere nicht im Widerspruchder nicht hingenommen werden kann. Insbesondere wäre zu zu den Regelungen der Richtlinie 95/46/EG (EG-Daten-befürchten, dass unterschiedliche landesrechtliche Behand- schutzrichtlinie).lungen gleicher Lebenssachverhalte erhebliche Wettbe-werbsverzerrungen und störende Schranken für die länder- Bei einem Datenschutzaudit nach dem Gesetzentwurf wer-übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei den Datenschutzkonzepte oder informationstechnische Ein-unterschiedlichen Regelungen durch die Länder bestünde richtungen anhand von Richtlinien zur Verbesserung desdie Gefahr, dass einige Unternehmen weiterhin personenbe- Datenschutzes und der Datensicherheit überprüft, die überzogene Daten ohne Einwilligung der Betroffenen zum Zwe- die Vorschriften hinausgehen, die die Vorgaben der EG-cke der Werbung, Markt- oder Meinungsforschung für Dritte Datenschutzrichtlinie enthält. Der Gesetzentwurf fördertverarbeiten und nutzen können, einen Beauftragten für den daher mittelbar die tatsächliche Durchsetzung dieser Rege-Datenschutz aus Gründen, die nicht auf sein Amt bezogen lungen.
  • 16. Drucksache 16/12011 – 18 – Deutscher Bundestag – 16. WahlperiodeDie Stärkung der Unabhängigkeit des Beauftragten für den bei unrechtmäßiger Kenntniserlangung bestimmter DatenDatenschutz durch einen erweiterten Kündigungsschutz und durch Dritte die Aufsichtsbehörden und die Betroffenendie Ermöglichung der Fortbildung fördern die Vorgabe in bzw. ersatzweise die Öffentlichkeit zu benachrichtigen.Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danachsehen die Mitgliedstaaten eine „unabhängige Überwachung“ Kosten für die Wirtschaft können nach Maßgabe von ggf.der Anwendung der zur Umsetzung der Richtlinie erlassenen von den Ländern und dem Bund zu erlassenden Kostenord-einzelstaatlichen Bestimmungen durch den Beauftragten für nungen entstehen, durch die die Kosten für die einzelnenden Datenschutz vor. Die Stärkung der Einwilligung und die Auditverfahren auf die Antragsteller abgewälzt werden kön-Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung nen. Des Weiteren wird die Durchführung des Audits (Sam-und Nutzung personenbezogener Daten zu nicht ausschließ- meln und Zurverfügungstellen von Informationen, ggf. erfor-lich eigenen Zwecken der Werbung, Markt- oder Meinungs- derliche Nachbesserungen am Gegenstand des Audits)forschung steht im Einklang mit den Regelungen der Richt- Kosten bei den kontrollierten Stellen verursachen. Die Höhelinie und wird insbesondere den aus Artikel 2 Buchstabe h, dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nichtArtikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der näher beziffern, da die konkrete Ausgestaltung des Verfah-Richtlinie abzuleitenden Zielen gerecht. rens einer noch zu erlassenden Rechtsverordnung vorbehal- ten ist und die Richtlinien zur Verbesserung des Datenschut- zes und der Datensicherheit als Maßstab der Prüfung vonIV. Finanzielle Auswirkungen auf die öffentlichen einem noch zu errichtenden Datenschutzauditausschuss zu Haushalte beschließen sind. Kosten entstehen bei den Stellen, die sich beim Bundesbeauftragten für den Datenschutz und die Infor-Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- mationsfreiheit als Kontrollstellen zulassen und im Rahmenzugsaufwand. des Kontrollsystems gegen angemessene Vergütung Kon-In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- trollen durchführen und dabei von den zuständigen Behör-ständigen Behörden der Länder Vollzugsaufwand. Sie haben den der Länder überwacht werden.die zugelassenen Kontrollstellen, die das Kontrollverfahren Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zudurchführen, zu überwachen und Verstöße dem Bundes- erwarten.beauftragten für den Datenschutz und die Informationsfrei-heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus-ihnen vorbehalten. Die Kosten für die einzelnen Amtshand- wirkungen auf Einzelpreise und das allgemeine Preisniveau,lungen der zuständigen Behörden können vom Bund und den insbesondere auf das Verbraucherpreisniveau, sind nicht zuLändern durch Kostenordnungen auf die Antragsteller abge- erwarten.wälzt werden.Vollzugsaufwand entsteht durch die Bildung eines Daten- VI. Auswirkungenschutzauditausschusses mit Vertretern aus Bund, Ländernund der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 1. Bürokratiebelastungen für die Wirtschafttragten für den Datenschutz und die Informationsfreiheit. Für die Wirtschaft werden 15 Informationspflichten neu ein-Die Tätigkeit der Vertreter erfolgt ehrenamtlich. geführt und eine Informationspflicht geändert.Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- Geändert wird die Informationspflicht in § 28 Absatz 3 desten für den Datenschutz und die Informationsfreiheit in Bundesdatenschutzgesetzes. Hier wird partiell die gesetz-einem Teilbereich durch die Überwachung der Kontrollstel- liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28len; ferner durch die Zulassung und die Entziehung der Zu- Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestelltlassung gegenüber den Kontrollstellen und die Führung auf eine Einwilligung. Damit entfällt in diesen Fällen dieeines Registers der angezeigten Datenschutzkonzepte und Hinweispflicht bei der Verwendung der Daten zu Gunsten ei-informationstechnischen Einrichtungen sowie der zugelasse- ner Einwilligung von ihrer Weitergabe. Durch diese Ände-nen Kontrollstellen. rung entstehen Bürokratiekosten von 9,65 Mio. Euro. DerFür den Vollzugsaufwand beim Bundesbeauftragten für den Betrag errechnet sich bei einer Fallzahl von 30 MillionenDatenschutz und die Informationsfreiheit können in Abhän- Kundenbeziehungen, in denen der Vertragspartner diesegigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Einwilligung anstrebt (insbesondere Verträge im Versand-Stellen sowie jährlich Haushaltsmittel in Höhe von rd. handel – 13,5 Millionen, Telekommunikation – 13,5 Millio-1,2 Mio. Euro für Personal- und Sachausgaben benötigt nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs-werden. Über die Ausbringung und Finanzierung dieser zeit von einer Minute pro Fall und einem Stundensatz vonPersonal- und Sachausgaben ist im Haushaltsaufstellungs- 19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl derverfahren 2010 zu entscheiden. Fälle bei einer elektronischen Abwicklung deutlich geringer sein. Die angenommene Minute beinhaltet daher auch Auf- wand zur Schulung von Mitarbeitern und zur UmstellungV. Kosten von Webseiten.Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Durch die übrigen neu eingeführten InformationspflichtenÜbergangsvorschrift künftig eine Einwilligung der Betroffe- entstehen insgesamt Bürokratiekosten von 493 761 Euro.nen einzuholen ist, um deren personenbezogene Daten fürZwecke der Werbung, Markt- oder Meinungsforschung zu Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda-verarbeiten und zu nutzen. Ferner können Kosten für die tenschutzgesetzes werden nichtöffentliche Stellen verpflich-Wirtschaft entstehen, soweit diese künftig verpflichtet sind, tet, Betroffene über die verantwortliche Stelle und das
  • 17. Deutscher Bundestag – 16. Wahlperiode – 19 – Drucksache 16/12011Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 Sofern ein Unternehmen sich entscheidet, als KontrollstelleNummer 1 auch bei Begründung des rechtsgeschäftlichen Kontrollen durchzuführen, erfolgt dies gegen angemesseneoder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- Vergütung. Die durch die Benennung der Vertreter für denrichten. § 42a des Bundesdatenschutzgesetzes verpflichtet Datenschutzauditausschuss und das Erzielen eines Einver-nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- nehmens über deren Person verursachten Kosten fallen nichttroffenen unverzüglich zu benachrichtigen, wenn bestimmte ins Gewicht und werden durch die Mitwirkung an der Er-sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt arbeitung des Prüfmaßstabs des Datenschutzauditverfahrenssind und schwerwiegende Beeinträchtigungen für die Rechte aufgewogen.oder schutzwürdigen Interessen der Betroffenen drohen. So-weit die Benachrichtigung der Betroffenen einen unverhält- 2. Bürokratiebelastungen für die Bürgerinnen und Bürgernismäßigen Aufwand erfordern würde, insbesondere auf- Für die Bürgerinnen und Bürger wird keine Informations-grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle pflicht neu eingeführt, geändert oder abgeschafft.die Information an die Öffentlichkeit durch Anzeigen, diemindestens eine halbe Zeitungsseite umfassen, in mindes- 3. Bürokratiebelastungen für die Verwaltungtens zwei bundesweit erscheinenden Tageszeitungen. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflichten geändert oderDas Datenschutzauditgesetz enthält für die Wirtschaft fol- abgeschafft.gende neue Informationspflichten: Diese Informationspflichten sind im Einzelnen:Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4Absatz 1) und kann diese auf einzelne Länder beschränken § 7 Absatz 1 Satz 2 Auskunftserteilung der zuständigen(§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann Datenschutzaudit- Behörden untereinanderihr eine Ausnahme von der Einbeziehung von einem Daten- gesetzschutzkonzept oder einer informationstechnischen Einrich- § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigentung in ihre Kontrollen gewährt werden (§ 6 Absatz 1 Nummer 1 Daten- Behörde zur Anregung der Ent-Satz 2). Jährlich hat die Kontrollstelle den zuständigen schutzauditgesetz ziehung der Zulassung oder Ände-Behörden ein Verzeichnis der nichtöffentlichen Stellen, die rung von Auflagen an den Bundes-am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- beauftragten für den Datenschutzden und bis zum 31. März jedes Jahres einen Bericht über und die Informationsfreiheitihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständigeKontrollstellen erteilen einander die für eine ordnungsge- Nummer 2 Daten- Behörde des Landesmäße Durchführung dieses Gesetzes notwendigen Aus- schutzauditgesetzkünfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigenregelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- Datenschutzaudit- Behörde zur Anregung eines Verfah-züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). gesetz rens der Entziehung der ZulassungSoweit eine Kontrollstelle im Rahmen der von ihr durchge- oder Änderung von Auflagen an denführten Kontrollen Tatsachen feststellt, die einen hinrei- Bundesbeauftragten für den Daten-chenden Verdacht auf Verstöße der in Satz 2 genannten Art schutz und die Informationsfreiheitbegründen, der eine nicht von der Kontrollstelle kontrol- § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus-lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle Datenschutzaudit- kunftspflichtigendie Tatsachen unverzüglich der Kontrollstelle mit, deren gesetzKontrolle die betroffene nichtöffentliche Stelle untersteht § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für(§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von Datenschutzaudit- Datenschutzkonzepte durch denihr kontrollierten nichtöffentlichen Stellen, die zuständigen gesetz Bundesbeauftragten für den Daten-Behörden sowie den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheitschutz und die Informationsfreiheit, bevor sie ihre Tätigkeit § 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Interneteinstellt, oder im Falle eines Antrags auf Eröffnung des Datenschutzaudit- und im elektronischen Bundes-Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent- gesetz anzeigerlichen Stellen sowie die Kontrollstellen haben den zuständi-gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses derAbsatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- Datenschutzaudit- zugelassenen Kontrollstellenzuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- gesetzwendung des Datenschutzauditsiegels ist das Datenschutz- § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internetkonzept oder die informationstechnische Einrichtung dem Datenschutzaudit- und im elektronischen Bundes-Bundesbeauftragten für den Datenschutz und die Informa- gesetz anzeigertionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). § 11 Absatz 1 Veröffentlichungspflicht der maß- Satz 3 Daten- geblichen Richtlinien im Internet undDie Summe der zu erwartenden Belastungen für die Wirt- schutzauditgesetz im elektronischen Bundesanzeigerschaft beträgt insgesamt 10,14 Mio. Euro. § 15 Absatz 2 Berichtspflicht an die Aufsichts-Die für die Wirtschaft entstehenden Kosten sind hinnehm- Satz 3 Daten- behördebar, weil das Datenschutzaudit freiwillig ist und es die Un- schutzauditgesetzternehmen daher von einer Wirtschaftlichkeitsbetrachtung § 15 Absatz 3 Pflicht der Genehmigung durch dieabhängig machen können, ob sie sich einem Audit mit den Satz 1 Daten- Aufsichtsbehördedamit ggf. einhergehenden Bürokratiekosten unterziehen. schutzauditgesetz
  • 18. Drucksache 16/12011 – 20 – Deutscher Bundestag – 16. WahlperiodeDie Informationspflichten für die Verwaltung sind für die bieter von Datenverarbeitungsanlagen und -programmen alssinnvolle Gestaltung des Datenschutzauditverfahrens uner- auch auf die verantwortlichen Stellen. Ohne die Eingren-lässlich. Sie sind auch hinnehmbar, weil die Stärkung des zung kämen auch öffentliche Stellen in Frage, die unter-Datenschutzes und die Förderung der Wirtschaft, die das Ge- einander nicht im Wettbewerb stehen und bei denen diesetz bewirkt, den nachteiligen Effekt der Bürokratiekosten Bürgerinnen und Bürger nur in den seltensten Fällen einüberwiegen. Wahlrecht hätten, eine auditierte gegenüber einer nicht auditierten Stelle zu bevorzugen. Das Ziel, mit einem bun- desweiten, gesetzlichen Datenschutzaudit wirtschaftlicheVII. Auswirkungen von gleichstellungspolitischer Anreize zur Verbesserung des Datenschutzes und der Daten- Bedeutung sicherheit anzubieten, um hiermit nach außen im Wettbe-Auswirkungen von gleichstellungspolitischer Bedeutung werb zu werben und sich einen Marktvorteil zu verschaffen,sind nicht zu erwarten. würde insoweit verfehlt. Soweit eine öffentliche Stelle andere Zwecke verfolgt, etwa eine erhöhte Akzeptanz der Bürgerinnen und Bürger bei der Inanspruchnahme einer B. Besonderer Teil E-Government-Anwendung, wird dies bereits ausreichend dadurch gewährleistet, dass mit einem Datenschutzauditsie-Zu Artikel 1 gel gekennzeichnete Datenschutzkonzepte und informa- tionstechnische Einrichtungen eingesetzt werden können.Zu § 1 (Datenschutzaudit) Darüber hinaus bestehen Umsetzungsschwierigkeiten, daDie Durchführung des Datenschutzaudits ist freiwillig. vorliegend nur Regelungen für öffentliche Stellen des Bun-Durch das Wort „können“ wird dies ausgedrückt. Es obliegt des getroffen werden könnten. Ausreichend ist daher, dassjedem Unternehmen zu entscheiden, ob den mit der Durch- es weiterhin für öffentliche Stellen möglich bleibt, auf Lan-führung des Datenschutzaudits verbundenen Kosten und desebene ein Datenschutzaudit einzuführen, wie es z. B. inMühen ein adäquater wirtschaftlicher Mehrwert aus der Ver- der Freien Hansestadt Bremen oder Schleswig-Holstein ge-wendung des Datenschutzauditsiegels im Rechts- und Ge- schehen ist.schäftsverkehr gegenübersteht. Gegenstand der Prüfung und Bewertung können Daten-Adressat des Datenschutzaudits sind Anbieter von Datenver- schutzkonzepte sowie informationstechnische Einrichtun-arbeitungsanlagen und -programmen für die von ihnen ange- gen sein. Ein Datenschutzkonzept ist eine geordnete Darstel-botenen Datenverarbeitungsanlagen und -programme und lung, auf welche Weise die Anforderungen des Datenschut-verantwortliche Stellen nach § 3 Absatz 7 des Bundesdaten- zes und der Datensicherheit erfüllt werden. Bezugspunkt fürschutzgesetzes hinsichtlich ihrer Datenschutzkonzepte. An- ein Datenschutzkonzept ist entweder eine verantwortlichebieter stellen anderen, auch unentgeltlich, eine Datenverar- Stelle oder ein abgrenzbarer Teilbereich hiervon (z. B. diebeitungsanlage oder ein Datenverarbeitungsprogramm oder IT-Abteilung, die Personalabteilung, das Archiv). Bezugs-beides zur Verfügung, sei es als Hersteller oder in anderer punkt kann auch ein Verfahren automatisierter VerarbeitungForm am Vermarktungsprozess Beteiligter. Datenverarbei- oder ein abgrenzbarer Teilbereich hiervon sein. Bestandteiltungsanlage (Hardware) und Datenverarbeitungsprogramm des Datenschutzkonzepts sind insbesondere der Inhalt der(Software) bilden zusammen ein Datenverarbeitungssystem. Meldepflicht nach § 4e Satz 1 des Bundesdatenschutzgeset-Sie sind gesondert aufgeführt, um zu verdeutlichen, dass zes, gegebenenfalls die Nennung des Beauftragten für denauch nur eine Datenverarbeitungsanlage oder nur ein Daten- Datenschutz sowie Angaben zu den verwendeten informa-verarbeitungsprogramm Auditgegenstand sein kann. Eine tionstechnischen Einrichtungen. Bestandteil der DarstellungDatenverarbeitungsanlage ist ein Gerät oder eine Baueinheit sind die getroffenen bzw. geplanten technischen und organi-zur Verarbeitung von Daten. Der Begriff findet sich bereits satorischen Maßnahmen nach § 9 des Bundesdatenschutzge-verschiedentlich im Bundesdatenschutzgesetz, z. B. in § 1 setzes, die nach der Anlage zu § 9 Satz 1 des Bundesdaten-Absatz 2 Nummer 3, § 3 Absatz 2 Satz 1, § 11 Absatz 5, schutzgesetzes auch die Ausgestaltung der innerbetrieb-§ 14 Absatz 4, § 18 Absatz 2 Satz 1, § 27 Absatz 1 Satz 1, lichen Organisation umfassen. Bestandteil ist auch ein§ 31 und Nummer 1 der Anlage zu § 9 Satz 1 und anderen Sicherheitskonzept, das eine Analyse der bestehenden Risi-Bundesgesetzen, z. B. in § 9 Absatz 1 Satz 2 des Antiterror- ken enthält, eine Schutzzweckbeschreibung, die Beschrei-dateiengesetzes, § 9 Absatz 2 Satz 21 des Ausländerzentral- bung der Maßnahmen zur technischen und organisatorischenregistergesetzes oder § 11 Absatz 6 Satz 2 des Bundeskri- Sicherheit und die verbleibenden Risiken. Eine informati-minalamtsgesetzes. Datenverarbeitungsprogramme steuern onstechnische Einrichtung ist eine Hardware oder Software,die automatisierte Verarbeitung personenbezogener Daten. mit der eine verantwortliche Stelle die personenbezogenenAuch dieser Begriff findet sich neben § 9a bereits verschie- Daten automatisiert verarbeitet.dentlich im Bundesdatenschutzgesetz, z. B. in § 4g Absatz 1 Die Unternehmen können den Gegenstand des Audits selbstSatz 4 Nummer 1, § 24 Absatz 4 Satz 2 Nummer 1 und § 38 bestimmen und z. B. auf abgrenzbare Teilbereiche beschrän-Absatz 4 Satz 2 sowie in anderen Bundesgesetzen, z. B. in ken. Nicht nur die Durchführung des Audits überhaupt, son-§ 4 Absatz 2 Nummer 3 des Außenwirtschaftsgesetzes (der dern auch sein Umfang unterliegen auch wegen der damitdas Synonym „Software“ verwendet). verbundenen Kosten-Nutzen-Abwägung der Dispositions-Einem Datenschutzaudit können sich Anbieter von Daten- freiheit der Unternehmen. Die Überprüfung eines gesamtenverarbeitungsanlagen und -programmen und verantwort- Unternehmens im Rahmen eines Datenschutzaudits wird inliche Stellen unterziehen, sofern sie „nichtöffentliche Stelle aller Regel eine zu große Komplexität für eine Kontrolle auf-im Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes weisen und ist allenfalls bei sehr kleinen Unternehmen vor-sind“. Die Einschränkung bezieht sich sowohl auf die An- stellbar, bei denen personenbezogene Daten nur zu einem
  • 19. Deutscher Bundestag – 16. Wahlperiode – 21 – Drucksache 16/12011Zweck oder wenigen klar umrissenen Zwecken durch ein tung der Gesetze erlaubt. Ein Datenschutzkonzept oder eineeinziges oder wenige einfach aufgebaute automatisierte Ver- informationstechnische Einrichtung muss nicht alle durchfahren erhoben und verwendet werden. den Datenschutzauditausschuss erlassenen Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit er-Satz 2 verdeutlicht in Verbindung mit den §§ 3 und 11 die füllen, sondern nur die für dieses Datenschutzkonzept oderVoraussetzungen, unter denen ein Datenschutzkonzept oder diese informationstechnische Einrichtung geltenden. Soferneine informationstechnische Einrichtung mit einem Daten- Richtlinien branchen- oder situationsspezifisch ausgerichtetschutzauditsiegel gekennzeichnet werden darf. sind, z. B. für den Bereich der Telekommunikationsunter-Nach Nummer 1 sind die Vorschriften zum Schutz perso- nehmen oder beschränkt auf Vorgaben der Protokollierung,nenbezogener Daten bei der Datenverarbeitung einzuhalten, finden sie keine Anwendung außerhalb dieses Bereichs oderfür die das Datenschutzkonzept oder die informationstech- sofern eine Protokollierung nicht erfolgt.nische Einrichtung vorgesehen ist. Grundlage für die Ver- Nach Nummer 3 ist Voraussetzung für die Kennzeichnungwendung ist also, dass die Datenverarbeitung, die Gegen- mit einem Datenschutzauditsiegel, dass Anbieter im Inlandstand des Datenschutzkonzepts oder der informationstech- die Vorschriften des Bundesdatenschutzgesetzes über dienischen Einrichtung ist, vor Ort gesetzeskonform und im organisatorische Stellung des Beauftragten für den Daten-Einklang mit den Vorgaben der europäischen Datenschutz- schutz einhalten. Hierzu gehört insbesondere § 4f Absatz 3richtlinie 95/46/EG betrieben wird. Andernfalls darf auch und 5 des Bundesdatenschutzgesetzes. Nicht hierzu gehörenbei formaler Erfüllung der Richtlinien zur Verbesserung des die Vorschriften über seine fachliche Eignung; für das Be-Datenschutzes und der Datensicherheit nach Nummer 2 kein rufsbild des Beauftragten für den Datenschutz bestehen der-Datenschutzauditsiegel verwendet werden. Die Einhaltung zeit noch keine tauglichen Kriterien. Zwar muss ein Unter-der Vorschriften über den Datenschutz ist – vorbehaltlich nehmen, um ein Datenschutzauditsiegel zu verwenden, nichtder Nummer 3 – auf die Datenverarbeitung des Auditgegen- nachweisen und ständig kontrollieren lassen, dass es insge-stands beschränkt und nicht auf das Unternehmen als Adres- samt die Vorschriften über den Datenschutz einhält. Diesesaten des Audits insgesamt. Für die Kontrollstelle wäre es in Aufgabe obliegt innerbetrieblich nach § 4g Absatz 1 Satz 1aller Regel praktisch nicht umsetzbar, das Unternehmen als des Bundesdatenschutzgesetzes dem Beauftragten für denGanzes auf die Einhaltung der Vorschriften über den Daten- Datenschutz. Dieser kann seiner Aufgabe jedoch nur nach-schutz zu überprüfen. Dies wäre unter Umständen auch kommen und nach § 3 Satz 2 in die Durchführung des Kon-nicht angemessen, wenn das Unternehmen lediglich für ein trollverfahrens einbezogen werden, sofern seine organisato-auf eine einzelne Datenverarbeitung bezogenes Daten- rische Stellung gesetzeskonform ausgestaltet ist und er z. B.schutzkonzept oder bezogene informationstechnische Ein- die zur Erfüllung seiner Aufgaben erforderlichen Räume,richtung ein Datenschutzauditsiegel begehrt. Der Begriff der Einrichtungen und Geräte zur Verfügung hat. Die Vorausset-„Datenverarbeitung“ meint nicht den Begriff der „Verarbei- zungen für die Bestellung eines Beauftragten für den Daten-tung“ nach § 3 Absatz 4 des Bundesdatenschutzgesetzes, da schutz nach dem Bundesdatenschutzgesetz bleiben durch dieauch die Erhebung oder Nutzung personenbezogener Daten Regelung unberührt. Die Regelung führt nicht zu einer ab-Gegenstand des Auditgegenstandes sein kann. weichenden Verpflichtung zur Bestellung bei DurchführungNach Nummer 2 muss der Auditgegenstand die vom Daten- eines Datenschutzaudits.schutzauditausschuss beschlossenen und veröffentlichten Nach Nummer 4 ist Voraussetzung für die KennzeichnungRichtlinien zur Verbesserung des Datenschutzes und der mit einem Datenschutzauditsiegel, dass die Nummern 1 bis 3Datensicherheit nach § 11 Absatz 1 erfüllen. Ein Daten- nach § 3 kontrolliert werden. Damit wird dem Umstandschutzauditsiegel, das bereits für die Einhaltung der Vor- Rechnung getragen, dass Auditgegenstand sehr unterschied-schriften über den Schutz personenbezogener Daten liche und kurzlebige Verfahren und Produkte vor allem aus(Gesetzeskonformität) erlangt werden kann, birgt verschie- der dynamischen Informations- und Kommunikations-dene Probleme. Die Einhaltung der geltenden Gesetze wird branche sein werden. Die Vergabe eines Datenschutzaudit-von jedem Unternehmen erwartet und bedarf daher keiner siegels aufgrund einer einmaligen Überprüfung läuft inso-Auszeichnung. Ein solches Datenschutzauditsiegel hätte für weit Gefahr, bereits kurze Zeit nach Abschluss desdie Unternehmen auch keinen marktwirtschaftlichen Mehr- Verfahrens überholt zu sein. Normenklare Kriterien, wannwert gegenüber Wettbewerbern. Auf die Verbraucherinnen und in welcher Intensität unter diesen Umständen ein erneu-und Verbraucher hätte es im Gegenteil eine missverständ- tes Verfahren durchzuführen ist, lassen sich nur schwer be-liche Wirkung, da diese hinter einer staatlichen Auszeich- stimmen. Ein wiederholtes Verfahren mit Prüfungen nähertnung eine überdurchschnittliche Leistung vermuten. Die sich in tatsächlicher Hinsicht einem regelmäßigen Kontroll-Einhaltung der datenschutzrechtlichen Vorschriften bei den verfahren an. Dieses bietet mehr Flexibilität für die Durch-Unternehmen wird zudem bereits durch den Beauftragten für führung der Kontrollen durch die Kontrollstellen und durchden Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- die Einbeziehung in das Kontrollsystem mehr Rechtssicher-schutzgesetzes und die Aufsichtsbehörden nach § 38 des heit für das Unternehmen bei der Verwendung des Daten-Bundesdatenschutzgesetzes kontrolliert. Ein auf die Geset- schutzauditsiegels. Für das Kontrollverfahren wird auf diezeskonformität beschränktes Datenschutzauditsiegel liefe Ausführungen zu § 3 verwiesen.damit Gefahr, die bestehenden Kontrollen zu entwerten oderzumindest eine Verfahrensdoppelung herbeizuführen. Es be- Soweit öffentliche Stellen als öffentlich-rechtliche Unter-stünde zudem die Gefahr, dass die Freiwilligkeit des Audit- nehmen am Wettbewerb teilnehmen, finden auf sie nach § 27verfahrens in einen faktischen Zwang umschlägt, weil ein Absatz 1 Satz 1 Nummer 2 des BundesdatenschutzgesetzesUnternehmen ohne ein Datenschutzauditsiegel für die Ein- dieselben Vorschriften Anwendung wie auf nichtöffentlichehaltung der Gesetze den Rückschluss auf die Nichteinhal- Stellen. Sie sind diesen gleichgestellt. Im Wettbewerb mit
  • 20. Drucksache 16/12011 – 22 – Deutscher Bundestag – 16. Wahlperiodenichtöffentlichen Stellen soll ihnen kein Nachteil durch die mit dem Datenschutzauditsiegel erfolgt. Mit dieser Ausge-strengeren Regelungen für öffentliche Stellen entstehen. Aus staltung soll das in Deutschland und der überwiegenden Zahldieser wettbewerbsbedingten Gleichstellung folgt, dass auch der Mitgliedstaaten der Europäischen Union seit längeremöffentlich-rechtlichen Wettbewerbsunternehmen die Mög- praktizierte und funktionierende System auf dem Gebiet deslichkeit eröffnet werden muss, sich durch ein Daten- ökologischen Landbaus für den Bereich des Datenschutzesschutzauditsiegel einen werbewirksamen Marktvorteil ge- nutzbar gemacht werden.genüber seinen nichtöffentlichen Konkurrenten zu verschaf-fen. Nach Satz 2 ist der Beauftragte für den Datenschutz gemäß § 4f Absatz 1 Satz 1 des Bundesdatenschutzgesetzes in dieZu § 2 (Zuständigkeit) Durchführung der Kontrollen einzubeziehen. Damit soll sei- ner zentralen Rolle innerhalb des Unternehmens bei der Ein-Zu Absatz 1 haltung des Bundesdatenschutzgesetzes und anderer Vor-Die Regelung der Behördenzuständigkeit bleibt hier grund- schriften über den Datenschutz, insbesondere im Rahmensätzlich – soweit nichts anderes bestimmt wird – den Län- der Vorabkontrolle Rechnung getragen werden. Die Einbe-dern überlassen. Das Verfahren der Kontrolle soll mit § 3 in ziehung des Beauftragten für den Datenschutz in die Durch-weitem Umfang zugelassenen privaten Kontrollstellen über- führung von Kontrollen durch unternehmensexterne Stellentragen werden. Zu weiteren Einzelheiten wird auf die Aus- sollte vor dem Hintergrund seiner gesetzlichen Aufgabenführungen zu § 3 verwiesen. Satz 2 dient der Anpassung der und sachlichen Kompetenz selbstverständlich sein. Die Re-Zuständigkeitsverteilung an die spezialgesetzliche Regelung gelung hat daher vorwiegend klarstellenden Charakter. Derin § 115 Absatz 4 des Telekommunikationsgesetzes und § 42 Beauftragte für den Datenschutz wird bereits jetzt bei Kon-Absatz 3 des Postgesetzes. Danach ist der Bundesbeauftrag- trollen der Aufsichtsbehörden einbezogen. Wie dort umfasstte für den Datenschutz und die Informationsfreiheit zustän- die Einbeziehung etwa die Vorbereitung und Koordinationdige Aufsichtsbehörde für den Datenschutz, soweit für die der zur Durchführung der Kontrollen notwendigen Arbeits-geschäftsmäßige Erbringung von Post- oder Telekommuni- schritte, von der Bestandsaufnahme über die Aufbereitungkationsdiensten Daten zu natürlichen oder juristischen Per- der erforderlichen Unterlagen und Vermittlung von An-sonen erhoben oder verwendet werden. sprechpartnern im Betrieb bis hin zur Begleitung der Besei- tigung von festgestellten Mängeln. Die Einbeziehung in die Durchführung der Kontrollen verdeutlicht, dass der Be-Zu Absatz 2 auftragte für den Datenschutz nicht selbst, etwa seine Eig-Mit Absatz 2 werden bestimmte Aufgaben beim Bundesbe- nung, Gegenstand der Kontrolle ist. Satz 2 lässt im Übrigenauftragten für den Datenschutz und die Informationsfreiheit die Regelungen zur Bestellung eines Beauftragten für dengebündelt. Eine Vielzahl von Unternehmen, für die das Da- Datenschutz nach dem Bundesdatenschutzgesetz unberührttenschutzaudit interessant ist, haben Niederlassungen in ver- und führt nicht zu einer abweichenden Verpflichtung zur Be-schiedenen Ländern und sind interessiert, sich nur von einer stellung bei Durchführung eines Datenschutzaudits.Kontrollstelle kontrollieren zu lassen. Auch die Kontrollstel-len haben ein Interesse an einer länderübergreifenden Tätig- Das Verfahren der Kontrolle muss die in der Verordnungkeit. Dafür ist eine grundsätzlich bundesweit geltende Zulas- nach § 16 Absatz 3 Nummer 3 näher auszuführenden Min-sung erforderlich, die mit dem Ziel eines effizienten destkontrollanforderungen und im Rahmen des Kontrollver-Verfahrens nur von einer zentralen, mit alleiniger Entschei- fahrens vorgesehenen Vorkehrungen erfüllen. Dabei ist derdungskompetenz ausgestatteten Stelle erteilt werden kann. dort vorzusehende Kontrollrahmen mit Rücksicht auf dieDas Zulassungsverfahren und die Entscheidung über die konkreten Bedingungen im Zusammenspiel von Kontroll-Entziehung der Zulassung einer Kontrollstelle sollen durch stelle und kontrollierter Stelle zu spezifizieren. Die Art undden Bundesbeauftragten für den Datenschutz und die Infor- Häufigkeit der Kontrollen sollen sich nach Satz 3 nach demmationsfreiheit wahrgenommen werden. Folgerichtig ist Risiko des Auftretens von Verstößen gegen dieses Gesetz,auch die Zuständigkeit für die Vergabe einer Kennnummer die auf Grund dieses Gesetzes erlassenen Rechtsverordnun-an die zugelassenen Kontrollstellen dem Bundesbeauftrag- gen und die für den Auditgegenstand geltenden Richtlinienten für den Datenschutz und die Informationsfreiheit zuzu- zur Verbesserung des Datenschutzes und der Datensicherheitweisen. Zu Einzelheiten des Verfahrens der Zulassung und nach § 11 Absatz 1 bestimmen.der Entziehung der Zulassung wird auf die Ausführungen zu Die Sätze 4 und 5 legen neben der risikobasierten Häufigkeit§ 4 Absatz 1 und 4 verwiesen. der Kontrollen die Mindesthäufigkeit der Kontrollen fest. Je- des in das Kontrollsystem einbezogene Unternehmen sollZu § 3 (Kontrollen) nach der Anzeige der Verwendung des Datenschutzaudit-Nachdem in § 2 Absatz 1 Satz 1 und 2 die Zuständigkeit der siegels an den Beauftragten für den Datenschutz und die In-Länder und des Bundesbeauftragten für den Datenschutz formationsfreiheit nach § 9 Absatz 1 Satz 1, sobald es derund die Informationsfreiheit für die Durchführung des Ge- ordnungsgemäße Geschäftsbetrieb der Kontrollstelle er-setzes klargestellt ist, soll Satz 1 dem Bestreben nach einer laubt, einer ersten Kontrolle und vor Ablauf von zwölfmöglichst weitgehenden Aufgabenerledigung durch Private Monaten nach dem Abschluss dieser Erstkontrolle einer wei-Rechnung tragen, ohne besonders einschneidende hoheit- teren, zweiten Kontrolle unterzogen werden. Im Anschlussliche Entscheidungen aus dem behördlichen Aufgabenbe- an die zweite Kontrolle ist es aufgrund der dann vorhande-reich auszugliedern. Vom behördlichen Aufgabenbereich er- nen Kenntnisse über das Datenschutzkonzept oder die infor-fasst sind insbesondere die Maßnahmen nach § 7 Absatz 2, mationstechnische Einrichtung gerechtfertigt, die Mindest-mit denen die zuständigen Behörden sicherstellen, dass bei häufigkeit der Kontrollen auf 18 Monate auszudehnen,Unregelmäßigkeiten oder Verstößen keine Kennzeichnung zumal die Möglichkeit, zusätzliche Kontrollen vorzuneh-
  • 21. Deutscher Bundestag – 16. Wahlperiode – 23 – Drucksache 16/12011men, z. B. wenn Verstöße aufgetreten sind, unberührt bleibt. Zu Absatz 3Die Mindesthäufigkeit der Kontrollen soll nach drei Jahren Verfahren im Hinblick auf den Entzug der Zulassung einermit Blick auf Auswirkungen und Effektivität evaluiert wer- unzuverlässig arbeitenden Kontrollstelle können einen er-den. heblichen Zeitraum in Anspruch nehmen. In dieser Zeit istDie auf Grundlage des Bundesdatenschutzgesetzes und der die Kontrollstelle in der Regel weiterhin tätig und stellt einDatenschutzgesetze der Länder durchgeführten Kontrollen Risikoelement für die Integrität des Kontrollsystems und diebleiben unberührt. Aussagekraft des Datenschutzauditsiegels dar. Damit die zu- ständigen Behörden im Bedarfsfall schnell und effektiv ein-Zu § 4 (Zulassung der Kontrollstelle und Entziehung der greifen können, bieten Befristungen, Bedingungen, Auf- Zulassung) lagen und Widerrufsvorbehalte die Möglichkeit, entspre- chende Vorkehrungen zu treffen, um dem entgegenzuwirkenZu Absatz 1 und die Belange des Datenschutzes sicherzustellen. DurchWerden wesentliche Teile des Kontrollverfahrens auf Private die Wörter „soweit die Funktionsfähigkeit des Kontrollsys-übertragen, muss die Zulassung der Privaten vorgeschrieben tems“ dies erfordert, soll auch der landesrechtlichen Mög-sein, um die ordnungsgemäße Aufgabenerledigung durch lichkeit zur Beleihung oder Mitwirkung durch eine Neben-diese sicherzustellen und zu gewährleisten, dass die an sie bestimmung bei der Zulassung der Kontrollstelle Rechnunggestellten Anforderungen erfüllt werden. Die Kontrollstellen getragen werden. Eine Zulassung, mit der die Befähigungbilden den Kern des Kontrollsystems. Von der Qualität ihrer einer Kontrollstelle zur Wahrnehmung der KontrollaufgabenTätigkeit hängen die Zuverlässigkeit sowie die Funktion des festgestellt wird, kann ihre Wirkungen nur unter der Bedin-gesamten Kontrollverfahrens und damit das Niveau der gung entfalten, dass die Aufgabenübertragung in dem betref-Auditierung maßgeblich ab. Diesen Erfordernissen trägt § 4 fenden Land erfolgt. Die Bereitschaft einer Kontrollstelle,Absatz 1 Rechnung. Nach Satz 1 Nummer 1 sind Kontroll- sich den Landesbestimmungen zur Beleihung oder Mitwir-stellen zuzulassen, wenn ihr Leitungspersonal und die für kung zu unterwerfen, ist Kriterium dafür, ob die Kontroll-Kontrollen verantwortlichen Beschäftigten über die erfor- stelle zu einer ordnungsgemäßen und koordinierten Durch-derliche persönliche Zuverlässigkeit, Unabhängigkeit und führung des Kontrollverfahrens in der Lage ist. Dem folgtfachliche Eignung verfügen, die näher in § 5 aufgeführt ist. Absatz 3, indem er der für die Zulassung der KontrollstellenNach Satz 1 Nummer 2 muss die Kontrollstelle in organisa- zuständigen Behörde, dem Bundesbeauftragten für den Da-torischer Hinsicht akkreditiert sein, wie in anderen Berei- tenschutz und die Informationsfreiheit, die Möglichkeit er-chen bereits praktiziert. Als angemessene und anerkannte öffnet, die Zulassung mit Nebenbestimmungen zu versehen.Akkreditierungsgrundlage kommt für Datenschutzkonzeptez. B. die ISO/IEC 17021:2006 (Anforderungen an Stellen, Zu Absatz 4die Managementsysteme auditieren und zertifizieren) oder Ein Entzug der Zulassung ist in zwei Konstellationen zuläs-für den Bereich der informationstechnischen Einrichtungen sig: Wenn die Kontrollstelle die Voraussetzungen nachz. B. die DIN EN 45011 (Allgemeine Anforderungen an Absatz 1 Satz 1 Nummer 1, 2 oder 4 für die Zulassung nichtStellen, die Produktzertifizierungssysteme betreiben) oder mehr erfüllt und wenn sie Verpflichtungen nach diesem Ge-die ISO/IEC 17025:2005 (Allgemeine Anforderungen an die setz oder einer aufgrund dieses Gesetzes erlassenen Rechts-Kompetenz von Prüf- und Kalibrierlaboratorien) in Frage. verordnung in schwerwiegender Weise nicht nachkommt.Näheres regelt die nach § 16 Absatz 3 Nummer 2 zu erlas- Die Hervorhebung der Verpflichtungen nach § 6 oder § 8sende Rechtsverordnung. Nach Satz 1 Nummer 3 und 4 wird Absatz 3 erfolgt, da diese für das Kontrollsystem insgesamtneben der Entrichtung der für die Zulassung erhobenen Ge- von besonderer Bedeutung sind. Die Eingrenzung auf Ver-bühren das Unterhalten des Sitzes oder einer Niederlassung pflichtungen, denen in schwerwiegender Weise nicht nach-im Bundesgebiet zur Bedingung für die Zulassung gemacht. gekommen wird, soll verdeutlichen, dass nicht jede Unregel-Nur unter dieser Bedingung lässt sich die Aufsicht über die mäßigkeit der Kontrollstelle die besonders schwere SanktionKontrollstellen, die den zuständigen Behörden im Einzelnen des Entzugs der Zulassung nach sich ziehen soll, z. B. dann,auferlegt ist, zuverlässig und wirksam sicherstellen. wenn die Unregelmäßigkeit nicht verschuldet ist, erstmaligNach Satz 2 wird der Kontrollstelle mit der Zulassung eine auftritt oder substanzielle Änderungen nach sich gezogenKennnummer zugeteilt, über die ein mit einem Daten- hat.schutzauditsiegel gekennzeichnetes Datenschutzkonzeptoder eine informationstechnische Einrichtung auf die Kon- Zu § 5 (Anforderungen an das Personal der Kontrollstelle)trolle einer bestimmten Kontrollstelle zurückgeführt werdenkann. Die Vorschrift regelt im Einzelnen die Anforderungen an Kontrollstellen zum Nachweis der nach § 4 Absatz 1 Nummer 1 geforderten erforderlichen Zuverlässigkeit, Un-Zu Absatz 2 abhängigkeit und fachlichen Eignung. Sie orientiert sich anAbsatz 2 Satz 1 regelt die mit der zentralen Zulassung durch den Regelungen der §§ 5 bis 7 des Umweltauditgesetzes zuden Bundesbeauftragten für den Datenschutz und die Infor- der von Umweltgutachtern geforderten Zuverlässigkeit, Un-mationsfreiheit eröffnete Möglichkeit, eine bundesweite Zu- abhängigkeit und Fachkunde und der von Beauftragten fürlassung zu erteilen. Satz 2 reduziert Verwaltungsaufwand bei den Datenschutz nach § 4f Absatz 1 Satz 1 geforderten Zu-solchen Kontrollstellen, die nur in einem beschränkten Ge- verlässigkeit und erforderlichen Fachkunde sowie vergleich-biet tätig sein wollen. Die Kontrollstellen unterliegen dann in baren Landesregelungen. Die Anforderungen werden an dasLändern, in denen sie nicht zugelassen sind, auch nicht dem Leitungspersonal der Kontrollstelle und die für KontrollenKontrahierungszwang nach § 6 Absatz 1. verantwortlichen Beschäftigen gestellt. Eine Beschränkung
  • 22. Drucksache 16/12011 – 24 – Deutscher Bundestag – 16. Wahlperiodeallein auf das Leitungspersonal birgt die Gefahr, dass die Nach Satz 2 hat die Kontrollstelle über bei ihrer Tätigkeitkonkret für die Kontrolle verantwortlichen Beschäftigten, festgestellte Verstöße gegen die in § 1 Satz 2 Nummer 1z. B. mangels fachlicher Eignung, die Erfüllung der Richt- bis 3 genannten Vorschriften unverzüglich die zuständigelinien zur Verbesserung des Datenschutzes und der Daten- Behörde zu unterrichten. Korrespondierend mit dieser aus-sicherheit nicht überprüfen oder bestätigen können. Eine Er- nahmslosen Unterrichtung an die zuständige Behörde ist esstreckung der Anforderungen auf weitere Beschäftigte, die deren Ermessensentscheidung nach § 7 Absatz 2, inwieweitkeine Verantwortung für die Kontrollen tragen, ist nicht er- weiterhin eine Kennzeichnung erfolgen darf. Die Entschei-forderlich und angemessen. dung, wie sich ein Verstoß auswirkt, soll aufgrund der Trag- weite die zuständige Behörde treffen und nicht die privateZu § 6 (Pflichten der Kontrollstelle) Kontrollstelle. Dies führt auch zu größerer Einheitlichkeit und Systemgerechtigkeit insgesamt, da es nur 16 Landesbe-Zu Absatz 1 hörden und den Bundesbeauftragten für den DatenschutzAbsatz 1 Satz 1 gibt dem Unternehmen einen Anspruch und die Informationsfreiheit als zuständige Behörden gibt,darauf, in das Kontrollsystem einbezogen zu werden, wenn jedoch eine im Einzelnen noch nicht abzuschätzende Viel-es die Bestimmungen des Gesetzes einhält und seinen Bei- zahl von Kontrollstellen. Ein eingeschränkter Informations-trag zu den Kosten des Kontrollverfahrens entrichtet. Der fluss zwischen zuständiger Behörde und Kontrollstelle be-tatsächlichen Zulassung der Kontrollstelle in dem betroffe- rührt auch das System der Aufgabenübertragung. Einenen Land soll die Regelung nach § 4 Absatz 3 Satz 1 (soweit zuständige Behörde wird im Zweifel keine Aufgaben an einedie Funktionsfähigkeit des Kontrollsystems dies erfordert) Kontrollstelle übertragen, wenn sie nicht vollständig infor-Rechnung tragen. Nach dieser Bestimmung kann die Zulas- miert wird. Die Unterrichtung über Verstöße an die zuständi-sung auf Antrag auf einzelne Länder beschränkt oder für ge Behörde dient ferner dem Aufbau von ErfahrungswissenLänder, in denen eine Beleihung vorgesehen ist, unter der über Probleme am Markt und damit der Qualitätssicherungaufschiebenden Bedingung erteilt werden, dass die Belei- der Verfahren.hung erfolgt. Es besteht insoweit im zweiten Fall die Mög- Mit Satz 3 sollen die Melde- und Informationspflichten derlichkeit, dass eine Kontrollstelle in bestimmten Ländern, so- Kontrollstellen für den Fall präzisiert werden, dass sich einlange die aufschiebende Bedingung nicht eintritt, nicht zur begründeter Verdacht auf Verstöße gegenüber einem nichtDurchführung von Kontrollen zugelassen ist. Diese Tatsache von dieser Kontrollstelle kontrollierten Unternehmen ergibt.ist als Ausnahme von der Verpflichtung zu berücksichtigen. Satz 3 macht zudem deutlich, dass sich die Kontrollstelle beiWeitere von der Kontrollstelle vorgebrachte Gründe für eine gegebener Veranlassung auch mit der Frage zu befassen hat,Ablehnung des Verlangens eines Unternehmens, in die Kon- ob die bei dem kontrollierten Unternehmen festgestelltentrollen einbezogen zu werden, sollen nach Satz 2 Nummer 1 Verstöße ihren Ursprung bei einem anderen Unternehmenunter den Entscheidungsvorbehalt der nach Landesrecht zu- haben. Dieser Frage ist immer dann nachzugehen, wenn dieständigen Behörde gestellt werden. Der Kontrahierungs- Feststellungen der Kontrollstelle eine Zuwiderhandlung beizwang für die Kontrollstellen kann nur dann gelockert wer- einem vorgelagerten Arbeitsschritt erkennen lassen, so dassden, wenn die Kontrolle durch andere Kontrollstellen eine Rückverfolgung notwendig ist. Unterliegt das für densichergestellt ist. Diesem Erfordernis soll in Nummer 2 vorgelagerten Arbeitsschritt verantwortliche UnternehmenRechnung getragen werden, indem diese Sicherstellung der ebenfalls der Überwachung durch die Kontrollstelle, gilt derDurchführung des Kontrollverfahrens für das Unternehmen Satz unmittelbar. Ist das nicht der Fall, muss die Kontroll-als Voraussetzung für die Ausnahme vom Kontrahierungs- stelle die nach Landesrecht zuständige Behörde für das fürzwang formuliert wird. den vorgelagerten Arbeitsschritt verantwortliche Unterneh- men über ihre Feststellungen unterrichten. Soll ein Daten-Zu Absatz 2 schutzauditsiegel z. B. für ein DatenverarbeitungssystemDie Kontrollstelle übermittelt den zuständigen Behörden verwendet werden, das teilweise auf Geräten oder Datenver-jährlich bis zum 31. Januar ein Verzeichnis der Unterneh- arbeitungsprogrammen mit Datenschutzauditsiegel basiertmen, die am 31. Dezember des Vorjahres ihrer Kontrolle un- oder diese mit einbezieht und ergibt sich für die Kontrollstel-terstanden. Die Kontrollstelle legt ferner bis zum 31. März le in Bezug auf diese Geräte oder Datenverarbeitungspro-jedes Jahres einen zusammenfassenden Bericht über die im gramme ein begründeter Verdacht auf Verstöße, die jedochVorjahr ausgeführte Kontrolltätigkeit vor. Dabei sind insbe- Unternehmen außerhalb seiner Zuständigkeit betreffen, sosondere alle festgestellten Abweichungen und Verstöße so- hat die Kontrollstelle die zuständige Kontrollstelle zu unter-wie die getroffenen Maßnahmen zu dokumentieren. richten. Diese Pflicht muss schon bei dem begründeten, d. h. auf Tatsachen gestützten Verdacht eines Verstoßes eingrei-Zu Absatz 3 fen, weil die unterrichtende Kontrollstelle mangels eigener Zuständigkeit keine abschließende Prüfung bei dem für denDie in Absatz 3 vorgesehene Mitteilungspflicht wird den vorgelagerten Arbeitsschritt verantwortlichen UnternehmenKontrollstellen auferlegt, damit das Sanktionssystem mit durchführen kann.arbeitsteiliger Aufgabenwahrnehmung zwischen privaterKontrollstelle und zuständiger Behörde funktioniert. Zu Absatz 4Satz 1 soll die direkte und effektive Zusammenarbeit derKontrollstellen zur ordnungsgemäßen Durchführung des Absatz 4 enthält Vorschriften zum Schutz der kontrollunter-Kontrollsystems sicherstellen. Die Bestimmung entbindet worfenen Unternehmen, denen im Fall der Einstellung derdie Kontrollstellen nicht von ihrer Meldepflicht gegenüber Tätigkeit der sie bisher kontrollierenden Stelle, auch im Falleden zuständigen Behörden nach Satz 2. einer Insolvenz, Gelegenheit gegeben werden soll, die wei-
  • 23. Deutscher Bundestag – 16. Wahlperiode – 25 – Drucksache 16/12011tere Teilnahme am Kontrollverfahren – möglichst ohne zeit- Zu Absatz 2liche Unterbrechung – sicherzustellen. Da die aufgeführten hoheitlichen Maßnahmen erheblich in die Rechte der betroffenen Unternehmen eingreifen, sollenZu § 7 (Pflichten der zuständigen Behörde) sie grundsätzlich den nach Landesrecht zuständigen Behör- den bzw. im Rahmen des § 2 Absatz 1 Satz 2 dem Bundes-Zu Absatz 1 beauftragten für den Datenschutz und die Informations- freiheit vorbehalten bleiben. Dabei ist den zuständigenMit Absatz 1 soll das arbeitsteilige Verfahren der Über- Behörden Ermessen eingeräumt, ob und in welcher Weise siewachung der in den einzelnen Ländern tätigen Kontrollstel- vorgehen. Bei der Ermessensentscheidung sollen unter ande-len durch die zuständigen Behörden geregelt werden. rem die Bedeutung der Vorschrift, gegen die verstoßen wur-Die zuständige Behörde veranlasst nach Satz 1 bei Bedarf de, sowie die Art und die besonderen Umstände des Versto-Überprüfungen und Inspektionen der Kontrollstelle. Der- ßes einbezogen werden, z. B. auch der Umstand, dass derartige Überprüfungen können auch ohne Anlass erfolgen. Verstoß bereits beseitigt worden ist. Bei schwerwiegenden Verstößen oder Verstößen mit Langzeitwirkung kann dieSatz 2 regelt die gegenseitigen Unterrichtungs- und Aus- Kennzeichnung für einen von der zuständigen Behörde be-kunftspflichten der zuständigen Behörden im Rahmen der stimmten Zeitraum untersagt werden, z. B. weil es zunächstÜberwachung der Kontrollstellen. Die Vorschrift stellt die erforderlich ist, ein Produkt oder Verfahren technisch nach-notwendige Ergänzung für eine sachgerechte und wirksame zubessern oder organisatorische Maßnahmen umzusetzen.Überwachung im Hinblick auf die Regelung in § 2 Absatz 2dar, nach der die Kontrollstellen nach Zulassung durch denBundesbeauftragten für den Datenschutz und die Informa- Zu § 8 (Überwachung)tionsfreiheit grundsätzlich bundesweit tätig werden können. Zur Durchführung der Überwachung des Datenschutzaudit-Der Entzug der Zulassung einer Kontrollstelle nach § 4 gesetzes und der auf Grund dieses Gesetzes erlassenenAbsatz 4 resultiert regelmäßig aus dem Überwachungsver- Rechtsverordnungen ist es erforderlich, dass den hierzu Be-fahren, das nach Satz 1 den zuständigen Behörden der Län- auftragten auf Verlangen die entsprechenden Auskünfte er-der obliegen soll. teilt werden. Ferner sind sie mit entsprechenden Rechten,Damit der Bundesbeauftragte für den Datenschutz und die insbesondere dem Betretungs- und Besichtigungsrecht so-Informationsfreiheit über den Entzug der Zulassung ent- wie dem Einsichts- und Prüfungsrecht auszustatten, denenscheiden kann, muss die für die Überwachung zuständige entsprechende Rechte und Pflichten der Betroffenen gegen-Landesbehörde nach der Feststellung von Verstößen einer überstehen. Damit lehnt sich die Regelung an bewährte Vor-Kontrollstelle, die den Entzug der Zulassung rechtfertigen, schriften zur Überwachung in anderen Regelungsbereichenden Entzug der Zulassung beim Bundesbeauftragten für den an, insbesondere den Befugnissen der AufsichtsbehördenDatenschutz und die Informationsfreiheit anregen. Dem nach § 38 Absatz 3 und 4 des Bundesdatenschutzgesetzes.wird durch die Sätze 3 und 4 Rechnung getragen. Stellt die Die Regelung umfasst die Überwachung der Kontrollstellenzuständige Behörde für eine Kontrollstelle, die aufgrund und in diesem Zusammenhang der kontrollierten Unterneh-ihres Sitzes ihrer Aufsicht unterliegt, Tatsachen fest, die den men durch die zuständigen Behörden. Ferner bedarf es zurEntzug der Zulassung oder die Aufnahme oder Änderung Gewährleistung eines hohen Qualitätsniveaus des Kontroll-von Auflagen zur Zulassung erforderlich machen können, systems einer entsprechenden Regelung für das Verhältnishat sie unmittelbar dem Bundesbeauftragten für den Daten- der zugelassenen Kontrollstellen gegenüber den in das Kon-schutz und die Informationsfreiheit diese Tatsachen mitzu- trollverfahren einbezogenen Unternehmen. Die in Absatz 2teilen und anzuregen, ein Verfahren zum Entzug der Zulas- aufgeführten Befugnisse der Personen, die von der zuständi-sung oder zur Aufnahme oder Änderung von Auflagen gen Behörde beauftragt sind, begründen lediglich die Dul-einzuleiten. Beziehen sich die Tatsachen auf eine Kontroll- dungspflichten nach Absatz 3, beschreiben jedoch insoweitstelle, die aufgrund ihres Sitzes der Aufsicht einer anderen nicht abschließend den Inhalt der Tätigkeiten, zu denen diezuständigen Behörde unterliegt, hat sie dieser die Tatsachen genannten Personen befugt sind.mitzuteilen. Nach Satz 4 trifft dann diese andere zuständigeBehörde die Verpflichtung zur Mitteilung an den Bundesbe- Zu § 9 (Datenschutzauditsiegel, Verzeichnisse)auftragten für den Datenschutz und die Informationsfreiheit Zu Absatz 1und zur Anregung, ein Verfahren zum Entzug der Zulassungoder zur Aufnahme oder Änderung von Auflagen einzulei- Absatz 1 verfolgt das Ziel, das Internet und den elektroni-ten. Der für den Sitz der jeweiligen Kontrollstelle zuständi- schen Bundesanzeiger zur Feststellung der Echtheit von mitgen Landesbehörde wird damit eine Schlüsselrolle sowohl einem Datenschutzauditsiegel gekennzeichneten Daten-bei der Koordinierung der Überwachung als auch bei der schutzkonzepten oder informationstechnischen Einrichtun-Entscheidung über die Änderung von Nebenbestimmungen gen zu nutzen. Damit werden Erfahrungen, u. a. in Bezug aufzur Zulassung oder den Entzug der Zulassung durch den die Ursachen von Betrugsfällen im Bereich der Vergabe vonBundesbeauftragten für den Datenschutz und die Informa- Bio-Siegeln aufgegriffen.tionsfreiheit zugewiesen. Satz 1 verpflichtet jedes Unternehmen, das ein Datenschutz-Satz 5 ist der abweichenden Zuständigkeit nach § 2 Absatz 1 konzept oder eine informationstechnische Einrichtung mitSatz 2 in Bezug auf den Bundesbeauftragten für den Daten- dem Datenschutzauditsiegel kennzeichnen möchte, dies beischutz und die Informationsfreiheit geschuldet, der insoweit dem Bundesbeauftragten für den Datenschutz und die Infor-die Überwachung der Kontrollstellen nach Satz 1 über- mationsfreiheit anzuzeigen. Näheres zu der Anzeige und dennimmt. verpflichtenden Angaben regelt eine Rechtsverordnung nach
  • 24. Drucksache 16/12011 – 26 – Deutscher Bundestag – 16. Wahlperiode§ 16 Absatz 3 Nummer 5. Für die lückenlose Kontrolle und gen und weiterer Daten in einem Verzeichnis im InternetÜberwachung ist es notwendig, dass die Anzeige noch vor sowie im elektronischen Bundesanzeiger.der ersten Verwendung erfolgt. Für die Bemessung der Gebühren ordnet Satz 1 das Kosten-Nach den Sätzen 2 bis 4 hat der Bundesbeauftragte für den deckungsprinzip an. Damit gilt nach § 3 Absatz 2 des Ver-Datenschutz und die Informationsfreiheit ein Verzeichnis waltungskostengesetzes das Verbot der Kostenüberdeckung,der angezeigten Datenschutzkonzepte und informations- wonach Gebühren so bemessen sein müssen, dass das ge-technischen Einrichtungen des anzeigenden Unternehmens schätzte Gebührenaufkommen den auf die Amtshandlungsowie der Kontrollstelle zu führen und auf seiner Internet- entfallenden durchschnittlichen Personal- und Sachaufwandseite und im elektronischen Bundesanzeiger zum Zwecke für den betreffenden Verwaltungszweig nicht übersteigt. Dieder Information der zuständigen Behörden und Betroffenen Erhebung von Verwaltungsgebühren zur Erzielung vonverfügbar zu machen. Mit dem Verzeichnis wird für diese, Überschüssen ist damit nicht gestattet. Bei der Kalkulationaber auch für andere Wirtschaftsbeteiligte eine Informa- der Kosten kann der gesamte auf die einzelne gebühren-tionsmöglichkeit geschaffen, um sichere Auskünfte über die pflichtige Leistung entfallende Verwaltungsaufwand berück-Echtheit der betroffenen Datenschutzkonzepte sowie infor- sichtigt werden.mationstechnischen Einrichtungen zu erhalten. Soweit das Die näheren Bestimmungen zur Gebühren- und Auslagener-Verzeichnis Informationen über die von den Kontrollstellen hebung werden nach den Sätzen 2 und 3 durch Rechtsverord-kontrollierten Unternehmen enthält, beugt es Verfälschun- nung des Bundesministeriums des Innern getroffen.gen und Missbrauch von Datenschutzauditsiegeln vor undverbessert bei geringem Aufwand den Schutz der Betroffe- Zu Absatz 2nen. Die Informationen sind auch für Vertragspartner unver-zichtbar, um zuverlässig prüfen zu können, ob das betreffen- Die Vorschrift stellt klar, dass die Regelung der Gebührende Unternehmen aktuell berechtigt ist, für ein bestimmtes und Auslagen für Amtshandlungen der LandesbehördenDatenschutzkonzept oder eine informationstechnische Ein- nach § 7 Absatz 1 Satz 1 und Absatz 2 den Ländern obliegt.richtung ein Datenschutzauditsiegel zu verwenden. Zu § 11 (Datenschutzauditausschuss)Zu Absatz 2 Zu Absatz 1Absatz 2 sieht in gleicher Weise wie in Absatz 1 ein Ver- Nach Absatz 1 Satz 1 wird beim Bundesbeauftragten für denzeichnis vor, in dem der Bundesbeauftragte für den Daten- Datenschutz ein Datenschutzauditausschuss gebildet.schutz und die Informationsfreiheit die von ihm zugelasse- Satz 2 bestimmt die Aufgabe des Datenschutzauditausschus-nen Kontrollstellen mit Namen und Anschrift sowie der ses, Richtlinien zur Verbesserung des Datenschutzes und derihnen erteilten Kennnummer aufführt. Kontrollstellen, de- Datensicherheit zu erlassen. Einige Inhalte, durch die Richt-nen die Zulassung entzogen worden sind, werden nicht mehr linien über den bestehenden Stand der Gesetze hinaus Ver-aufgeführt. Damit wird es u. a. den Unternehmen ermög- besserungen des Datenschutzes und der Datensicherheit er-licht, für sie in Frage kommende Kontrollstellen ausfindig zu reichen zu können, sind nicht abschließend aufgeführt. Diemachen. Transparenz der Datenerhebung, -verarbeitung und -nutzung wird dabei auch durch die Auskunftsrechte der BetroffenenZu § 10 (Gebühren und Auslagen) gewährleistet. Die Aufzählung berührt nicht die Entschei- dung des Ausschusses, welche Richtlinien er inhaltlich vor-Die Vorschrift normiert ausschließlich die Erhebung von rangig angeht und mit welchen Inhalten er eine VerbesserungGebühren und Auslagen für Amtshandlungen von Bundes- des Datenschutzes und der Datensicherheit anstrebt.behörden; Gebühren- und Auslagenregelungen für Leistun-gen der Länderbehörden werden dagegen einer landesrecht- Die Beachtung der in den Richtlinien enthaltenen Kriterienlichen Regelung überlassen. wird von den zugelassenen Kontrollstellen im Rahmen ihrer Kontrollen nach Maßgabe dieses Gesetzes überprüft. ZudemZu Absatz 1 kann es, etwa bei der Aktualisierung von überholten Richtli- nien, notwendig sein nachzuweisen, ab welchem ZeitpunktAbsatz 1 schafft eine auf den Bundesbeauftragten für den die Richtlinie veröffentlicht war und von der zugelassenenDatenschutz und die Informationsfreiheit beschränkte Ge- Kontrollstelle und dem kontrollierten Unternehmen zu be-bühren- und Auslagenregelung. achten war. Die Richtlinien sind daher nach Satz 3 über die Veröffentlichung auf der Webseite des BundesbeauftragtenSatz 1 legt den Umfang der gebühren- und auslagenpflich- für den Datenschutz und die Informationsfreiheit und imtigen Amtshandlungen fest. Die Gebührenpflicht erfasst elektronischen Bundesanzeiger bekannt zu machen.Amtshandlungen des Bundesbeauftragten für den Daten-schutz und die Informationsfreiheit nach § 2 Absatz 1 Satz 2und Absatz 2. Damit sind auch die Zulassung einer Kontroll- Zu Absatz 2stelle, die Entziehung dieser Zulassung und die Vergabe Nach Absatz 2 unterrichtet der Datenschutzauditausschusseiner Kennnummer an die Kontrollstelle in die Gebühren- jährlich die Öffentlichkeit in einem Bericht über seine Tätig-pflicht einbezogen. Ferner erfasst die Gebührenpflicht keit, z. B. Umfang, Inhalt und Probleme und Erfahrungen,Amtshandlungen nach § 9 Absatz 1 und 2. Dazu zählen die insbesondere über die Praktikabilität und erforderliche Än-Entgegennahme der Anzeige der Verwendung des Daten- derungen erlassener Richtlinien und den Bedarf für neueschutzauditsiegels sowie die Aufnahme der angezeigten Da- Richtlinien. Der Bericht stärkt die Transparenz der Arbeitentenschutzkonzepte und informationstechnischen Einrichtun- des Ausschusses. Der Ausschuss hat nach seiner gesetzli-
  • 25. Deutscher Bundestag – 16. Wahlperiode – 27 – Drucksache 16/12011chen Aufgabe, Richtlinien zur Verbesserung des Datenschut- braucherinnen und Verbraucher genießen, jedoch prak-zes und der Datensicherheit zu erlassen, die Möglichkeit, tischen Bedürfnissen der Unternehmen nicht genügendDiskussionen zu datenschutzrechtlichen Themen anzusto- Rechnung tragen und daher keine Verbreitung finden. Damitßen, die zur Fortentwicklung des Datenschutzes beitragen. ginge auch der Mehrwert für die Fortentwicklung des Daten-Im Bericht können ferner Richtlinien in einer Weise erläutert schutzes, insbesondere in der Breite, verloren. Ziel des Aus-werden, wie es im Rahmen der amtlichen Bekanntmachung schusses kann es allerdings nicht sein, Richtlinien zu erlas-nicht möglich ist. Durch die Ankündigung, neue Richtlinien sen, die keine substanzielle Verbesserung des Datenschutzesfür weitere Bereiche zu erlassen oder erlassene Richtlinien erreichen. Derartige Richtlinien würden letztlich das Daten-anzupassen, können die betroffenen Unternehmen und zuge- schutzauditsiegel entwerten, bei Verbraucherinnen und Ver-lassenen Kontrollstellen sich bereits frühzeitig hierauf ein- brauchern auf Ablehnung stoßen und damit auch den ange-stellen. strebten Mehrwert für die Wirtschaft mindern. Aus diesem Grund sind die Datenschutzaufsichtsbehörden mit insgesamtZu § 12 (Mitglieder des Datenschutzauditausschusses) sechs Vertretern in gleicher Stärke vertreten wie die Unter- nehmensvertreter. Vertreter des Bundesamtes für SicherheitZu Absatz 1 in der Informationstechnik sind in derselben GrößenordnungAbsatz 1 Satz 1 regelt die Zusammensetzung des Daten- wie der Bundesbeauftragte für den Datenschutz und dieschutzauditausschusses und die Verteilung der 18 Mitglieder Informationsfreiheit vertreten, um die Datensicherheit alsauf die im Ausschuss vertretenen Gruppen. Bestandteil des Datenschutzes (§ 9 des Bundesdatenschutz- gesetzes) hervorzuheben und Reibungsverluste mit derDer Datenschutzauditausschuss soll nach Größe und Zusam- Tätigkeit des Bundesamtes für Sicherheit in der Informa-mensetzung ausgewogen mit praxisorientierten, wirtschafts- tionstechnik zu vermeiden.nahen Mitgliedern und Mitgliedern der Verwaltung mit Be-zug zum Datenschutz und der Datensicherheit sowie dem Satz 2 bestimmt, dass die Mitglieder des Datenschutzaudit-Datenschutzauditverfahren besetzt sein. Demnach sind im ausschusses keinen Weisungen unterliegen und ehrenamtlichDatenschutzauditausschuss vertreten tätig sind.– Vertreter der Verwaltung des Bundes und der Länder, da Durch Satz 3, der die §§ 83, 84 des Verwaltungsverfahrens- sie in verschiedener Weise für fachspezifische Vorschrif- gesetzes für anwendbar erklärt, werden die ehrenamtlich ten des Datenschutzes zuständig sind, tätigen Mitglieder auf Gewissenhaftigkeit, Unparteilichkeit und Verschwiegenheit verpflichtet. Da § 85 des Verwaltungs-– Vertreter des Bundesbeauftragten für den Datenschutz verfahrensgesetzes nicht für anwendbar erklärt wird, sind und die Informationsfreiheit, da er die Kontrollstellen Auslagen und Verdienstausfall der Ausschussmitglieder zulässt und die Zulassung entzieht und um aus seinem nicht vom Bund, sondern in der Regel von der entsendenden Zuständigkeitsbereich aufsichtsbehördliche Erkenntnisse Institution zu ersetzen. Diese Regelung ist gerechtfertigt, da zur Lage des Datenschutzes und zu dessen Verbesserung die Ausschussmitglieder im Interesse der von ihnen vertrete- einzubringen, nen Gruppe tätig werden. Da § 86 des Verwaltungsverfah-– Vertreter des Bundesamtes für Sicherheit in der Informa- rensgesetzes nicht für anwendbar erklärt wird, ist eine Ab- tionstechnik, da es aufgrund seiner gesetzlichen Auf- berufung aus den dort genannten Gründen nicht möglich. gaben eine hervorgehobene Rolle im Bereich der Daten- Dies würde mit der Weisungsfreiheit der Mitglieder des Aus- sicherheit spielt und um diese Aspekte einzubringen, schusses nach § 12 Absatz 1 Satz 2 kollidieren.– Vertreter von Aufsichtsbehörden der Länder für den Da- Zu Absatz 2 tenschutz im nichtöffentlichen Bereich, da sie die ord- nungsgemäßen Kontrollen der Kontrollstellen überwa- Absatz 2 stellt Mindestanforderungen an die fachliche Kom- chen und um aufsichtsbehördliche Erkenntnisse zur Lage petenz der Ausschussmitglieder, damit sie ihre Aufgaben des Datenschutzes und zu dessen Verbesserung einzu- sachgerecht erfüllen können. Die Fachkenntnis der Aus- bringen, schussmitglieder wirkt sich unmittelbar auf die Qualität der Arbeit des Ausschusses aus. Mittelbar wird dadurch das Ver-– Vertreter von Unternehmen, da sie sich zur Verwendung trauen der Verbraucherinnen und Verbraucher in das Daten- des Datenschutzauditsiegels in das Kontrollverfahren schutzauditsiegel gestärkt. einbeziehen lassen und um branchenspezifische sowie aus der Anwendung gewonnene Aspekte beitragen zu Zu Absatz 3 können. Absatz 3 regelt, dass die Berufung der Mitglieder des Daten-Kriterien für die zahlenmäßige Zusammensetzung des Da- schutzauditausschusses und ihrer Stellvertreter durch dastenschutzauditausschusses sind die Arbeitsfähigkeit des Bundesministerium des Innern erfolgt. Die Berufung erfolgtAusschusses, eine Abstufung der Mitgliederzahl entspre- für die in Absatz 1 Satz 1 Nummer 3 bis 6 genannten Grup-chend der unterschiedlichen Betroffenheit der vertretenen pen auf Vorschlag der jeweiligen Gruppe und im Einverneh-Gruppen und unter Berücksichtigung der Sperrminorität men mit der jeweiligen Gruppe. Für die Berufung eines Mit-nach § 13 Absatz 3 Nummer 1. glieds muss also nicht das Einvernehmen mit allen imDie größte Einzelgruppe stellen die sechs Vertreter von Datenschutzauditausschuss vertretenen Gruppen herbeige-Unternehmen. Eine zu stark aufsichtsbehördliche Zusam- führt werden. Dies birgt die Gefahr, dass mangels Einver-mensetzung läuft Gefahr, Richtlinien zur Verbesserung des nehmens der Ausschuss nicht besetzt werden kann, und be-Datenschutzes und der Datensicherheit zu erlassen, die eine rührt die Unabhängigkeit der betroffenen Mitglieder. Dassehr hohe Qualität gewährleisten und das Vertrauen der Ver- Vorschlagsrecht für die zu berufenden Mitglieder des Daten-
  • 26. Drucksache 16/12011 – 28 – Deutscher Bundestag – 16. Wahlperiodeschutzauditausschusses liegt bei den Bundesdachverbänden Nummer 1 sieht eine Mehrheit von zwei Dritteln (zwölfder Wirtschaft, den Aufsichtsbehörden der Länder für den Stimmen) der Mitglieder bei der Verabschiedung von Richt-Datenschutz im nichtöffentlichen Bereich, dem Bundes- linien zur Verbesserung des Datenschutzes und der Daten-beauftragten für den Datenschutz und die Informationsfrei- sicherheit vor. Auf diese Weise wird verhindert, dass eineheit sowie den für den Datenschutz zuständigen obersten Gruppe den Datenschutzauditausschuss majorisiert. DieLandesbehörden. Als Bundesdachverbände der Wirtschaft Sperrminorität beträgt sieben Stimmen, so dass eine Gruppekommen in Betracht: der Bundesverband der Deutschen den Datenschutzauditausschuss auch nicht blockieren kann.Industrie, die Bundesvereinigung der Deutschen Arbeit-geberverbände, der Deutsche Industrie- und Handelstag, der Nummer 2 verlangt die Mehrheit der gesetzlichen Mitglie-Zentralverband des Deutschen Handwerks und der Bundes- derzahl in Geschäftsordnungsangelegenheiten, damit nichtverband freier Berufe. Für die Nummer 1 besitzt das Bun- Zufallsmehrheiten zur Benachteiligung einzelner Gruppendesministerium des Innern als für den allgemeinen Daten- führen.schutz zuständiges Bundesressort das Vorschlagsrecht. Diesgilt auch hinsichtlich der Nummer 2 für das Bundesamt für Zu § 14 (Geschäftsstelle des Datenschutzauditausschusses)Sicherheit in der Informationstechnik aus seinem Geschäfts- Die Vorschrift schafft die personellen und organisatorischenbereich. Voraussetzungen für die Arbeitsfähigkeit des Daten-Die Berufungsdauer von drei Jahren soll eine personelle Sta- schutzauditausschusses. Da der Datenschutzauditausschussbilität für den Datenschutzauditausschuss erreichen. Eine er- keine eigene Rechtspersönlichkeit besitzt und somit keinneute Berufung wird nicht ausgeschlossen. Personal einstellen und keine organisatorische Infrastruktur schaffen kann, muss eine Geschäftsstelle zur Verfügung ge- stellt werden. Näheres obliegt der Ausgestaltung durch dieZu Absatz 4 Geschäftsordnung. Einrichtung und Unterhaltung der Ge-Zu Sitzungen des Datenschutzauditausschusses ist ein Ver- schäftsstelle können nicht durch eine im Datenschutzaudit-treter der Bundesnetzagentur mit beratender Stimme hinzu- ausschuss vertretene Gruppe, sondern müssen durch denzuziehen, soweit Gegenstand der Sitzung eine Richtlinie ist, Bund erfolgen.die nichtöffentliche Stellen betrifft, die nach § 115 Absatz 4Satz 1 des Telekommunikationsgesetzes oder § 42 Absatz 3 Zu § 15 (Rechtsaufsicht)des Postgesetzes der Kontrolle des Bundesbeauftragten un-terliegen. Zu Absatz 1 Absatz 1 unterstellt den Datenschutzauditausschuss der Auf-Zu § 13 (Geschäftsordnung, Vorsitz und Beschlussfassung sicht des Bundesministeriums des Innern und beschränkt die des Datenschutzauditausschusses) Aufsicht auf die Rechtmäßigkeit der Ausschusstätigkeit. Diese Beschränkung ergibt sich aus den Selbstverwaltungs-Die Vorschrift regelt Grundsätze der Willensbildung des Da- elementen, die den Datenschutzauditausschuss kennzeich-tenschutzauditausschusses. nen.Zu Absatz 1 Zu den Absätzen 2 bis 4Absatz 1 enthält einen Genehmigungsvorbehalt für das Bun- Die Absätze 2 bis 4 regeln die herkömmlichen Instrumentedesministerium des Innern im Hinblick auf die Geschäfts- körperschaftlicher Rechtsaufsicht. Sie orientieren sich insbe-ordnung des Datenschutzauditausschusses, der Teil der sondere an den bewährten Regelungen zum Umweltgutach-Rechtsaufsicht ist. Die Geschäftsordnung könnte z. B. das terausschuss (§ 27 des Umweltauditgesetzes), die zurückge-Ausscheiden eines Mitglieds vor Ablauf der Berufungs- hen auf Instrumente der Kommunalaufsicht und der Aufsichtperiode, die Rolle des Stellvertreters und des Vorsitzenden, über die Handwerkskammern (§§ 105, 115 der Handwerks-den Sitzungsablauf und die -häufigkeit, die Sitzungsteilnah- ordnung). Absatz 4 ist der Regelung des § 115 Absatz 2 derme von Externen, z. B. der Bundesnetzagentur im Bereich Handwerksordnung nachgebildet. Das Auflösungsrechtder Post und Telekommunikation, die Niederschrift, die Ein- greift als Ultima Ratio ein, wenn der Datenschutzaudit-setzung von thematischen Arbeitsgruppen und die Tätigkeit ausschuss seine gesetzlichen Aufgaben nach § 16 nicht mehrder Geschäftsstelle regeln. erfüllen kann, weil sich z. B. die im Datenschutzaudit- ausschuss vertretenen Gruppen durch Ausübung ihrer Sperr-Zu Absatz 2 minoritäten gegenseitig blockieren. In der Praxis dürfte al- lein das Bestehen des Auflösungsrechts ausreichen, um eineAbsatz 2 stellt sicher, dass im Vorstand alle relevanten Grup- solche Entwicklung zu verhindern.pen vertreten sind. Näheres zur Wahl regelt die Geschäfts-ordnung. Die Wahl bedarf daher als Angelegenheit der Ge-schäftsordnung der Mehrheit der gesetzlichen Mitglieder. Zu § 16 (Verordnungsermächtigungen) Zu Absatz 1Zu Absatz 3 Absatz 1 greift die Möglichkeit der Länder auf, die ErfüllungAbsatz 3 regelt das Beschlussverfahren des Datenschutz- ihrer hoheitlichen Aufgaben Kontrollstellen durch Rechts-auditausschusses. Im Interesse der Praktikabilität ist die er- verordnung zu übertragen oder sie daran zu beteiligen. Da-forderliche Mehrheit je nach Beratungsgegenstand unter- mit soll den Ländern ein verfahrenstechnisch möglichstschiedlich. einfacher Weg geboten werden, zur Wahrnehmung ihrer
  • 27. Deutscher Bundestag – 16. Wahlperiode – 29 – Drucksache 16/12011Aufgaben im Zusammenhang mit der Durchführung des Ge- verpflichtenden Angaben für die Anzeige in Gestalt einessetzes die Beleihung oder Mitwirkung Privater vorzusehen. Formblattes aufführen.Zu Absatz 2 Zu § 17 (Bußgeldvorschriften) Die Vorschrift enthält die erforderlichen Bußgeldtatbestän-Absatz 2 ist eine notwendige Folge der Regelung in § 2 de, insbesondere bei vorsätzlich oder fahrlässig unbefugterAbsatz 1 Satz 2 und eröffnet die zu Absatz 1 dargestellten Kennzeichnung mit dem Datenschutzauditsiegel entgegenMöglichkeiten der Übertragung und Beteiligung auf Kontroll- einer Anordnung der zuständigen Behörde oder bei unzurei-stellen auch dem Bundesbeauftragten für den Datenschutz chender Anzeige der Verwendung gegenüber dem Bundes-und die Informationsfreiheit. Ermächtigt wird die Bundes- beauftragten für den Datenschutz und die Informationsfrei-regierung, deren Rechtsaufsicht der Bundesbeauftragte für heit durch Unternehmen.den Datenschutz und die Informationsfreiheit nach § 22Absatz 4 Satz 3 des Bundesdatenschutzgesetzes unterliegt, Für Kontrollstellen soll es einen Bußgeldtatbestand darstel-nach Anhörung des Bundesbeauftragten für den Datenschutz len, ein Verzeichnis der kontrollierten Stellen oder einenund die Informationsfreiheit ohne Zustimmung des Bundes- Kontrollbericht nicht, nicht richtig, nicht vollständig oderrates. nicht rechtzeitig vorzulegen sowie nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig über festgestellte VerstößeZu Absatz 3 zu unterrichten, da eine unterlassene oder verspätete Mel- dung zu unvertretbaren Lücken im Kontroll- und Über-Die Vorschrift sieht in Absatz 3 Nummer 1 die erforderliche wachungssystem führen kann. Ferner soll die unterlasseneErmächtigung des Bundesministeriums des Innern vor, um rechtzeitige Mitteilung einer Kontrollstelle an die von ihrim Wege einer Rechtsverordnung mit Zustimmung des Bun- kontrollierten Unternehmen die zuständigen Behörden unddesrates Einzelheiten der Verwendung des Datenschutz- den Bundesbeauftragten für den Datenschutz und die Infor-auditsiegels zu regeln, um eine einheitliche Kennzeichnung mationsfreiheit über die voraussichtliche Beendigung derund eindeutige Erkennbarkeit der Kennzeichnung zu ge- Kontrolltätigkeit als Ordnungswidrigkeit geahndet werdenwährleisten. können, da den kontrollierten Unternehmen infolge unterlas- sener oder verspäteter Mitteilung erhebliche Nachteile ent-Nummer 2 eröffnet die Möglichkeit, erforderlichenfalls die stehen können.Voraussetzungen, das Verfahren der Zulassung der Kontroll-stellen sowie das Verfahren für deren Entziehung durch Einen Bußgeldtatbestand sowohl für kontrollierte Unterneh-Rechtsverordnung mit Zustimmung des Bundesrates näher men als auch Kontrollstellen soll es darstellen, jeweils imzu regeln. Rahmen der Überwachung durch Kontrollstellen und zustän- dige Behörden Maßnahmen nicht zu dulden oder eine Aus-Nummer 3 sieht die erforderliche Ermächtigung vor, um im kunft nicht, nicht richtig, nicht vollständig oder nicht recht-Wege einer Rechtsverordnung mit Zustimmung des Bundes- zeitig zu erteilen.rates Mindestkontrollanforderungen und im Rahmen des Der Strafrahmen entspricht demjenigen nach § 43 Absatz 3Kontrollverfahrens vorgesehene Vorkehrungen festzulegen. in Verbindung mit Absatz 1 bzw. 2 des Bundesdatenschutz-Die Nummern 4 und 5 sehen vor, die Gestaltung des Daten- gesetzes.schutzauditsiegels und die Anzeige seiner Verwendung nach§ 9 Absatz 1 Satz 1 näher zu regeln. Zu § 18 (Strafvorschrift)Die Rechtsverordnung nach Nummer 1 soll neben der Ver- Die Vorschrift stellt die vorsätzliche unbefugte Kennzeich-wendung insbesondere die Art und den Ort der Anbringung nung mit einem Datenschutzauditsiegel entgegen der An-des Datenschutzauditsiegels regeln. Die Rechtsverordnung ordnung einer zuständigen Behörde nach § 7 Absatz 2 innach Nummer 2 soll insbesondere die Voraussetzungen für Bereicherungs- oder Schädigungsabsicht unter Strafe. Derdie Zulassung und die Entziehung der Zulassung, z. B. im Strafrahmen entspricht demjenigen nach § 44 Absatz 1 desHinblick auf § 4 Absatz 1 Satz 1 Nummer 2, näher ausfüh- Bundesdatenschutzgesetzes.ren. Die Rechtsverordnung nach Nummer 3 soll Einzelhei-ten zu den Mindestanforderungen an das Kontrollverfahren Zu § 19 (Einziehung)der Kontrollstellen regeln, insbesondere zur Häufigkeit der Die Vorschrift enthält die übliche nebenstrafrechtliche Rege-Kontrollen und zur Intensität der Überprüfung, sowie die lung.Pflichten der kontrollierten Stellen, um die Wirksamkeit derKontrollen zu gewährleisten. Die Rechtsverordnung nach Zu § 20 (Übergangsvorschrift)Nummer 4 soll neben einer genauen Beschreibung des Da-tenschutzauditsiegels in allen Wort- und Grafikbestandteilen Die Möglichkeit, ein Datenschutzaudit nach dem Daten-insbesondere regeln, wie stark das Datenschutzauditsiegel schutzauditgesetz durchzuführen, ist abhängig von verschie-abgewandelt werden darf (maximale Vergrößerung oder Ver- denen vorbereitenden Maßnahmen, insbesondere der Kon-kleinerung, Zulässigkeit von Zusätzen) und welche Kombi- stituierung des Datenschutzauditausschusses und dernationsmöglichkeit mit anderen Zertifikaten und Kennzeich- Erarbeitung und dem Beschluss von Richtlinien zur Verbes-nungen besteht. Der Bundesadler findet keine Verwendung, serung des Datenschutzes und der Datensicherheit alsda die Voraussetzungen nach dem Erlass über die Dienst- Grundlage für die Kennzeichnung mit dem Datenschutz-siegel vom 20. Januar 1950 (BGBl. S. 26) nicht vorliegen. auditsiegel. § 1 ist daher erst ab dem 1. Juli 2010 anzuwen-Die Rechtsverordnung nach Nummer 5 soll insbesondere die den.
  • 28. Drucksache 16/12011 – 30 – Deutscher Bundestag – 16. WahlperiodeZu Artikel 2 zulässig ist und Prüfungsmaßstab gleichlaufend mit der Ab- berufung nach § 4f Absatz 3 Satz 4 der § 626 des Bürger-Zu Nummer 1 (Inhaltsübersicht) lichen Gesetzbuchs sein muss (Urteil vom 13. März 2007, – 9 AZR 612/05). Das Bundesarbeitsgericht hat sich nichtDie Inhaltsübersicht ist an die nachfolgend begründeten Ge- dazu geäußert, ob auch eine ordentliche Kündigung dessetzesänderungen anzupassen. Arbeitsverhältnisses möglich wäre und inwieweit dies zur Beendigung des Amtes des Datenschutzbeauftragten führenZu Nummer 2 (§ 4f Absatz 3 Satz 5 bis 7) würde. Diese Frage wird durch Satz 5 geklärt. Durch die Anknüpfung an die Verpflichtung zur Bestellung nach § 4fDurch die Änderung soll die Position des Beauftragten für Absatz 1 kommt zum Ausdruck, dass ein Kündigungsschutzden Datenschutz gestärkt werden. Satz 5 erweitert den Kün- nicht besteht, wenn die Stelle sich freiwillig dazu entschei-digungsschutz des Beauftragten für den Datenschutz. Satz 6 det, einen Beauftragten für den Datenschutz zu bestellen.erstreckt diesen Kündigungsschutz auf die Zeit nach Beendi- Eine Ausdehnung des Kündigungsschutzes auch auf nichtgung der Funktion des Beauftragten für den Datenschutz. zur Bestellung verpflichtete Stellen würde diese im ErgebnisSatz 7 unterstützt die Fortbildung und damit die fachliche davon abhalten, freiwillig einen Beauftragten für den Daten-Eignung des Beauftragten für den Datenschutz. schutz zu bestellen und führt zu einem ungewollten Ergeb-Satz 5 passt den Kündigungsschutz der nach § 4f Absatz 1 nis.zu bestellenden Beauftragten für den Datenschutz an den Satz 6 beinhaltet einen nachwirkenden Kündigungsschutz,Kündigungsschutz vergleichbarer Funktionsträger an, wie indem er diesen, ebenfalls in Anlehnung an die o. g. Vor-z. B. des Gewässerschutzbeauftragten (§ 21f Absatz 2 schriften bei vergleichbaren Funktionsträgern, auf ein JahrSatz 1, 2 des Wasserhaushaltsgesetzes), des Immissions- nach Beendigung des Amtes des Beauftragten für den Daten-schutzbeauftragten (§ 58 Absatz 2 Satz 1, 2 des Bundes- schutz erstreckt.Immissionsschutzgesetzes), des Störfallbeauftragten (§ 58di. V. m. § 58 Absatz 2 Satz 1, 2 des Bundes-Immissions- Satz 7 sieht vor, dass die verantwortliche Stelle dem Be-schutzgesetzes), des Abfallbeauftragten (§ 55 Absatz 3 des auftragten für den Datenschutz ermöglichen muss, an Schu-Kreislaufwirtschafts-/Abfallgesetzes i. V. m. § 58 Absatz 2 lungs- und Bildungsveranstaltungen teilzunehmen. ZugleichSatz 1, 2 des Bundes-Immissionsschutzgesetzes) oder der wird die verantwortliche Stelle verpflichtet, die Kosten hier-Betriebsratsmitglieder (§ 15 Absatz 1 Satz 1, 2 des Kündi- für zu übernehmen. Die Reichweite der Vorschrift, z. B. dergungsschutzgesetzes). Die Aufgabenstellung des Beauftrag- Umfang und die thematische Ausrichtung der Fortbildung,ten für den Datenschutz ist mit diesen privilegiert geschütz- richtet sich nach der erforderlichen Fachkunde des Beauf-ten Funktionsträgern nach Art und Umfang vergleichbar. tragten für den Datenschutz, die er zur Erfüllung seiner Auf-Allen diesen Beauftragten ist gemeinsam, dass die Einhal- gaben benötigt. Insoweit ist § 4f Absatz 2 Satz 2 zu be-tung gesetzlicher Vorschriften überwacht und hierfür Kon- achten. Danach richtet sich das Maß der erforderlichentrollen durchgeführt werden. Darüber hinaus wirken sie für Fachkunde insbesondere nach dem Umfang der Datenverar-ihren Aufgabenkreis auf eine Verbesserung der bestehenden beitung und dem Schutzbedarf der personenbezogenen Da-Situation hin, informieren die Beschäftigten und beraten die ten, die die verantwortliche Stelle erhebt oder verwendet.verantwortliche Stelle. Derzeit sind dem Beauftragten für Der Fortbildungsbedarf des Beauftragten für den Daten-den Datenschutz in § 4f Absatz 3 Satz 3 und 4 ein Benach- schutz variiert daher jenseits eines Grundbedarfs, der auchteiligungsverbot und eine erschwerte Abberufung einge- durch die stetige Fortentwicklung von Recht und Technikräumt. Diese hat sich in der Praxis als nicht ausreichend er- hervorgerufen wird. Ähnliche Regelungen bestehen z. B. fürwiesen, vor allem dann – was der Regelfall ist – wenn die Betriebs- und Personalräte (§ 37 Absatz 6 Satz 1 des Be-Aufgabe des Beauftragten für den Datenschutz nur als Teil- triebsverfassungsgesetzes, § 46 Absatz 6 des Bundesperso-aufgabe wahrgenommen wird. Ein Widerruf der Bestellung nalvertretungsgesetzes).des Beauftragten für den Datenschutz kann gemäß § 4fAbsatz 3 Satz 4 in entsprechender Anwendung des § 626 des Zu Nummer 3 (§ 9a)Bürgerlichen Gesetzbuchs (und bei nichtöffentlichen Stellenauf Verlangen der Aufsichtsbehörde) erfolgen. Verschiedene Der bisherige § 9a sieht die Möglichkeit eines Daten-Arbeitsgerichte haben unter teilweise ausdrücklicher Bezug- schutzaudits vor und kündigt in Satz 2 ein Gesetz hierzunahme auf die unterschiedliche gesetzliche Regelung des an. Dieses ist in Artikel 1 vorgesehen. § 9a wird dadurchKündigungsschutzes bei Beauftragten für den Datenschutz obsolet.gegenüber anderen Funktionsträgern entschieden, dass eineordentliche Kündigung aus anderen als amtsbezogenen Zu Nummer 4 (§ 12 Absatz 4)Gründen durch die bestehenden Regelungen in § 4f Absatz 3 Die Änderung in Absatz 4 ist eine redaktionelle AnpassungSatz 3 und 4 nicht ausgeschlossen ist. Sie haben weiter ge- an die Verschiebung des Erlaubnistatbestandes des bisheri-folgert, dass mit dem beendeten Arbeitsverhältnis zugleich gen Absatzes 3 Satz 1 Nummer 1 zum Absatz 2 Nummer 2die Bestellung als Beauftragter für den Datenschutz beendet Buchstabe a.ist und es einer ausdrücklichen Abberufung nicht mehr be-darf (z. B. Landesarbeitsgericht Niedersachsen, Urteil vom Zu Nummer 5 (§ 28)16. Juni 2003, – 8 Sa 1968/02; Landesarbeitsgericht Berlin,Urteil vom 27. Oktober 1997, – 17 Sa 87/97). Das Bundes- Die vorgeschlagene Regelung beinhaltet die Streichung desarbeitsgericht hat bislang lediglich entschieden, dass eine bisher in § 28 Absatz 3 Satz 1 Nummer 3 geregeltenTeilkündigung der arbeitsvertraglichen Abrede zur Über- „Listenprivilegs“ und die Einführung eines begrenztennahme des Amtes eines Beauftragten für den Datenschutz Kopplungsverbots für marktbeherrschende Unternehmen im
  • 29. Deutscher Bundestag – 16. Wahlperiode – 31 – Drucksache 16/12011neuen Absatz 3b. Die weiteren Änderungen sind redaktio- dung der bisher in § 28 Absatz 3 Satz 1 Nummer 3 aufge-nelle Änderungen und Folgeänderungen. führten sog. Listendaten.Die Überschrift des § 28 wird an die Überschrift des § 29 an- Nach Absatz 3 Satz 2 Nummer 1 muss es sich um Werbunggepasst. für eigene Angebote oder eigene Markt- oder Meinungsfor- schung handeln. Die Verwendung der personenbezogenenIn Absatz 1 Satz 1 Nummer 1 werden aufgrund der Schuld- Daten muss für diese Zwecke erforderlich sein. Die Formu-rechtsnovelle des Jahres 2002 die Begriffe „Vertragsverhält- lierung orientiert sich an der bereichsspezifischen Regelungnis“ und „vertragsähnliches Vertrauensverhältnis“ in Anpas- des § 95 Absatz 2 Satz 1 des Telekommunikationsgesetzessung an die durch die Schuldrechtsnovelle des Jahres 2002 zur Verwendung von Telekommunikationsbestandsdateneingeführte Terminologie durch die Begriffe „rechts- durch die Diensteanbieter. Soweit die verantwortliche Stellegeschäftliches Schuldverhältnis“ und „rechtsgeschäftsähn- für die Eigenwerbung oder eigene Markt- oder Meinungsfor-liches Schuldverhältnis“ (vgl. z. B. § 311 des Bürgerlichen schung die Berufs-, Branchen- oder Geschäftsbezeichnung,Gesetzbuchs) ersetzt. den Namen, Titel, akademischen Grad, die Anschrift oderDie bisherigen Absätze 2 und 3 sind ohne inhaltliche Ände- das Geburtsjahr verwenden will, muss sie diese Daten beimrung zusammengeführt worden. Beide enthielten gesetzliche Betroffenen erhoben haben, und zwar nach § 28 Absatz 1Erlaubnistatbestände zur Übermittlung und Nutzung per- Satz 1 Nummer 1. Die Regelung verlangt keine Komplett-sonenbezogener Daten zu einem anderen Zweck. Dies kam erhebung der genannten Daten. Die verantwortliche Stellebislang in Absatz 3 Satz 1 durch das Wort „auch“ zum kann auf Daten verzichten, z. B. die Berufsbezeichnung oderAusdruck. Der bisherige Absatz 2 ist nunmehr Absatz 2 das Geburtsjahr. Will sie diese jedoch für Zwecke der Eigen-Nummer 1. Die bisherigen Erlaubnistatbestände in Absatz 3 werbung oder eigenen Markt- oder Meinungsforschung ver-Satz 1 Nummer 1 und 2 sind sprachlich zusammengefasst wenden, muss sie die Daten beim Betroffenen erheben. Es istworden und nunmehr Absatz 2 Nummer 2 Buchstabe a und also nicht zulässig, ein Datum beim Betroffenen zu erhebenb. Der bisherige Absatz 3 Satz 1 Nummer 4 ist nunmehr und die weiteren genannten Daten aus allgemein zugängli-Absatz 2 Nummer 3. chen Quellen zu erheben und nach Absatz 3 Satz 3 hinzuzu- speichern. Eine gesetzliche Erlaubnis ist insofern gerechtfer-Der bisherige Absatz 3 Satz 1 Nummer 3, das sog. Listen- tigt, weil dem Betroffenen die verantwortliche Stelle durchprivileg, wurde gestrichen. Der bisherige § 28 Absatz 3 die Erhebung der Daten im Rahmen der ZweckbestimmungSatz 2 wurde infolge der Neuregelung in Absatz 3 entbehr- eines rechtsgeschäftlichen Schuldverhältnisses oder rechts-lich. Der neue Absatz 3 Satz 1 hält zunächst als Grundsatz geschäftsähnlichen Schuldverhältnisses bekannt ist und derfest, dass die Verwendung personenbezogener Daten für Betroffene auch damit rechnen kann, dass ihm die verant-Zwecke des Adresshandels, der Werbung oder der Markt- wortliche Stelle Werbung für weitere eigene Angebote deroder Meinungsforschung zulässig ist, wenn der Betroffene verantwortlichen Stelle zukommen lässt oder im Interesseentsprechend den Vorgaben des Absatzes 3a eingewilligt hat. der Fortsetzung des bestehenden rechtsgeschäftlichen oderDies ergibt sich allgemein bereits aus § 4 Absatz 1 zweite rechtsgeschäftsähnlichen Schuldverhältnisses eigene Markt-Alternative, jedoch sieht Absatz 3a insoweit eine Konkre- oder Meinungsforschung betreibt. Insoweit ist es ausrei-tisierung der wegen besonderer Umstände angemessenen chend, dass der Betroffene gegenüber der ihm auch bekann-Form nach § 4a Absatz 1 Satz 3 vor. Die verantwortliche ten verantwortlichen Stelle Gebrauch von seinem Wider-Stelle muss insoweit in Zukunft an den Betroffenen herantre- spruchsrecht nach § 28 Absatz 4 Satz 1 machen kann. Eineten und ihn, z. B. durch die Gewährung von Vorteilen, für ei- Kennzeichnung der Daten, um deren Herkunft nachvollzie-ne Einwilligung gewinnen. Diese in einigen Wirtschaftsbe- hen zu können, ist in dieser Konstellation damit auch ent-reichen schon übliche Praxis, z. B. im Rahmen von behrlich. Nicht erfasst von Absatz 3 Satz 2 Nummer 1 istKundenbindungsprogrammen durch Gewährung von Vortei- hingegen die Verwendung, die nicht der eigenen Markt- oderlen (ggf. gewisser zusätzlicher Punktwerte) eine Gegenleis- Meinungsforschung oder Zwecken der Werbung dient, dietung des Kunden in Form einer Einwilligung zu erhalten, nicht eigene Angebote betreffen. Insoweit rechnet der Be-wird zu auf Einwilligung gegründeten kommerziellen Da- troffene nicht damit, dass die verantwortliche Stelle seinetenbeständen führen. Eine gesetzliche Kennzeichnungs- personenbezogenen Daten, die sie im Rahmen eines rechts-pflicht der Daten, um deren Herkunft nachvollziehen zu kön- geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält-nen, ist in dieser Konstellation nicht erforderlich. Da die nisses erhoben hat, ohne weiteres Zutun des BetroffenenZulässigkeit der Datenverarbeitung auf der Einwilligung des auch dazu verwendet, sie an weitere Dritte zu veräußern oderBetroffenen beruht, ist diese von den verantwortlichen Stel- zur Verfügung zu stellen, damit diese an den Betroffenen mitlen gegenüber ihren Vertragspartnern aber auch bei auf- ihren Angeboten herantreten.sichtsbehördlichen Kontrollen nachzuweisen. Die konkreteUmsetzung wird nicht vorgegeben und bleibt den individu- Nach Absatz 3 Satz 2 Nummer 2 muss es sich um Werbung,ellen Bedürfnissen der Wirtschaft entsprechend ihr überlas- Markt- oder Meinungsforschung gegenüber freiberuflichsen, wird aber mit gewissen Kosten verbunden sein. oder gewerblich Tätigen handeln. Die Verwendung der per- sonenbezogenen Daten muss für diese Zwecke erforderlichDie Verwendung ist darüber hinaus nach dem Absatz 3 sein und sie muss sich auf die Geschäftsadresse der Betrof-Satz 2 bis 5 als gesetzliche Erlaubnis im Sinne des § 4 fenen beziehen. Letzteres soll verhindern, dass freiberuflichAbsatz 1 erste Alternative zulässig. Diese gesetzliche Er- oder gewerblich Tätige in ihrer Eigenschaft als Privatpersonlaubnis berührt selbstverständlich nicht die gesetzlichen An- an ihre private Adresse Werbung erhalten, die als Geschäfts-forderungen des § 11, soweit eine Auftragsdatenverarbei- werbung deklariert wird. Geschäftliche Werbung, Markt-tung erfolgt. Absatz 3 Satz 2 beschränkt die gesetzliche und Meinungsforschung unterliegen dem Bundesdaten-Erlaubnis für die Nummern 1 bis 3 generell auf die Verwen- schutzgesetz nur dann, wenn die dabei verwendeten Daten
  • 30. Drucksache 16/12011 – 32 – Deutscher Bundestag – 16. Wahlperiodez. B. aufgrund der Firmierung oder geringen Größe eines Nach Absatz 3 Satz 3 darf die verantwortliche Stelle fürUnternehmens einer bestimmten oder bestimmbaren Person Zwecke der Werbung für eigene Angebote oder der eigenenzuordenbar und nach § 3 Absatz 1 personenbezogene Daten Markt- oder Meinungsforschung zu den in Satz 2 Nummer 1sind. Für weite Bereiche der geschäftlichen Werbung trifft genannten Daten (Berufs-, Branchen- oder Geschäfts-dies nicht zu. Insoweit besteht eine unterschiedliche Behand- bezeichnung, Name, Titel, akademischer Grad, Anschrift,lung zum Teil vergleichbarer Unternehmen in Bezug auf ge- Geburtsjahr), die sie beim Betroffenen nach Absatz 1 Satz 1schäftliche Werbung. Sie rechtfertigt, bei solchen freiberuf- Nummer 1 erheben muss, weitere Daten hinzuspeichern. Dielich oder gewerblich Tätigen keine Einwilligung vorzusehen Beschränkung auf das „Hinzuspeichern“ stellt klar, dass dieund damit die unterschiedliche Behandlung gegenüber den verantwortliche Stelle die weiteren Daten gestützt auf eineUnternehmen zu erweitern, die bezüglich geschäftlicher andere Befugnis rechtmäßig erhoben, z. B. nach Absatz 1Werbung keinen Anforderungen des Bundesdatenschutzge- Satz 1 Nummer 3, oder rechtmäßig übermittelt bekommensetzes unterliegen, sondern weiterhin eine gesetzliche Er- haben muss. Absatz 3 Satz 3 ist keine eigene Erhebungs-laubnis vorzusehen. Auf diese Weise wird das informationel- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der ver-le Selbstbestimmungsrecht der betroffenen freiberuflich antwortlichen Stelle ermöglichen, einen eigenen Daten-oder gewerblich Tätigen auch nicht übermäßig einge- bestand, der direkt beim Betroffenen erhoben wurde, fürschränkt, da ihnen weiterhin das Widerspruchsrecht erhalten Zwecke der Eigenwerbung oder der eigenen Markt- oderbleibt. Eine gesetzliche Erlaubnis ist auch gerechtfertigt, Meinungsforschung zu selektieren, um die bestehendenweil Werbung, Markt- und Meinungsforschung im geschäft- Kunden gezielter ansprechen zu können. Die Transparenzlichen Verkehr zwischen Unternehmen mit Verbraucherwer- der Datenverwendung bleibt dabei weitgehend gewahrt, dabung nicht vergleichbar sind. Sie wird von den betroffenen der Datenverwender im Rahmen der Eigenwerbung odergewerblich oder freiberuflich Tätigen weniger als ein Ein- eigenen Markt- oder Meinungsforschung für den Betroffe-griff in ihr informationelles Selbstbestimmungsrecht wahr- nen erkennbar bleibt, z. B. zur Wahrnehmung des Wider-genommen als – im Übermaß – ein Eingriff in ihren einge- spruchsrechts nach Absatz 4 Satz 1.richteten und ausgeübten Gewerbebetrieb. Werbung, Markt-und Meinungsforschung verfolgen insoweit einen anderen Nach Absatz 3 Satz 4 ist die Nutzung für Zwecke der Wer-Zweck als bei Verbrauchern. Bei gewerblich oder freiberuf- bung, Markt- oder Meinungsforschung zudem zulässig,lich Tätigen erleichtert sie die Marktorientierung, z. B. hin- soweit sie zusammen mit Eigenwerbung oder eigener Markt-sichtlich der Angebote und Preise von Wettbewerbern, und oder Meinungsforschung nach Satz 2 Nummer 1 erfolgt,eröffnet Marktchancen und Investitionsanreize, z. B. bei aber auch sofern sie zusammen mit der Durchführung einesneuen Entwicklungen. Daher ist bei gewerblich oder freibe- rechtsgeschäftlichen Schuldverhältnisses oder rechtsge-ruflich Tätigen potentiell von einem größeren Interesse am schäftsähnlichen Schuldverhältnisses, z. B. im Rahmen derErhalt der mit der Werbung verbundenen Informationen aus- Zusendung der Leistung oder der Rechnung, erfolgt. Diezugehen als allgemein bei Verbrauchern, die zueinander Nutzung für „Zwecke der Werbung, Markt- oder Meinungs-nicht in Konkurrenz stehen. Vor dem Hintergrund der an- forschung“ verdeutlicht, dass es sich auch um Fremdwer-dersartigen Qualifikation und dem damit verbundenen gerin- bung oder fremdbezogene Markt- oder Meinungsforschunggeren Interesse gewerblich oder freiberuflich Tätiger, die handeln kann. Die Beschränkung auf „Nutzung“ stellt aller-Herkunft auf ihre – in aller Regel allgemein zugängliche – dings klar, dass die verantwortliche Stelle die personenbezo-Geschäftsadresse bezogene Werbung zurückzuverfolgen, genen Daten, die sie hierfür drittbezogen nutzen will, selbstkann von einer Kennzeichnung der Herkunft abgesehen wer- nach Absatz 1 Satz 1 Nummer 1 erhoben haben muss. Diesden. Die Regelung zielt auf eine Entlastung der in diesem gilt auch mittelbar, soweit auf Satz 2 Nummer 1 Bezug ge-Bereich besonders stark vertretenen spezialisierten kleinerer nommen wird. Absatz 3 Satz 4 ist keine eigene Erhebungs-und mittlerer Unternehmen. oder Übermittlungsbefugnis. Erlaubt wird damit so genannte Beipackwerbung, die insbesondere im Unternehmensver-Nach Absatz 3 Satz 2 Nummer 3 muss die Verwendung für bund und in Konzernen von Bedeutung, hierauf aber nichtZwecke der Spendenwerbung einer verantwortlichen Stelle beschränkt ist. Die Regelung zielt auch auf eine Entlastungerfolgen, wenn Spenden an diese gemäß § 10b Absatz 1 und spezialisierter kleinerer und mittlerer Unternehmen. Wie in§ 34g des Einkommensteuergesetzes steuerbegünstigt sind. Satz 3 bleibt die Transparenz der Datennutzung weitgehendInsofern wird der bestehende Zustand beibehalten. Zu den gewahrt, da der Datennutzer im Rahmen der Eigenwerbung,steuerbegünstigten Zwecken gehören u. a. gemeinnützige, der eigenen Markt- oder Meinungsforschung oder dermildtätige und kirchliche Zwecke nach den §§ 52 bis 54 der Durchführung des eigenen rechtsgeschäftlichen Schuldver-Abgabenordnung. Die Ausnahme ist beschränkt auf die Ver- hältnisses oder rechtsgeschäftsähnlichen Schuldverhältnis-wendung der Daten für Zwecke der Spendenwerbung. Die ses für den Betroffenen erkennbar bleibt, z. B. zur Wahr-Regelung begünstigt, in Anlehnung an bestehende steuer- nehmung des Widerspruchsrechts nach Absatz 4 Satz 1.liche Vergünstigungen, den finanziellen Fortbestand der Or- Insoweit erübrigt sich auch eine Herkunftskennzeichnung.ganisationen, in dem die werbliche Ansprache von Spendern Eine weitere tatsächliche Eingrenzung in der Praxis bestehterleichtert wird. Auch insoweit ist es ausreichend, dass der darin, dass der Betroffene zwar Fremdwerbung erhält, dieseBetroffene Gebrauch von seinem Widerspruchsrecht nach aber dem gleichzeitig in Erscheinung tretenden Datennutzer§ 28 Absatz 4 Satz 1 machen kann. Im Hinblick auf das zuordnet. Für den Betroffenen ist transparent, wer seine per-öffentliche Interesse, das an Empfängern steuerbegünstigter sonenbezogenen Daten für die Fremdwerbung kommerziellSpenden einerseits besteht und den erheblichen Aufwand, nutzt. Dies wirkt sich potentiell negativ für den Datennutzerden eine Kennzeichnung andererseits mit sich bringen wür- aus. Packt er z. B. zu viel, unerwünschte oder qualitativ min-de, ist insoweit eine Pflicht zur Kennzeichnung der Herkunft derwertige Werbung bei, droht ihm ein Vertrauensschadender Daten verzichtbar. bei dem Betroffenen oder gar dessen Widerspruch nach
  • 31. Deutscher Bundestag – 16. Wahlperiode – 33 – Drucksache 16/12011Absatz 4 Satz 1. Daher ist nicht zu erwarten, dass sich auf felsfrei zum Ausdruck bringt, dass er die Einwilligung be-die Ausnahme des Satzes 4 gestützte missbräuchliche Ge- wusst erteilt. § 4a Absatz 1 Satz 4 sieht insoweit lediglichschäftsformen etablieren. vor, dass die Einwilligung besonders hervorgehoben werdenNach Absatz 3 Satz 5 ist die Verwendung personenbezoge- muss, z. B. durch eine auffällige typographische Gestaltungner Daten nach den Sätzen 2 bis 4 unbeschadet der dortigen (größere Schrifttype, Fettdruck, Umrahmung). Satz 2 willVoraussetzungen nur zulässig, soweit schutzwürdige Interes- für den hier zu regelnden Bereich sicherstellen, dass es kei-sen des Betroffenen nicht entgegenstehen. Satz 5 gewähr- nen Zweifel darüber gibt, dass der Betroffene seine Einwilli-leistet, wie die bestehende Regelung des § 28 Absatz 3 gung in die Weitergabe seiner Daten für Werbezwecke gege-Satz 1 Nummer 3 und § 28 Absatz 1 Satz 1 Nummer 2, die ben hat. Die Bundesregierung wird die Auswirkungen desnotwendige Flexibilität für die gesetzlichen Erlaubnistat- Formerfordernisses aufmerksam beobachten und drei Jahrebestände, im Einzelfall zu abweichenden Ergebnissen zu nach Inkrafttreten ergebnisoffen evaluieren.gelangen, da anders als bei Satz 1 keine Einwilligung des Absatz 3b sieht vor, dass die verantwortliche Stelle sich dieBetroffenen als Manifestation seiner informationellen Einwilligung des Betroffenen nach Absatz 3 Satz 1 in eineSelbstbestimmung bekannt ist und zugrunde gelegt werden Verwendung seiner personenbezogenen Daten, die nichtkann. Zwecken der Werbung für eigene Angebote oder der eigenenAbsatz 3 Satz 6 enthält die im Bundesdatenschutzgesetz üb- Markt- oder Meinungsforschung dient, nicht auf dem Wegeliche Zweckbindung, wie sie sich unter anderem in Absatz 5 verschaffen darf, dass sie hiervon den Abschluss eines Ver-Satz 1 für Dritte befindet. trages abhängig macht. Dieses Kopplungsverbot von Ver- tragsabschluss und Einwilligung ist aufgrund seiner Ein-Nach Absatz 3a Satz 1 unterliegt die Einwilligung der allge- schränkung der Vertragsgestaltungsfreiheit auf die Fällemeinen Form des § 4a Absatz 1 Satz 3 des Bundesdaten- begrenzt, in denen dem Betroffenen ein anderer Zugang zuschutzgesetzes, d. h. die Einwilligung bedarf der Schrift- gleichwertigen vertraglichen Gegenleistungen ohne die Ein-form, soweit nicht wegen besonderer Umstände eine andere willigung nicht oder nicht in zumutbarer Weise möglich ist.Form angemessen ist. Soweit eine andere Form angemessen Die Formulierung lehnt sich damit an die bisherigen be-ist, geht es um ein Abweichen von der Erklärungsform. Es reichsspezifischen Kopplungsverbote in § 95 Absatz 5 desbedarf jedoch weiterhin einer ausdrücklichen, das Einver- Telekommunikationsgesetzes und in § 12 Absatz 3 des Tele-ständnis des Betroffenen dokumentierenden Erklärung. Eine mediengesetzes an und ergänzt diese durch die Wörter „ohnekonkludente, stillschweigende oder gar mutmaßliche Ein- die Einwilligung“. Erfasst werden soll auf diese Weise diewilligung reicht daher nicht aus. Wann besondere Umstände Konstellation, dass die marktbeteiligten Unternehmen fürdes Einzelfalls vorliegen, kann nicht abstrakt dargestellt sich genommen jeweils keine marktbeherrschende Stellungwerden, sondern ist abhängig von den spezifischen Umstän- besitzen und dem Betroffenen daher ein Zugang zu gleich-den der Verarbeitung. Die grundsätzlich vorgesehene wertigen vertraglichen Leistungen an sich in zumutbarerSchriftform soll ohne Zweifel dokumentieren, dass der Be- Weise möglich ist, z. B. durch Absprachen unter den markt-troffene sich damit einverstanden erklärt hat, dass seine per- beteiligten Unternehmen, aber marktweit immer nur, wennsonenbezogenen Daten auch für fremde Zwecke der Wer- er seine Einwilligung erteilt. Umgekehrt formuliert: Ein Zu-bung oder Markt- oder Meinungsforschung verwendet gang ist nicht in zumutbarer Weise möglich, wenn er nur mitwerden können. Die Schriftform soll dabei ermöglichen, et- Einwilligung nach Absatz 3 Satz 1 möglich ist.waige Grenzen der Einwilligung (z. B. Übermittlung nurinnerhalb des Konzerns oder nur an bestimmte Dritte oder Die Änderungen in Absatz 4 Satz 1 und 3 sind redaktionellenur Nutzung aber keine Übermittlung) nachzuvollziehen. Anpassungen an die Formulierung des Absatzes 3.Zugleich soll die Schriftform dem Betroffenen die Bedeu- Die Änderung in Satz 2 und der neue Satz 4 bezwecken einetung der Einwilligung vor Augen führen, da die hierdurch Stärkung des Widerspruchsrechts der Betroffenen. Nachermöglichte Übermittlung an Dritte es ihm erschwert, von Satz 1 besitzen die Betroffenen die Möglichkeit, der Ver-seinem Widerrufsrecht Gebrauch zu machen. Wird die Ein- arbeitung oder Nutzung ihrer personenbezogenen Daten fürwilligung in anderer Form als der Schriftform erteilt, hat die Zwecke der Werbung, Markt- oder Meinungsforschung zuverantwortliche Stelle dem Betroffenen den Inhalt der Ein- widersprechen. Nach dem bisherigen Satz 2 ist der Betroffe-willigung schriftlich zu bestätigen, damit er kontrollieren ne hierüber erst bei der werblichen Ansprache zu unterrich-kann, ob die verantwortliche Stelle die erteilte Einwilligung ten, d. h. nach einer Verarbeitung oder Nutzung seiner perso-korrekt dokumentiert hat. Einer schriftlichen Bestätigung nenbezogenen Daten für diese Zwecke. Satz 2 sieht vor, dassbedarf es nicht, wenn die verantwortliche Stelle bestimmte der Betroffene bei der Begründung eines rechtsgeschäft-technische Vorkehrungen trifft, die sich in dieser Form be- lichen Schuldverhältnisses oder rechtsgeschäftsähnlichenreits in § 94 des Telekommunikationsgesetzes und § 13 Schuldverhältnisses künftig auch zu diesem Zeitpunkt aufAbsatz 2 des Telemediengesetzes wiederfinden. Die verant- sein Widerspruchsrecht hinzuweisen ist, um bereits zu die-wortliche Stelle hat bei einer elektronisch erklärten Einwilli- sem Zeitpunkt, vor der Verarbeitung oder Nutzung zugung sicherzustellen, dass die Einwilligung protokolliert Zwecken der Werbung, Markt- oder Meinungsforschung,wird und der Betroffene den Inhalt der Einwilligung jeder- Kenntnis von dem Widerspruchsrecht zu erlangen und gege-zeit abrufen und die Einwilligung jederzeit mit Wirkung für benenfalls unmittelbar Gebrauch zu machen. Hieran an-die Zukunft widerrufen kann. Satz 2 sieht vor, dass die Ein- knüpfend sieht Satz 4 vor, dass für den Widerspruch keinewilligung, wenn sie im Zusammenhang mit anderen Erklä- strengere Form verlangt werden darf als für die Begründungrungen erteilt wird, nur wirksam ist, wenn der Betroffene des rechtsgeschäftlichen Schuldverhältnisses oder rechts-durch Ankreuzen, durch eine gesonderte Unterschrift oder geschäftsähnlichen Schuldverhältnisses. Derzeit ist teilweiseein anderes, ausschließlich auf die Einwilligung in die Wei- zu beobachten, dass zwar mit geringen Formerfordernissentergabe seiner Daten für Werbezwecke bezogenes Tun zwei- ein Vertragsabschluss möglich ist, z. B. durch elektronische
  • 32. Drucksache 16/12011 – 34 – Deutscher Bundestag – 16. WahlperiodeErklärung im Internet, an den Widerspruch dagegen höhere Voraussetzung ist, dass die verantwortliche Stelle anhandAnforderungen gestellt werden, z. B. die Schriftform. von tatsächlichen Anhaltspunkten, z. B. aus dem eigenenDie Änderung in Absatz 9 Satz 4 ist eine redaktionelle Sicherheitsmanagement oder durch Hinweise von Strafver-Anpassung an die Verschiebung des Erlaubnistatbestandes folgungsorganen und unter Einbeziehung des Beauftragtendes bestehenden Absatzes 3 Satz 1 Nummer 2 zu Absatz 2 für den Datenschutz nach § 4g Absatz 1 Satz 1 feststellt,Nummer 2 Buchstabe b. dass bei der verantwortlichen Stelle gespeicherte personen- bezogene Daten unrechtmäßig übermittelt oder auf sonstigeZu Nummer 6 (§ 29) Weise Dritten nach § 3 Absatz 8 Satz 2 zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die RechteDie Änderungen in § 29 Absatz 1 und 2 sind notwendige oder schutzwürdigen Interessen der Betroffenen drohen.redaktionelle Änderungen und Folgeänderungen, durch die Letzteres bestimmt sich unter anderem nach der Art der be-die Änderungen in § 28 Absatz 3 bis 3b auch auf die ge- troffenen Daten und den potenziellen Auswirkungen derschäftsmäßige Datenerhebung und -verarbeitung übertragen unrechtmäßigen Kenntniserlangung durch Dritte auf die Be-werden. troffenen (z. B. materielle Schäden bei Kreditkarteninforma-Die Änderungen in Absatz 1 Satz 1 sind redaktionelle Anpas- tionen oder soziale Nachteile einschließlich des Identitätsbe-sungen an § 28. Die Vorschrift in Absatz 1 Satz 2 sieht vor, trugs). Die verantwortliche Stelle hat – unter Einbeziehungdass die Änderungen in § 28 Absatz 3 bis 3b auch für die ge- des Beauftragten für den Datenschutz nach § 4g Absatz 1schäftsmäßige Erhebung, Speicherung oder Veränderung per- Satz 1 – in diesem Fall sowohl die zuständige Datenschutz-sonenbezogener Daten zum Zweck der Übermittlung gelten. aufsichtsbehörde als auch die Betroffenen zu informieren.Die Änderungen in Absatz 2 Satz 1 sind redaktionelle Folge- Bei nichtöffentlichen Stellen ist die zuständige Datenschutz-änderungen aus der Streichung des § 28 Absatz 3 Satz 1 aufsichtsbehörde grundsätzlich die Aufsichtsbehörde nachNummer 3. Die Vorschrift in Absatz 2 Satz 2 sieht vor, dass § 38, bei Post- und Telekommunikationsunternehmen derdie Änderungen in § 28 Absatz 3 bis 3b auch für die ge- Bundesbeauftragte für den Datenschutz und die Informa-schäftsmäßige Übermittlung im Rahmen der Zwecke nach tionsfreiheit nach § 24.§ 29 Absatz 1 gelten. Die Benachrichtigung soll nach Satz 1 sowohl gegenüber der Aufsichtsbehörde als auch den Betroffenen unverzüglich,Zu Nummer 7 (§ 33 Absatz 2 Satz 1 Nummer 8 d. h. nach der Legaldefinition des § 121 des Bürgerlichen Ge- Buchstabe b) setzbuchs ohne schuldhaftes Zögern, erfolgen. Satz 2 siehtEs handelt sich um eine Folgeänderung der unter Nummer 6 dabei eine Differenzierung vor. Während die Benachrichti-vorgesehenen Änderung. gung der Aufsichtsbehörden aufgrund ihrer Verschwiegen- heitspflicht auch vor der Beseitigung von Datensicherheits-Zu Nummer 8 (§ 42a) lücken und im Falle laufender StrafverfolgungsmaßnahmenDie Vorschrift enthält eine Informationspflicht für nicht- erfolgen muss, stellt Satz 2 für die Benachrichtigung der Be-öffentliche Stellen und ihnen datenschutzrechtlich gleichge- troffenen klar, dass ein schuldhaftes Zögern insbesonderestellte öffentlich-rechtliche Wettbewerbsunternehmen. Sons- dann nicht gegeben ist, soweit die Datensicherungspflichtentige öffentliche Stellen werden nicht einbezogen. Die Infor- des § 9 oder Interessen der Strafverfolgung einer Veröffent-mationspflicht besteht, wenn bestimmte besonders sensible lichung der Datenschutzverletzung vorläufig noch entgegen-personenbezogene Daten Dritten unrechtmäßig zur Kenntnis stehen. Im ersteren Fall zielt die Regelung darauf ab, demgelangen und schwerwiegende Beeinträchtigungen für die Verpflichteten die Möglichkeit zu geben, etwaige technischeRechte oder schutzwürdigen Interessen der Betroffenen dro- Sicherheitslücken, unter deren Ausnutzung die Datenschutz-hen. Die Vorschrift knüpft an einen Vorschlag der Kommis- verletzung erfolgte, zu analysieren und so weit wie möglichsion der Europäischen Gemeinschaften zur Änderung der zu beheben, bevor breitere Kreise von der Lücke KenntnisRichtlinie 2002/58/EG über die Verarbeitung personenbezo- erhalten. Andernfalls besteht Gefahr, dass Dritte von diesergener Daten und den Schutz der Privatsphäre in der elektro- Kenntnis profitieren, um selbst die fragliche Sicherheitslückenischen Kommunikation (KOM(2007) 698 endg.) und Rege- auszunutzen. Dies entspricht dem in Fachkreisen mitlungen im Recht der Vereinigten Staaten von Amerika an. „Responsible Disclosure“ („Verantwortungsvolle Offen- legung“) bezeichneten Vorgehen. Nach den Grundsätzen derDie Informationspflicht ist nach Satz 1 Nummer 1 bis 4 auf „Responsible Disclosure“ wird nach dem Finden einerbesonders sensible personenbezogene Daten aus dem Verfü- Schwachstelle als erstes der Hersteller informiert. Erst nachgungsbereich der verantwortlichen Stelle begrenzt. Hierzu einer angemessenen Frist werden die Schwachstelle und diegehören besondere Arten personenbezogener Daten nach § 3 diese ausnutzende Software veröffentlicht. Der HerstellerAbsatz 9, personenbezogene Daten, die einem Berufsge- soll damit die Möglichkeit bekommen, das Problem zu behe-heimnis unterliegen, personenbezogene Daten, die sich auf ben, indem er eine neue, sichere Version seiner Software er-strafbare Handlungen oder Ordnungswidrigkeiten oder den stellt. Auch soll der Hersteller dadurch in die Lage versetztVerdacht strafbarer Handlungen oder Ordnungswidrigkeiten werden, die Anwender über die neue Version der Software zubeziehen, und personenbezogene Daten zu Bank- oder Kre- informieren und sie an die Anwender zeitnah auszuliefern.ditkartenkonten. Für Bestandsdaten nach § 3 Nummer 3 des Im zweiten Fall dürfen Ermittlungen der Strafverfolgungs-Telekommunikationsgesetzes und Verkehrsdaten nach § 3 organe bei einem kriminellen Hintergrund durch die Offen-Nummer 30 des Telekommunikationsgesetzes sowie Be- legung nicht gefährdet werden.standsdaten nach § 14 des Telemediengesetzes und Nut-zungsdaten nach § 15 des Telemediengesetzes ist eine be- Der Inhalt der Benachrichtigung variiert nach dem Empfän-reichsspezifische Regelung im Telekommunikationsgesetz ger. Die Benachrichtigung der Betroffenen muss nach Satz 3und im Telemediengesetz vorgesehen. für dessen Verständnishorizont eine Darlegung der Art der
  • 33. Deutscher Bundestag – 16. Wahlperiode – 35 – Drucksache 16/12011Verletzung und Empfehlungen für Maßnahmen zur Minde- Aus Sicht der Aufsichtspraxis wird dieses Erfordernis desrung möglicher nachteiliger Folgen enthalten, z. B. beim Öfteren nicht beachtet und kann bislang mangels Bußgeld-Verlust von Bankdaten. Die Benachrichtigung der Aufsichts- bewehrung auch nur unzureichend gegen die verantwortli-behörde muss nach Satz 4 eine Darlegung möglicher nach- che Stelle durchgesetzt werden. Nach Nummer 2b handeltteiliger Folgen der Verletzung und der vom Betreiber nach der Auftraggeber ordnungswidrig, wenn er entgegen § 11der Verletzung ergriffenen Maßnahmen enthalten. Dies soll Absatz 2 Satz 2 den Auftrag nicht schriftlich erteilt oderdie Aufsichtsbehörde in den Stand versetzen sicherzustellen, nicht die vorgegebenen Festlegungen hinsichtlich der Daten-dass der datenschutzrechtliche Verstoß beseitigt wurde. Eine erhebung oder -verwendung sowie die technischen und orga-Benachrichtigung der Betroffenen kann für die verantwort- nisatorischen Maßnahmen und Unterauftragsverhältnisseliche Stelle einen unverhältnismäßigen Aufwand an Kosten festlegt. Die Aufsichtspraxis weist darauf hin, dass ein voll-und Zeit verursachen, z. B. bei einer vorherigen Ermittlung ständiger schriftlicher Auftrag die Ausnahme ist. Die Buß-der Adressdaten der Betroffenen, sofern diese der verant- geldbewehrung soll es der Praxis ermöglichen, die gesetzlichwortlichen Stelle nicht bekannt sind. An Stelle der direkten vorgesehenen Rahmenbedingungen der Auftragsdatenverar-Benachrichtigung der Betroffenen tritt mit deren Inhalt nach beitung besser durchsetzen zu können. Nach Nummer 3aSatz 5 eine Information der Öffentlichkeit. Dies wird durch handelt die verantwortliche Stelle ordnungswidrig, die ent-Anzeigen, die mindestens eine halbe Zeitungsseite um- gegen § 28 Absatz 4 Satz 4 für den Widerspruch des Betrof-fassen, in mindestens zwei bundesweit erscheinenden Tages- fenen, seine personenbezogenen Daten für Zwecke der Wer-zeitungen sichergestellt. bung, Markt- oder Meinungsforschung zu verwenden, eineSatz 6 enthält ein flankierendes strafrechtliches Verwer- strengere Form verlangt als für die Begründung des rechts-tungsverbot, wie es auch in anderen Vorschriften, z. B. § 97 geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält-Absatz 1 Satz 2 der Insolvenzordnung, vorgesehen ist. Da- nisses, in dessen Rahmen diese Daten erhoben werden.nach dürfen die Benachrichtigung bzw. die darin enthaltenen In § 43 Absatz 2 werden zwei neue Bußgeldtatbestände auf-Informationen in einem Strafverfahren oder in einem Ver- genommen und ein bestehender Bußgeldtatbestand geän-fahren nach dem Gesetz über Ordnungswidrigkeiten gegen dert: In Nummer 5 wird die Angabe „, indem er sie an Dritteden Benachrichtigungspflichtigen oder einen seiner Ange- weitergibt“ gestrichen. Dadurch wird die zweckwidrige Nut-hörigen nach § 52 Absatz 1 der Strafprozessordnung nur mit zung in den dort genannten Fällen allgemein bußgeldbe-Zustimmung des Benachrichtigungspflichtigen verwendet wehrt und nicht länger auf den Fall beschränkt, dass diewerden. Auf diese Weise wird das Spannungsverhältnis ver- zweckwidrige Nutzung in der Weitergabe an Dritte besteht.fassungskonform aufgelöst, dass der Betroffene entweder Nach Nummer 5a handelt die verantwortliche Stelle ord-sich selbst bezichtigt oder nach § 43 Absatz 2 Nummer 7 nungswidrig, wenn sie entgegen § 28 Absatz 4 Satz 1, d. h.sich ordnungswidrig verhält. Dabei ist zu berücksichtigen, trotz des Widerspruchs eines Betroffenen, seine personenbe-dass eine Selbstbezichtigung bei juristischen Personen nicht zogenen Daten für Zwecke der Werbung, der Markt- oderder Regelfall ist, für einen Teil der betroffenen Unternehmen Meinungsforschung verarbeitet oder nutzt. Nach der neuen(z. B. Ein-Mann-GmbH) aber jedenfalls tatbestandlich in Nummer 7 handelt schließlich die Stelle ordnungswidrig, dieBetracht kommt. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.Zu Nummer 9 (§ 43) Der derzeitige Bußgeldrahmen für Verstöße gegen den Buß-Die Änderungen in § 43 zielen auf eine Erweiterung der geldkatalog des § 43 Absatz 1 beträgt fünfundzwanzig-Bußgeldtatbestände, indem im Vollzug beklagte Lücken bei tausend Euro, für Verstöße gegen den Bußgeldkatalog desden Bußgeldtatbeständen geschlossen werden und der beste- § 43 Absatz 2 beträgt er zweihundertfünfzigtausend Euro.hende Bußgeldrahmen erhöht sowie die ausdrückliche Mög- Der Bußgeldrahmen geht zurück auf die Überarbeitung derlichkeit eingeräumt wird, bei der Bußgeldbemessung den Straf- und Bußgeldvorschriften im Jahre 2001. Seitdem hatwirtschaftlichen Vorteil des Täters aus der Ordnungswidrig- sich die Informationstechnik weiter verbreitet und durch-keit zu übersteigen. dringt zunehmend auch wirtschaftlich relevante BereicheIn § 43 Absatz 1 werden drei neue Bußgeldtatbestände auf- des alltäglichen Lebens. Damit einher gehen eine wachsendegenommen: Nach Nummer 2a handelt die speichernde Stelle wirtschaftliche Bedeutung personenbezogener Daten undordnungswidrig, wenn sie entgegen § 10 Absatz 4 Satz 3 bei ein gesteigertes Missbrauchspotential, das mittlerweile ge-einem automatisierten Abrufverfahren nicht gewährleistet, schäftsmäßig genutzt wird. Der Abschreckungseffekt desdass die Übermittlung personenbezogener Daten durch Ab- bisherigen Bußgeldrahmens ist dadurch erodiert, was sichruf durch geeignete Stichprobenverfahren festgestellt und u. a. in einer gestiegenen Zahl öffentlich bekannt geworde-überprüft werden kann. Die Übermittlung personenbezoge- ner Verstöße niederschlägt. Die gestiegene, auch wirtschaft-ner Daten durch Abruf, die vor allem bei größeren Daten- liche Bedeutung des Datenschutzrechts spiegelt sich nichtbeständen und einer größeren Anzahl von Übermittlung an- mehr ausreichend in dem bestehenden Bußgeldrahmen wi-gewandt wird, ist aus Sicht des Rechts auf informationelle der, der hinter jüngeren, vergleichbaren Bußgeldrahmen desSelbstbestimmung gefahrgeneigt, weil die übermittelnde bereichsspezifischen Datenschutzrechts zurückbleibt. SoStelle die personenbezogenen Daten lediglich zum Abruf sieht der Bußgeldrahmen im Bereich des Telekommunika-bereitstellt, vor der Übermittlung durch Abruf jedoch im tionsrechts in § 149 Absatz 2 des Telekommunikationsgeset-Regelfall keine weitere Prüfung der Zulässigkeit vornimmt. zes und auch der Bußgeldrahmen des Entwurfs für ein Gen-Diese fehlende Vorabprüfung wird datenschutzrechtlich un- diagnostikgesetz in § 26 Absatz 2 einen Bußgeldrahmen vonter anderem dadurch aufgefangen, dass nachträglich durch dreihunderttausend Euro vor. Der Bußgeldrahmen für Ver-Stichprobenverfahren gewährleistet wird, dass die übermit- stöße gegen materielle Vorschriften im Bußgeldkatalog destelnde Stelle die Zulässigkeit des Abrufs überprüfen kann. § 43 Absatz 2 ist daher moderat von zweihundertfünfzig-
  • 34. Drucksache 16/12011 – 36 – Deutscher Bundestag – 16. Wahlperiodetausend Euro auf dreihunderttausend Euro anzupassen. Zu- Zu Artikel 4gleich wird der Bußgeldrahmen für Verstöße gegen Verfah-rensvorschriften im Bußgeldkatalog des § 43 Absatz 1 von Zu Nummer 1 (§ 93 Absatz 3)fünfundzwanzigtausend Euro auf fünfzigtausend Euro er- Die Vorschrift des § 42a des Bundesdatenschutzgesetzes sollhöht. Dadurch soll auch der relativ gestiegenen Bedeutung bereichsspezifisch auch für Bestands- und Verkehrsdatender Verfahrensvorschriften, wie etwa die Meldepflicht auto- nach § 3 Nummer 3 und 30 des Telekommunikationsgeset-matisierter Verarbeitungen gegenüber den Aufsichtsbehör- zes Anwendung finden.den oder die Pflicht zur Bestellung eines Beauftragten fürden Datenschutz, gegenüber den materiellen Schutzvor-schriften Rechnung getragen werden. Zu Nummer 2 (§ 95 Absatz 5)Die Sätze 2 und 3 treten ergänzend zu der Verschärfung des Es handelt sich um eine Änderung des Telekommunikations-Bußgeldrahmens. Sie stellen sicher, dass Tätern aus der Ord- gesetzes, die aus der Einführung eines entsprechendennungswidrigkeit kein wirtschaftlicher Vorteil verbleibt und Kopplungsverbotes im Bundesdatenschutzgesetz folgt. Bis-einen Anreiz für weitere Verstöße bietet. Satz 2 sieht inso- her besteht das eingeschränkte Kopplungsverbot nach § 95weit als Vorgabe für die Bemessung der Geldbuße vor, dass Absatz 5 des Telekommunikationsgesetzes als eine Spezial-sie den wirtschaftlichen Vorteil übersteigen soll. Soweit hier- regelung für Anbieter von Telekommunikationsdiensten.für im Einzelfall auch der nun erhöhte Bußgeldrahmen nicht Aus der Einführung eines Kopplungsverbotes im Bundes-ausreicht, kann er überschritten werden. Die Regelungen datenschutzgesetz ergibt sich die Notwendigkeit, das bereitssollen in Anlehnung an bereichsspezifische Vorbilder, z. B. bestehende Kopplungsverbot im Telekommunikationsgesetzin § 149 Absatz 3 Satz 2, 3 des Telekommunikationsgeset- an die neue Regelung im Bundesdatenschutzgesetz anzupas-zes, eine Hervorhebung und Klarstellung für die Aufsichts- sen, um klarzustellen, dass beide Kopplungsverbote inhalt-behörden in der Vollzugspraxis mit sich bringen, die in der lich deckungsgleich sind und sich lediglich an unterschied-Vergangenheit aufgrund rechtlicher oder tatsächlicher Zwei- liche Adressaten, nämlich auf der einen Seite an diefel von der Möglichkeit keinen Gebrauch gemacht haben. nichtöffentlichen Stellen im Sinne des Bundesdatenschutz- gesetz und auf der anderen Seite an die Diensteanbieter imZu Nummer 10 (§ 47) Sinne des Telekommunikationsgesetzes, richten. Es wird klargestellt, dass das Kopplungsverbot greift, wenn ein ande-Die Vorschrift sieht eine Übergangsvorschrift von 36 Mona- rer Zugang zu einem Telekommunikationsdienst ohne Ein-ten vor mit Blick auf die neuen Anforderungen an die Erhe- willigung nicht oder nicht in zumutbarer Weise möglich ist.bung personenbezogener Daten. Mit dem Stichtag 1. Juli2012 gelten die neuen Anforderungen. Die betroffenen ver-antwortlichen Stellen werden daher bereits vor dem Inkraft- Zu Artikel 5treten zum 1. Juli 2012 beginnen müssen, ihre Datenerhe- Das Bundesdatenschutzgesetz ist zuletzt im Jahre 2003 be-bung schrittweise umzustellen. kannt gemacht worden. Da es seither mehrfach und in größe- rem Umfang geändert worden ist, erlaubt Artikel 5 eine Neu-Zu Artikel 3 bekanntmachung.Zu Nummer 1 (§ 11 Absatz 3) Zu Artikel 6Es handelt sich um eine redaktionelle Folgeänderung zuNummer 2. Die Vorschrift regelt das Inkrafttreten des Gesetzes.Zu Nummer 2 (§ 12 Absatz 3) Artikel 1 des Gesetzes, das Datenschutzauditgesetz, soll am Tag nach der Verkündung in Kraft treten, damit sich der Da-Es handelt sich um eine Änderung des Telemediengesetzes, tenschutzauditausschuss frühzeitig konstituieren und mit derdie aus der Einführung eines entsprechenden Kopplungsver- Erarbeitung und dem Beschluss von Richtlinien zur Verbes-botes im Bundesdatenschutzgesetz folgt. Bisher besteht das serung des Datenschutzes und der Datensicherheit alseingeschränkte Kopplungsverbot nach § 12 Absatz 3 des Grundlage für die Kennzeichnung mit dem Datenschutz-Telemediengesetzes als eine Spezialregelung für Tele- auditsiegel beginnen kann. Es soll weiterhin frühzeitig er-medienanbieter. Dafür besteht kein Anlass mehr, denn die möglicht werden, dass sich private Kontrollstellen gründenallgemeinen Datenschutzregeln gelten nach § 12 Absatz 4 und zulassen. Schließlich sollen Bund und Länder frühzeitigdes Telemediengesetzes auch für Telemedienanbieter. in die Lage versetzt werden, von der Ermächtigung zum Er- lass von als notwendig erachteter Rechtsverordnungen Ge-Zu Nummer 3 (§ 15a) brauch zu machen. Die Möglichkeit, ein DatenschutzauditDie Vorschrift des § 42a des Bundesdatenschutzgesetzes soll nach dem Datenschutzauditgesetz durchzuführen, soll nachbereichsspezifisch auch für Bestands- und Nutzungsdaten § 20 des Datenschutzauditgesetzes aufgrund dieser notwen-nach den §§ 14, 15 des Telemediengesetzes Anwendung fin- digen Vorbereitungsmaßnahmen erst ab dem 1. Juli 2010den. möglich sein. Die Artikel 2, 3 und 4 des Gesetzes sollen am 1. Juli 2009 inZu Nummer 4 (§ 16 Absatz 2) Kraft treten. Aufgrund der Übergangsvorschrift in Artikel 2Es handelt sich um eine Folgeänderung zu Nummer 2. Dabei Nummer 10 verbleiben den betroffenen verantwortlichenentfällt die Bußgeldbewehrung des Kopplungsverbots, da Stellen damit drei Jahre, ihre Datenbestände den neuen An-§ 28 Absatz 3b (neu) des Bundesdatenschutzgesetzes nicht forderungen anzupassen und Daten nach der neuen Fassungbußgeldbewehrt ist. des § 28 des Bundesdatenschutzgesetzes zu erheben.
  • 35. Deutscher Bundestag – 16. Wahlperiode – 37 – Drucksache 16/12011 Anlage 2Stellungnahme des Nationalen NormenkontrollratesDer Nationale Normenkontrollrat hat den Gesetzentwurf auf Praxis dazu führen, dass bei denjenigen Rechtsgeschäften,Bürokratiekosten, die durch Informationspflichten begrün- bei denen der Kunde persönliche Daten angeben muss unddet werden, geprüft. der Verkäufer beabsichtigt, die Kundendaten zu Werbe-Mit dem Gesetz werden 15 Informationspflichten für die zwecke an Dritte weiterzugeben, der Kunde zukünftig ge-Wirtschaft und zwölf Informationspflichten für die Verwal- fragt werden muss, ob er mit der Weitergabe seiner Datentung eingeführt. Die Informationspflichten führen zu einer einverstanden ist. Das Bundesministerium des Innern ist hierjährlichen Belastung der Wirtschaft in Höhe von ca. von einer Fallzahl von 30 Millionen jährlich und einem Auf-10,1 Mio. Euro. Informationspflichten für Bürgerinnen und wand von einer Minute je Vorgang ausgegangen, so dass beiBürger sind in dem Gesetzentwurf nicht enthalten. einem durchschnittlichen Stundensatz von 19,30 Euro eine jährliche Belastung von 9,65 Mio. Euro entsteht.Die mit dem Entwurf entstehenden Bürokratiekosten zumDatenschutzaudit belaufen sich auf ca. 125 000 Euro jähr- Der Normenkontrollrat hält die dargestellten Bürokratiekos-lich. Insoweit muss festgehalten werden, dass die konkrete ten für plausibel. Von der Regelung am stärksten betroffenAusgestaltung des Auditierungsverfahrens einer noch zu er- dürften Unternehmen im Massengeschäft sein, bei denenlassenden Rechtsverordnung vorbehalten ist. Der Rat fordert große Bestände an Kundendaten anfallen bzw. vorhandendas Bundesministerium des Innern auf, beim Erlass der sind. Insbesondere im Versandhandel und im Telekommuni-Rechtsverordnung darauf zu achten, dass die hierfür erfor- kationsbereich dürfte die Neuregelung daher dazu führen,derlichen Informationspflichten möglichst bürokratiekosten- dass die entsprechenden Bestellformulare um ein entspre-arm ausgestaltet sind. chendes Einwilligungsfeld ergänzt werden. Der erforderli- che Bearbeitungsaufwand dürfte mit einer Minute je FallDer Großteil der mit dem Entwurf entstehenden Bürokratie- ausreichend bemessen sein.kosten (ca. 9,65 Mio. Euro) ist auf die Neufassung des § 28Absatz 3 Satz 1 des Bundesdatenschutzgesetzes (BDSG) zu- Kostengünstigere Alternativen sind dem Normenkontrollratrückzuführen. Danach ist die Verwendung personenbezoge- derzeit nicht ersichtlich. Der Rat regt an, insbesondere diener Daten für Zwecke des Adresshandels, der Werbung oder Regelung des § 28 Absatz 3 Satz 1 BDSG nach zwei Jahrender Markt- oder Meinungsforschung zukünftig nur zulässig, dahingehend zu überprüfen, ob das damit verbundene politi-wenn der Betroffene eingewilligt hat. Dies dürfte in der sche Ziel erreicht worden ist.
  • 36. Drucksache 16/12011 – 38 – Deutscher Bundestag – 16. WahlperiodeAnlage 3Stellungnahme des BundesratesDer Bundesrat hat in seiner 854. Sitzung am 13. Februar schutzaufsichtsbehörden für den nichtöffentlichen2009 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Bereich ist unklar.Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen: Der Gesetzentwurf sieht vor, dass Unternehmen, Be- triebe und sonstige private Stellen ihr Datenschutz-1. Zu Artikel 1 (DSAG allgemein) konzept und ihre informationstechnischen Einrich- tungen durch eine weitere Kontrollstelle überprüfen Der in Artikel 1 vorgesehene Entwurf eines Daten- lassen können. Hierdurch kann sowohl die Stellung schutzauditgesetzes bedarf einer grundlegenden Über- des jeweiligen betrieblichen Datenschutzbeauftragten arbeitung. Denn das im Gesetzentwurf vorgesehene Ver- als auch die Stellung der zuständigen Datenschutz- fahren für ein Datenschutzaudit ist bürokratisch, aufsichtsbehörde nachhaltig beeinträchtigt werden. kostenträchtig und nicht transparent. Dies gilt insbesondere dann, wenn bei der Beurteilung von Datenschutzfragen Meinungsverschiedenheiten a) Der Gesetzentwurf bringt eine überbordende, über- zwischen der privaten Kontrollstelle und den für die flüssige Bürokratie mit sich. Es sollen private Kon- Datenschutzkontrolle zuständigen Aufsichtsbehörden trollstellen eingerichtet werden, die erst vom Bundes- auftreten. beauftragten für den Datenschutz zugelassen und dann durch die Datenschutzaufsichtsbehörden der d) Jedenfalls sollte auf das vorgesehene Instrument eines Länder überwacht werden. Diese müssen wiederum Datenschutzauditausschusses im Hinblick auf den ho- beim Bundesbeauftragten für den Datenschutz gege- hen bürokratischen Aufwand verzichtet werden. benenfalls die Entziehung der Zulassung anregen. e) Die Nomenklatur des Gesetzentwurfs ist in sich Zusätzlich sieht der Gesetzentwurf auch noch einen widersprüchlich und würde in der Praxis zur Verwir- Datenschutzauditausschuss und für ihn eine „Auf- rung führen. sichtsbehörde“ vor. aa) Der Begriff „Kontrollstelle“ wird in Artikel 28 b) Das vorgesehene Verfahren der Zulassung und Über- der EG-Datenschutzrichtlinie für die staatlichen wachung der Stellen, die zukünftig die Befugnis Behörden verwendet, die in den Mitgliedstaaten erhalten sollen, bei datenverarbeitenden Stellen im den Datenschutz im öffentlichen wie im nicht- nichtöffentlichen Bereich Datenschutzkonzepte und öffentlichen Bereich kontrollieren. Konsequent informationstechnische Einrichtungen zu kontrollie- redet § 38 des Bundesdatenschutzgesetzes ren, führt zu einem unverhältnismäßig hohen Verwal- (BDSG) davon, dass die Aufsichtsbehörden die tungsaufwand bei den Datenschutzaufsichtsbehörden Ausführung dieses Gesetzes sowie anderer Vor- der Länder. Während der Bundesbeauftragte für den schriften über den Datenschutz kontrollieren. Datenschutz und die Informationsfreiheit nach § 2 In dem Gesetzentwurf wird der Begriff „Kontroll- Absatz 2 des Gesetzentwurfs für die Zulassung der stelle“ aber für nichtöffentliche Stellen (also Pri- Kontrollstellen, die Entziehung der Zulassung und die vate) verwendet, die wiederum nichtöffentliche Vergabe der Kennnummern an die Kontrollstellen zu- Stellen (also Private) kontrollieren sollen (§ 3 ständig sein soll, obliegt die Durchführung des Geset- Satz 1, § 1 Satz 2 Nummer 4). zes und der auf Grund dieses Gesetzes erlassenen Rechtsverordnungen grundsätzlich den nach Landes- bb) Der Begriff „Aufsichtsbehörde“ wird vom gel- recht zuständigen Behörden. Diese sollen die nach § 7 tenden Bundesdatenschutzgesetz seit 1978 für Absatz 1 Satz 1 des Gesetzentwurfs vom Bundesbe- die Datenschutzaufsichtsbehörden für den nicht- auftragten für den Datenschutz und die Informations- öffentlichen Bereich (§ 38 BDSG) verwendet. freiheit zugelassenen Kontrollstellen überwachen und Der Gesetzentwurf benutzt den Begriff aber in- bei Bedarf Überprüfungen dieser Stellen veranlassen. konsequent für das Bundesministerium des In- Es ist abzusehen, dass der mit der Wahrnehmung nern, das als Rechtsaufsichtsbehörde für den Da- dieser Überwachungsaufgabe verbundene Aufwand tenschutzauditausschuss fungieren soll. außer Verhältnis zu dem zu erwartenden Nutzen steht. Begründung Vor allem aber werden hierdurch in nicht unerheb- Zu Buchstabe d lichem Maße personelle und sachliche Ressourcen ge- bunden, die den Datenschutzaufsichtsbehörden bei Die vorgesehene Bildung eines Datenschutzauditaus- der Erfüllung ihrer eigentlichen Aufgabe, die Betrof- schusses, der Richtlinien zur Verbesserung des Daten- fenen bei der Wahrung ihrer Datenschutzrechte zu un- schutzes und der Datensicherheit erlassen soll, seine vor- terstützen, nicht mehr zur Verfügung stehen werden. gesehene Berichtspflicht sowie seine Zusammensetzung sind zu aufwändig und unpraktikabel. Auf Grund der sich c) Das Verhältnis dieser privaten Kontrollstellen zur ständig weiter entwickelnden Technik in den verschiede- Selbstkontrolle durch betriebliche Datenschutzbe- nen Anwendungsbereichen müssten einheitliche Richt- auftragte und zur Fremdkontrolle durch die Daten- linien ständig angepasst werden.
  • 37. Deutscher Bundestag – 16. Wahlperiode – 39 – Drucksache 16/120112. Zu Artikel 1 (§ 4 Absatz 1 Satz 1 Nummer 4 DSAG) Callcenter abschließen und später die Kontrollstelle fest- stellt, dass die Anforderungen des Auditgesetzes nicht er- Der Bundesrat bittet, im weiteren Verlauf des Gesetz- füllt oder möglicherweise sogar datenschutzrechtliche gebungsverfahrens zu prüfen, ob § 4 Absatz 1 Satz 1 Vorschriften nicht eingehalten werden. Nummer 4 DSAG-E mit Artikel 9 Absatz 1 Buchstabe a und Artikel 10 Absatz 2 Buchstabe a in Verbindung mit In dieser Zeit kann jedoch bereits eine Vielzahl von per- Absatz 1 der Richtlinie 2006/123/EG des Europäischen sonenbezogenen Daten verarbeitet worden sein, mit den Parlaments und des Rates vom 12. Dezember 2006 über entsprechenden Konsequenzen für die Betroffenen. In- Dienstleistungen im Binnenmarkt (EU-Dienstleistungs- vestitionsentscheidungen von Unternehmen oder öffent- richtlinie – ABl. L 376 vom 27. 12. 2006, S. 36) verein- lichen Stellen müssen gegebenenfalls in Frage gestellt bar ist. werden, was mit erheblichen Kosten verbunden sein kann. Begründung Vor diesem Hintergrund ist es angezeigt, die vorgesehene An der Vereinbarkeit der Regelung mit den oben genann- Regelung noch einmal zu überprüfen. ten Bestimmungen der EU-Dienstleistungsrichtlinie be- stehen Zweifel. Nach Artikel 9 Absatz 1 der EU-Dienst- leistungsrichtlinie dürfen Genehmigungsregelungen 4. Zu Artikel 2 Nummer 1a – neu – nicht diskriminierend sein. Die Kriterien, auf denen sie (§ 4 Absatz 3 Satz 1 BDSG) beruhen, dürfen nach Artikel 10 Absatz 1 und 2 der Nach Nummer 1 ist folgende Nummer einzufügen: EU-Dienstleistungsrichtlinie ebenfalls nicht diskriminie- ,1a. § 4 Absatz 3 Satz 1 wird wie folgt gefasst: rend sein. „Werden personenbezogene Daten beim Betroffe- Die Kontrollstelle nach § 3 ff. DSAG-E ist grundsätz- nen erhoben, so ist er von der verantwortlichen lich nicht hoheitlich tätig, sondern übt ihre Tätigkeit auf- Stelle über grund eines privatrechtlichen Vertrages mit der nicht- öffentlichen Stelle aus. Zwar sieht § 16 Absatz 1 Satz 1 a) die Identität der verantwortlichen Stelle, Nummer 1 DSAG-E die Ermächtigung der Landesregie- b) die Zweckbestimmung der Erhebung, Verarbei- rungen zur Beleihung zugelassener Kontrollstellen durch tung oder Nutzung und Rechtsverordnung vor. Zwingend ist eine Beleihung jedoch nicht. Es kann also nicht davon ausgegangen c) den Empfänger werden, dass Kontrollstellen in jedem Fall hoheitliche zu unterrichten.“‘ Tätigkeit ausüben und damit dem Anwendungsbereich der EU-Dienstleistungsrichtlinie nach deren Artikel 2 Begründung Absatz 2 Buchstabe i entzogen sind. Die bisherigen Einschränkungen haben aufgrund der un- Damit erscheint fraglich, ob das Erfordernis eines inlän- genauen Regelungen über die Informationspflicht des dischen Sitzes oder einer inländischen Niederlassung Betroffenen durch die verantwortliche Stelle über die nach § 4 Absatz 1 Satz 1 Nummer 4 DSAG-E der Anfor- Erhebung seiner Daten dazu beigetragen, dass die aus- derung der Artikel 9 und 10 der EU-Dienstleistungsricht- drückliche Informationspflicht der Ausnahmefall gewe- linie an eine diskriminierungsfreie Genehmigung ent- sen ist. Die ausdrückliche Informations- und Dokumen- spricht. tationspflicht der verantwortlichen Stelle dient der Rechtsklarheit.3. Zu Artikel 1 (§ 9 Absatz 1 Satz 1 DSAG) 5. Zu Artikel 2 Nummer 2 Der Bundesrat bittet, im weiteren Verlauf des Gesetz- (§ 4f Absatz 2 Satz 1 und 2 BDSG) gebungsverfahrens zu prüfen, ob es angesichts der Be- deutung des Datenschutzes sachgerecht ist, dass das Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- Datenschutzauditsiegel (ähnlich wie beim Gütesiegel im ren zu prüfen, ob und gegebenenfalls wie die Anforde- ökologischen Landbau) bereits vor einer ersten Prüfung rungen an die Fachkunde der Beauftragten für den Daten- durch die Kontrollstelle verwendet werden darf, oder ob schutz konkretisiert werden können. es erforderlich ist zu bestimmen, dass das Siegel erst nach Begründung der erfolgten Überprüfung genutzt werden darf. Der Gesetzentwurf sieht eine Stärkung der Stellung der Begründung Beauftragten für den Datenschutz vor. Dies ist zu begrü- Nach dem Gesetzentwurf können Firmen bereits ab der ßen. Mitteilung der beabsichtigten Verwendung mit dem Da- Ebenso wichtig ist jedoch, die Anforderungen an die tenschutzsiegel werben, das heißt bevor die Konzepte, Fachkunde der Beauftragten für den Datenschutz zu kon- Programme oder technischen Anlagen tatsächlich über- kretisieren. § 4f Absatz 2 Satz 1 BDSG bestimmt bisher prüft wurden. Die Kontrolle soll erst erfolgen, „sobald“ lediglich, dass die Beauftragten die zur Erfüllung ihrer die Arbeit der Kontrollstelle „es ermöglicht“ (§ 3 Satz 4 Aufgabe erforderliche Fachkunde besitzen müssen und DSAG-E). sich das Maß der erforderlichen Fachkunde insbesondere Dies birgt die Gefahr, dass Daten verarbeitende Stellen nach dem Umfang der Datenverarbeitung der verantwort- im Vertrauen auf das Datenschutzauditsiegel erhebliche lichen Stelle bestimmt. Summen in ungeprüfte Programme oder technische An- In der Praxis ist zunehmend festzustellen, dass Be- lagen investieren oder beispielsweise Verträge mit einem auftragte für den Datenschutz nicht über die zur Erfül-
  • 38. Drucksache 16/12011 – 40 – Deutscher Bundestag – 16. Wahlperiode lung ihrer Aufgaben erforderlichen Mindestkenntnisse, Mitarbeitern mit personenbezogenen Daten gegeben. namentlich des Datenschutzrechts, verfügen. In nicht- Call-Center verarbeiten personenbezogene Daten regel- öffentlichen Stellen, die solche Personen zu Beauftragten mäßig im Auftrag (§ 11 BDSG). Es stellt sich daher die für den Datenschutz bestellen, ist eine effektive Selbst- Frage, ob die aktuellen Ereignisse Anlass geben, die Vor- kontrolle der Einhaltung datenschutzrechtlicher Vor- schriften über die Datenverarbeitung im Auftrag zu ver- schriften damit oftmals nicht gewährleistet. Eine funktio- bessern. nierende Selbstkontrolle ist jedoch zur Verhinderung von Datenschutzverstößen und zur Unterstützung der nur In der Praxis ist festzustellen, dass insbesondere § 11 über begrenzte Ressourcen verfügenden Aufsichtsbehör- Absatz 2 Satz 2 BDSG häufig nicht beachtet wird. So den unabdingbar. wird in vielen Fällen der Auftrag nicht schriftlich erteilt bzw. der schriftliche Auftrag enthält keine schriftlichen Es sollte daher geprüft werden, ob und gegebenenfalls Regelungen hinsichtlich der Datenerhebung, -verarbei- wie die Anforderungen an die Fachkunde des Beauftrag- tung oder -nutzung, der technischen und organisato- ten für den Datenschutz konkretisiert werden können. rischen Maßnahmen oder etwaiger Unterauftragsverhält- Denkbar wäre, in einem ersten Schritt eine gesetzliche nisse. Häufig beschränken sich die „Festlegungen“ auch Ermächtigung dafür zu schaffen, durch Rechtsverord- auf den Satz, die Vorschriften des Bundesdatenschutz- nung nähere Regelungen über die Anforderungen an die gesetzes seien vom Auftragnehmer zu beachten, bzw. auf Fachkunde zu treffen, zumindest jedoch Mindestkennt- eine Wiedergabe der gesetzlichen Regelungen. Mitunter nisse vorzuschreiben. Geregelt werden sollte auch der wird vertraglich vereinbart; nähere Festlegungen erfolg- Nachweis der erforderlichen Fachkunde bzw. Mindest- ten mündlich, was jedoch regelmäßig nicht geschieht. kenntnisse durch Bescheinigungen über den Besuch ge- Schriftliche Regelungen zur Löschung der Daten bzw. eigneter Aus- und Fortbildungsveranstaltungen und das deren Rückgabe nach Erledigung des Auftrags werden Ablegen einer Prüfung. nur selten getroffen.6. Zu Artikel 2 (§ 9 und Anlage zu § 9 Satz 1 BDSG) Festzustellen ist auch, dass insbesondere Call-Center Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- häufig von (mitunter vor Jahren erteilten) angeblichen ren zu prüfen, ob § 9 BDSG und insbesondere die Anlage Einwilligungen Betroffener in die Verarbeitung und Nut- zu § 9 Satz 1 BDSG dergestalt verändert werden kann, zung ihrer Daten Gebrauch machen, ohne dass sich Auf- dass nicht mehr ein Katalog von Einzelmaßnahmen zur traggeber oder Call-Center davon überzeugt haben, dass Gewährleistung der Datensicherheit vorgegeben wird, im Einklang mit gesetzlichen Vorschriften zustande ge- sondern stattdessen nach dem Muster mehrerer Landes- kommene Einwilligungen tatsächlich vorliegen. Hinzu datenschutzgesetze die Sicherheitsziele Vertraulichkeit, kommt, dass in vielen Fällen weder Auftraggeber noch Integrität, Verfügbarkeit, Authentizität, Revisionsfähig- Call-Center auf Verlangen der Betroffenen oder der Auf- keit und Transparenz vorgegeben werden. sichtsbehörde einen Nachweis darüber vorlegen können, dass der Betroffene in die Verarbeitung seiner Daten ein- Begründung gewilligt hat. Diesbezügliche schriftliche Festlegungen Durch die Vorgabe von Sicherheitszielen würde das Ge- fehlen durchweg. setz in diesem Punkt technologieunabhängig formuliert und insoweit Anforderungen der modernen, sich ständig Vor diesem Hintergrund ist es zu begrüßen, dass der Ge- fortentwickelnden Technik besser angepasst sein. Zu- setzentwurf die Möglichkeit eröffnet, Verstöße gegen gleich würde eine inhaltliche und begriffliche Anglei- § 11 Absatz 2 Satz 2 BDSG mit einem Bußgeld zu ahn- chung an für die Sicherheit in der Informationstechnik den. (IT-Sicherheit) bestehende Sicherheitsziele (Vertraulich- Dies greift jedoch zu kurz. Gespräche von Datenschutz- keit, Integrität, Verfügbarkeit) erreicht. Wird den Sicher- aufsichtsbehörden mit nichtöffentlichen Stellen haben er- heitszielen in einer Weise entsprochen, dass getroffene geben, dass diese die Vorschrift oftmals nicht absichtlich Maßnahmen in einem angemessenen Verhältnis zu dem missachten, sondern nicht erkennen, was von ihnen ver- angestrebten Schutzzweck stehen, kann einerseits präven- langt wird. Es erscheint daher notwendig, § 11 Absatz 2 tiv dem unbefugten Zu- und Umgang mit personenbezo- Satz 2 so zu präzisieren, dass die der Norm unterworfe- genen Daten entgegengewirkt werden, andererseits lässt nen nichtöffentlichen Stellen die gesetzlichen Anforde- sich gegebenenfalls anhand von Protokollierungen usw. rungen besser erkennen können. So sollte deutlicher im Nachhinein feststellen, wer für den unbefugten Um- werden, dass auch die Festlegungen hinsichtlich der Da- gang mit personenbezogenen Daten verantwortlich ist. tenverarbeitung und -nutzung, der technischen und orga- nisatorischen Maßnahmen und etwaiger Unterauftrags-7. Zu Artikel 2 (§ 11 Absatz 2 Satz 2 BDSG) verhältnisse schriftlich zu treffen sind und konkrete Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- generelle Weisungen bezogen auf den Einzelfall und die ren zu prüfen, ob § 11 Absatz 2 Satz 2 BDSG so gefasst einzelnen Verarbeitungsschritte, namentlich die Lö- werden kann, dass die der Norm unterworfenen nichtöf- schung der Daten bzw. deren Rückgabe an den Auftrag- fentlichen Stellen die gesetzlichen Anforderungen besser geber, die Datensicherung und die Vergabe von Unterauf- erkennen können. trägen zu erteilen sind. Ein Hinweis auf die gesetzlichen Bestimmungen oder deren Wiedergabe genügt nicht. Begründung Hilfreich wäre, wenn einige besonders wichtige Bestand- Anlass für das vorliegende Gesetzgebungsverfahren hat teile einer solchen Festlegung im Gesetz beispielhaft vor allem der rechtswidrige Umgang von Call-Center- („insbesondere“) aufgeführt würden.
  • 39. Deutscher Bundestag – 16. Wahlperiode – 41 – Drucksache 16/120118. Zu Artikel 2 Nummer 3a – neu – den, dass der Auftragnehmer dem Auftraggeber alle er- (§ 11 Absatz 2 Satz 4 BDSG) forderlichen Informationen zur Verfügung zu stellen hat. Der Bundesrat bittet im Hinblick darauf, dass unzurei- 10. Zu Artikel 2 Nummer 5 Buchstabe b chende Kontrollen der als Auftragnehmer bei der Erhe- (§ 28 Absatz 1 Satz 1 Nummer 1 BDSG) bung, Verarbeitung oder Nutzung personenbezogener Daten eingeschalteten Unternehmen (insbesondere Call- Artikel 2 Nummer 5 Buchstabe b ist wie folgt zu fas- Centern) zu schwerwiegenden Datenschutzverletzungen sen: beigetragen haben, im weiteren Verlauf des Gesetz- ,b) Absatz 1 Satz 1 Nummer 1 wird wie folgt gefasst: gebungsverfahrens zu prüfen, ob Häufigkeit, Tiefe und Dokumentation der vom Auftraggeber vorzunehmenden „1. wenn es zur Durchführung eines rechtsge- Kontrollen in § 11 Absatz 2 Satz 4 BDSG näher geregelt schäftlichen oder rechtsgeschäftsähnlichen werden sollten. Schuldverhältnisses mit dem Betroffenen er- forderlich ist,“.‘ Begründung Begründung Wenn unterschiedlichste personenbezogene Daten unter- schiedlicher Herkunft bei einem Unternehmen vorhan- Über die im Gesetzentwurf vorgesehene Ersetzung der den sind – dies gilt insbesondere für Call-Center – be- Begriffe „Vertragsverhältnisses“ bzw. „vertragsähn- steht eine hohe Missbrauchsgefahr durch die lichen Vertrauensverhältnisses“ durch die mit der unberechtigte Verknüpfung dieser Datenbestände. Es ist Schuldrechtsnovelle 2002 eingeführten Begriffe „rechts- jedoch zu besorgen, dass die Kontrolle der Einhaltung der geschäftlichen Schuldverhältnisses“ und „rechtsge- datenschutzrechtlichen Bestimmungen gerade in diesem schäftähnlichen Schuldverhältnisses“ hinaus soll deut- Bereich hinter dem Gebotenen zurückbleibt, weil die die lich gemacht werden, dass nur die für die Abwicklung Erhebung, Verarbeitung oder Nutzung von Daten vorneh- des Rechtsgeschäftes erforderlichen Daten erhoben und mende Stelle selbst nicht die datenschutzrechtliche Ver- verarbeitet werden dürfen und keine weiteren „über- antwortung trägt. Umgekehrt wird sich der gemäß § 11 schießenden Daten“. Die aufgrund des sog. Daten- Absatz 1 BDSG in der datenschutzrechtlichen Verant- schutzgipfels am 4. September 2008 in Berlin einge- wortung bleibende Auftraggeber ohne entsprechende setzte Länder-Arbeitsgruppe hat seinerzeit festgestellt, gesetzliche Verpflichtung nur in sehr zurückhaltender dass die Erhebung und Verarbeitung der „überschießen- Weise von der Ordnungsmäßigkeit der Geschäftstätigkeit den Daten“ eine der Ursachen für die bekannt geworde- des Vertragspartners überzeugen. Die jüngsten Vorfälle nen Datenschutzverstöße gewesen sind. geben Anlass zu der Überlegung, ob die stärkere In- pflichtnahme der Auftraggeber durch Vorgabe konkreter 11. Zu Artikel 2 Nummer 5 Buchstabe b Kontrollmaßnahmen vorgesehen werden sollte. Deren (§ 28 Absatz 1 Satz 1 Nummer 1 BDSG) Häufigkeit und Dokumentation ist geboten, um sicherzu- Der Bundesrat bittet, im weiteren Gesetzgebungsver- stellen, dass die selbst für die Wahrung der Datenschutz- fahren zu prüfen, ob mit der neu vorgesehenen Termi- anforderungen nicht verantwortlichen Auftragnehmer nologie „rechtsgeschäftliches oder rechtsgeschäfts- die Einhaltung der gesetzlichen Vorgaben gewährleisten. ähnliches Schuldverhältnis“ in § 28 BDSG anstelle der bisherigen Begriffe „Vertragsverhältnis“ und „vertrags-9. Zu Artikel 2 (§ 11 Absatz 4 BDSG) ähnliches Vertrauensverhältnis“ wie bisher auch Ver- Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- eine, Verbände, Parteien, Gewerkschaften u. ä. Organi- ren zu prüfen, ob der Katalog der nach § 11 Absatz 4 sationen erfasst bleiben. BDSG für Auftragsdatenverarbeiter geltenden Vorschrif- Begründung ten des Bundesdatenschutzgesetzes um § 42a ergänzt werden muss. Mit dem vorliegenden Gesetzentwurf sollen in § 28 BDSG die Begriffe „Vertragsverhältnis“ und „vertrags- Begründung ähnliches Vertrauensverhältnis“ durch die Begriffe „rechtsgeschäftliches oder rechtsgeschäftsähnliches In den vergangenen Monaten festgestellte Fälle der un- Schuldverhältnis“ ersetzt werden. Begründet wird die rechtmäßigen Kenntniserlangung personenbezogener Änderung mit der Anpassung der Begriffe an die durch Daten durch Dritte waren mehrfach von Auftragsdaten- die Schuldrechtsnovelle des Jahres 2002 eingeführte verarbeitern oder deren Mitarbeitern zu verantworten. In Terminologie. Zumindest klärungsbedürftig ist, ob die solchen Fällen, insbesondere wenn die unrechtmäßige nunmehr vorgesehene Terminologie auch Vereine, Ver- Kenntniserlangung personenbezogener Daten durch bände, Parteien, Gewerkschaften u. ä. Organisationen Dritte auf unzureichende Datensicherungsvorkehrungen erfasst. Bisher konnten solche nichtkommerziell tätigen des Auftragnehmers oder die unzulässige Verknüpfung nichtöffentlichen Stellen zumindest unter den Begriff von Datenbeständen mehrerer Auftraggeber beim Auf- des „vertragsähnlichen Vertrauensverhältnisses“ sub- tragnehmer zurückzuführen ist, erscheint eine originäre sumiert werden. Wäre dies aufgrund einer geänderten Pflicht des Auftragnehmers zu Informationen im Sinne Terminologie künftig nicht mehr möglich, entfiele für des § 42a BDSG angeraten. diese Stellen die zentrale gesetzliche Grundlage für den Soweit der Auftraggeber zu Informationen nach § 42a Umgang mit personenbezogenen Daten. Dies kann mit BDSG verpflichtet ist, könnte zudem – unbeschadet ver- einer bloßen Anpassung der Terminologie offensicht- traglicher Verpflichtungen – gesetzlich festgelegt wer- lich nicht gewollt sein.
  • 40. Drucksache 16/12011 – 42 – Deutscher Bundestag – 16. Wahlperiode12. Zu Artikel 2 Nummer 5 Buchstabe d Begründung (§ 28 Absatz 3 Satz 6 BDSG) Mit der Streichung des „Listenprivilegs“ soll nach dem In Artikel 2 Nummer 5 Buchstabe d sind in § 28 Gesetzentwurf die Verwendung personenbezogener Absatz 3 Satz 6 die Wörter „Nach den Sätzen 1 bis 3 Daten für Zwecke des Adresshandels, der Werbung übermittelte Daten dürfen“ durch die Wörter „Sind oder Markt- und Meinungsforschung grundsätzlich nur nach den Sätzen 1 bis 3 Daten übermittelt worden, dür- zulässig sein, wenn der Betroffene darin eingewilligt fen sie nur“ zu ersetzen. hat. Der Einwilligungsvorbehalt entfaltet seine Schutz- Begründung wirkung zu Gunsten von Verbraucherinnen und Ver- brauchern aber nur dann, wenn für die Wirksamkeit der Klarstellung des Gewollten, weil in Fällen der Sätze 2 Einwilligung die Einhaltung der Schriftform gesetzlich und 3 keine Übermittlungen vorliegen müssen. vorgeschrieben wird. Das Schriftformerfordernis dient13. Zu Artikel 2 Nummer 5 Buchstabe d nicht nur der Rechtssicherheit, indem etwaige Grenzen (§ 28 Absatz 3 Satz 7 – neu – BDSG) der Einwilligung unmissverständlich dokumentiert werden. Es ist auch mit einer aus Verbraucherschutz- In Artikel 2 Nummer 5 Buchstabe d ist dem § 28 Ab- sicht zu begrüßenden Warnfunktion verbunden. Soll satz 3 folgender Satz anzufügen: sich die erteilte Einverständniserklärung beispielsweise „Der Betroffene kann im Falle des Satzes 1 verlangen, auf die Weitergabe der Daten an Dritte erstrecken, wird dass ihm das Vorliegen einer wirksamen Einwilligung der Betroffene durch die geforderte Abgabe der Einwil- nachgewiesen wird.“ ligung in Schriftform davor geschützt, voreilig dem Begründung dann nur noch schwer kontrollierbaren Datenhandel zu- zustimmen. Der Gesetzentwurf verzichtet darauf, die Gültigkeit der Einwilligung in die Datennutzung zeitlich zu beschrän- Demgegenüber lässt es der Gesetzentwurf in der vor- ken und die von der Rechtsprechung zu § 4a BDSG ent- gesehenen Fassung zu, dass unter den Voraussetzungen wickelten Anforderungen an die Zweckbindung der des § 4a Absatz 1 Satz 3 BDSG von der Schriftform Einwilligung für den Adresshandel näher zu präzisie- abgewichen werden kann. Damit sind beispielsweise ren. Damit werden sich die Betroffenen auch weiterhin auch telefonisch abgegebene Einwilligungserklärungen häufig im Ungewissen darüber befinden, von wem und denkbar. Zum Schutz von Verbraucherinnen und Ver- zu welchen Zwecken im Einzelnen ihre Daten genutzt brauchern sieht der Gesetzentwurf lediglich vor, dass werden. Auch werden die Betroffenen vielfach nicht si- der Inhalt der abgegebenen Einwilligungserklärung cher beurteilen können, ob der Datennutzung eine wirk- vom Unternehmer später schriftlich zu bestätigen ist. same, möglicherweise schon mehrere Jahre zuvor er- Dies kann nicht überzeugen. Es ist zu befürchten, dass klärte Einwilligung zu Grunde liegt. Verbraucherinnen und Verbraucher die rechtliche Rele- vanz einer später zugesandten Bestätigungserklärung Gerade im Bereich des Direktmarketings nutzen Unter- – die ggf. auch mit weiteren Werbematerialien verbun- nehmen nicht selten diesen Umstand aus und berufen den ist – nicht immer erkennen. Auch werden sich Ver- sich auf eine Einwilligung des Betroffenen, deren Exis- braucherinnen und Verbraucher vielfach an den ge- tenz jedoch nicht nachgewiesen wird. Um den Betroffe- nauen Inhalt telefonisch abgegebener Erklärungen, nen, denen möglicherweise erst durch unerwünschte denen ggf. ein Werbeanruf vorangegangen ist, später Werbeanrufe oder ähnliche Belästigungen der Umfang nicht genau erinnern. Sollten Unternehmen diese Un- der zunächst gebilligten Datennutzung deutlich wird, sicherheit zu ihren Gunsten ausnutzen, ist es nicht ge- eine effektive Durchsetzung ihrer Rechte zu ermög- rechtfertigt, Verbraucherinnen und Verbraucher auf die lichen, ist es erforderlich, in § 28 Absatz 3 BDSG-E Ausübung ihres Widerrufsrechtes nach § 28 Absatz 4 einen Anspruch auf Nachweis der Einwilligung gesetz- Satz 1 BDSG-E zu verweisen. lich zu verankern. Nur so wird der Betroffene in die La- ge versetzt, beispielsweise sein Recht auf Widerruf der Den Interessen der Wirtschaft wird hinreichend Rech- Einwilligung auszuüben. Die Nachweispflicht unter- nung getragen, indem ausnahmsweise auch die in elek- stützt außerdem die Maßnahmen zur Bekämpfung der tronischer Form abgegebene Erklärung zugelassen nach § 7 Absatz 2 UWG (Gesetz gegen den unlauteren wird. Wettbewerb) unzulässigen unerbetenen Telefonwer- bung und ergänzt die Auskunftsansprüche des § 34 15. Zu Artikel 2 Nummer 5 Buchstabe e BDSG. (§ 28 Absatz 3b BDSG)14. Zu Artikel 2 Nummer 5 Buchstabe e In Artikel 2 Nummer 5 Buchstabe e § 28 Absatz 3b (§ 28 Absatz 3a Satz 1, 2 – neu – BDSG) sind die Wörter „, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen In Artikel 2 Nummer 5 Buchstabe e ist § 28 Absatz 3a ohne die Einwilligung nicht oder nicht in zumutbarer Satz 1 durch folgende Sätze zu ersetzen: Weise möglich ist“ zu streichen. „Die Einwilligung bedarf der Schriftform. Sie kann Begründung auch elektronisch erklärt werden, wenn die verantwort- liche Stelle sicherstellt, dass die Einwilligung protokol- Die Einführung eines Koppelungsverbotes in den Ge- liert wird und der Betroffene deren Inhalt jederzeit ab- setzentwurf ist zu begrüßen. Die Einschränkung des rufen und die Einwilligung jederzeit mit Wirkung für Verbotes auf Unternehmen mit marktbeherrschender die Zukunft widerrufen kann.“ Stellung greift aber zu kurz. Wünschenswert wäre ein
  • 41. Deutscher Bundestag – 16. Wahlperiode – 43 – Drucksache 16/12011 umfassendes Kopplungsverbot unabhängig von der Daran fehlt es regelmäßig bei der Inanspruchnahme Marktmacht eines Unternehmens. von Leistungen, auf welche die Betroffenen existentiell angewiesen sind und die ihnen unter Ausnutzung einer Abweichend vom Gesetzentwurf wird das Verbot, den wirtschaftlichen Machtposition „abgepresst“ werden. Abschluss eines Vertrags von der Einwilligung des Be- § 4a Absatz 1 Satz 1 BDSG möchte in diesen Situatio- troffenen abhängig zu machen („Koppelungsverbot“), nen jeden Versuch der verantwortlichen Stelle unterbin- ohne Einschränkung auf alle Unternehmen ausgedehnt. den, ihre Leistungen an die Bereitschaft der Betroffe- Auf diese Weise wird die Freiwilligkeit der Einwilli- nen zu knüpfen, in die Verwendung bestimmter sie gung nach § 28 Absatz 3 Satz 1 BDSG-E über § 4a betreffender Daten einzuwilligen; die verantwortliche Absatz 1 Satz 1 BDSG hinaus abgesichert, indem jeder Stelle bleibt zwar unverändert berechtigt, die jeweils er- Versuch, die gesetzlich nicht legitimierte Datenverar- forderlichen Daten zu verarbeiten (§ 28 Absatz 1 Satz 1 beitung mit der Drohung, den Vertrag anderenfalls nicht Nummer 1 BDSG-E), darf aber nicht ihre Leistung mit abzuschließen, zu erzwingen, zur Unwirksamkeit der dem Zugriff auf weitere konkret nicht benötigte Anga- Einwilligung führt. ben verknüpfen. Bei richtiger Auslegung generalisiert Die im Gesetzentwurf vorgesehene Einschränkung, mithin § 4a Absatz 1 Satz 1 BDSG das im Telekommu- dass dem Betroffenen ein anderer Zugang zu gleichwer- nikations- und Multimediarecht ausdrücklich vorgese- tigen vertraglichen Leistungen ohne die Einwilligung hene Koppelungsverbot (vgl. Simitis-Simitis, BDSG, nicht oder nicht in zumutbarer Weise möglich ist, lehnt 6. Auflage 2006, § 4a Rn. 62 f.; Gola/Schomerus, sich an die bisherigen bereichsspezifischen Koppe- BDSG, 8. Auflage 2005, § 4a Rn. 6). Die im Gesetz- lungsverbote in § 95 Absatz 5 des Telekommunika- entwurf vorgesehene Regelung würde angesichts des- tionsgesetzes (TKG) und § 12 Absatz 3 des Teleme- sen nicht nur kein Mehr an Verbraucherdatenschutz diengesetzes an und verallgemeinert diese. Ziel dieser bringen, sondern könnte darüber hinaus zu Auslegungs- eingeschränkten Koppelungsverbote ist es zu verhin- schwierigkeiten hinsichtlich § 4a Absatz 1 Satz 1 dern, dass Anbieter von Dienstleistungen im Tele- BDSG führen, indem sie dessen Regelungsgehalt infra- kommunikations- und Multimediasektor eine even- ge stellt. tuelle Monopolstellung ausnutzen (vgl. die Einzel- begründung zu § 93 TKG-E, Bundestagsdrucksache 16. Zu Artikel 2 Nummer 5 (§§ 28 bis 30 BDSG) 15/2316, S. 89). Anders als bei Leistungen der zivilisa- Der Bundesrat bittet, im weiteren Gesetzgebungsver- torischen Grundversorgung wie Telekommunikations- fahren zu prüfen, ob die Tätigkeit der Markt- und Mei- und Multimediadienstleistungen sind Monopolstellun- nungsforschungsinstitute durch klarstellende Regelun- gen jedoch im normalen Geschäftsverkehr der Ausnah- gen insbesondere in den §§ 28 bis 30 BDSG besser mefall. Die im Gesetzentwurf vorgesehene Regelung abgesichert werden kann. würde daher kaum praktische Relevanz entfalten. Begründung Nach der im Gesetzentwurf vorgesehenen Regelung darf die verantwortliche Stelle den Abschluss eines Die Markt- und Meinungsforschung nimmt eine wich- Vertrages nicht von der Einwilligung des Betroffenen tige gesellschaftliche Aufgabe wahr. Sie stellt für abhängig machen, „wenn dem Betroffenen ein anderer öffentliche und private Auftraggeber mittels wissen- Zugang zu gleichwertigen vertraglichen Leistungen schaftlicher Methoden und Techniken notwendige ohne die Einwilligung nicht in zumutbarer Weise mög- Informationen als empirische Grundlage und zur Unter- lich ist“. Die Erfahrungen mit der entsprechenden Re- stützung wirtschaftlicher, gesellschaftlicher und poli- gelung des Telemediengesetzes zeigen, dass hierdurch tischer Entscheidungen bereit und schafft damit eine den Interessen der Verbraucherinnen und Verbraucher wichtige Voraussetzung für die nachhaltige demokra- auf Marktzugang nicht hinreichend Rechnung getragen tische und wirtschaftliche Entwicklung der Bundes- werden kann. Im Übrigen wirft die Formulierung auf republik Deutschland. Grund ihrer Unbestimmtheit Auslegungsschwierigkei- Gleichwohl wird die Markt- und Meinungsforschung ten auf. Es besteht Unklarheit, in welchen Fällen Be- im BDSG in den §§ 28 und 29 BDSG mehrfach mit der troffenen ein anderer Zugang zu gleichwertigen ver- Werbung, dem Adresshandel und der Tätigkeit von traglichen Leistungen ohne die Einwilligung nicht oder Auskunfteien gleichgestellt. Dabei hat die Markt- und nicht in zumutbarer Weise möglich ist. Meinungsforschung im Gegensatz zur Werbung, zum Ein (eingeschränktes) Koppelungsverbot für marktbe- Adresshandel und zur Tätigkeit der Auskunfteien nicht herrschende Unternehmen ergibt sich zudem bereits Aussagen über konkrete Einzelpersonen zum Gegen- nach geltendem Recht aus § 4a Absatz 1 Satz 1 BDSG. stand, sondern zieht personenbezogene Daten lediglich Danach ist die Einwilligung nur wirksam, wenn sie auf heran, um daraus von der Einzelperson unabhängige, der freien Entscheidung des Betroffenen beruht, also verallgemeinerungsfähige Aussagen zu gewinnen. Die „ohne Zwang“ erfolgt (vgl. die Einzelbegründung zu von der Markt- und Meinungsforschung erhobenen Da- § 4a BDSG-E, Bundestagsdrucksache 14/4329, S. 34 ten werden dem Auftraggeber dementsprechend nur in unter Hinweis auf Artikel 2 Buchstabe h der EG-Daten- anonymisierter Form übermittelt. schutzrichtlinie). Die Einwilligung wird als Verwen- Die Einschränkung des Listenprivilegs im Hinblick dungsregulativ nur so lange akzeptiert, wie sich die Be- auf Markt- und Meinungsforschungsinstitute durch troffenen nicht in einer Situation befinden, die sie Artikel 2 Nummer 5 Buchstabe d des Gesetzentwurfs faktisch dazu zwingt, sich mit dem Zugriff auf ihre je- (Markt- und Meinungsforschung nur noch zu eigenen weils verlangten Daten einverstanden zu erklären. Zwecken bzw. gegenüber Freiberuflern und Gewerbe-
  • 42. Drucksache 16/12011 – 44 – Deutscher Bundestag – 16. Wahlperiode treibenden) könnte die Tätigkeit der Markt- und Mei- liche Stelle erhoben, verarbeitet oder genutzt werden, nungsforschungsinstitute über Gebühr behindern. Die soweit eine Interessenabwägung ergibt, dass das Inte- Zulässigkeit der Erhebung, Verarbeitung und Nutzung resse der verantwortlichen Stelle an einer Erhebung, personenbezogener Daten zu Zwecken der Markt- und Verarbeitung oder Nutzung der Daten das Interesse des Meinungsforschung sollte daher in den §§ 28 und 30 Verbrauchers erheblich überwiegt oder wenn eine BDSG klargestellt werden. Rechtsvorschrift zur Erhebung, Verarbeitung oder Nut- zung der Daten verpflichtet. Auch im Vorblatt und in der Begründung zum Gesetz- entwurf sollten die Unterschiede zwischen der Wer- Durch diese Regelung wird die Kontrollmöglichkeit der bung, dem Adresshandel und der Tätigkeit der Aus- Verbraucher über die Verwendung ihrer personenbezo- kunfteien einerseits und der Markt- und Meinungsfor- genen Daten verbessert und die Verbraucher werden da- schung andererseits stärker zum Ausdruck gebracht mit besser geschützt. werden. 18. Zu Artikel 2 (§ 38 Absatz 5 BDSG)17. Zu Artikel 2 Nummer 7a – neu – (§ 35 Absatz 5 BDSG) Der Bundesrat bittet, im weiteren Gesetzgebungsver- In Artikel 2 ist nach Nummer 7 folgende Nummer 7a fahren zu prüfen, ob die Eingriffsbefugnisse der Daten- einzufügen: schutzaufsichtsbehörden dahingehend erweitert werden können, dass diese über § 38 Absatz 5 BDSG hinaus ,7a. § 35 Absatz 5 wird wie folgt gefasst: generell Anordnungen und Untersagungsverfügungen „(5) Personenbezogene Daten dürfen nicht für in Bezug auf materiell rechtswidrige Datenverarbeitun- eine automatisierte Verarbeitung oder Verarbei- gen oder sonstige Verstöße gegen datenschutzrechtliche tung in nicht automatisierten Dateien erhoben, Vorschriften erlassen können. verarbeitet oder genutzt werden, soweit der Be- Begründung troffene dieser bei der verantwortlichen Stelle widerspricht. Dies gilt nicht, wenn eine Interessen- Eingriffsbefugnisse der Aufsichtsbehörden in Bezug abwägung ergibt, dass das Interesse der verant- auf konkrete Datenverarbeitungen sind in § 38 Absatz 5 wortlichen Stelle das Interesse des Betroffenen BDSG geregelt. Danach kann die Aufsichtsbehörde erheblich überwiegt oder wenn eine Rechtsvor- lediglich Anordnungen treffen und Verfahren unter- schrift zur Erhebung, Verarbeitung oder Nutzung sagen, wenn technische und organisatorische Mängel der Daten verpflichtet.“‘ festgestellt wurden. Die Regelung erfasst nicht mate- riell unzulässige Verarbeitungen und sonstige Verstöße Begründung gegen datenschutzrechtliche Vorschriften. In diesen Der Bundesrat nimmt Bezug auf seine Stellungnahme Fällen ist es der Aufsichtsbehörde nicht möglich, ihre zum Gesetzentwurf zur Änderung des Bundesdaten- Rechtsauffassung durchzusetzen, wenn die nicht- schutzgesetzes – Bundesratsdrucksache 548/08 (Be- öffentliche Stelle diese nicht teilt. Auch durch Erlass schluss) –, Nummer 12. eines Bußgeldbescheids – sofern ein solcher rechtlich Die Bundesregierung hatte in ihrer Gegenäußerung zur möglich ist – kann keine verbindliche Klärung der Stellungnahme des Bundesrates (Bundestagsdruck- Rechtslage herbeigeführt werden, ganz abgesehen da- sache 16/10581) dem Vorschlag des Bundesrates nicht von, dass dies hierfür nicht der richtige Weg ist. Diese zugestimmt. Allerdings wurde seitens der Bundesregie- Rechtslage wirkt sich auf den Vollzug des BDSG nach- rung angekündigt, dass im Rahmen des von ihr ange- teilig aus. Angesichts der bekannt gewordenen Daten- kündigten gesonderten Gesetzentwurfes ein Vorschlag schutzverstöße, aber auch mit Blick auf die Erfahrun- gemacht werde. Dem vorliegenden Gesetzentwurf ist gen der Aufsichtsbehörden beim Gesetzesvollzug ist ei- eine entsprechende Passage jedoch nicht zu entnehmen. ne Ausweitung der Handlungsmöglichkeiten dringend erforderlich. Nach aktueller Rechtslage dürfen grundsätzlich perso- nenbezogene Daten für eine automatisierte Verarbei- Dadurch würde es den Aufsichtsbehörden auch mög- tung oder Verarbeitung in nicht automatisierten Dateien lich, wirksam präventiv tätig zu werden und letztlich dann nicht erhoben, verarbeitet oder genutzt werden, den Einsatz einzelner Verarbeitungen zu untersagen, wenn der Betroffene widerspricht und eine Prüfung er- wenn diese materiell rechtswidrig sind. gibt, dass das schutzwürdige Interesse des Betroffenen Für die Schaffung von Anordnungsbefugnissen für die das Interesse der verantwortlichen Stelle überwiegt. Aufsichtsbehörden auch in Bezug auf materiell-rechts- Die in § 35 Absatz 5 Satz 1 BDSG geregelte Interessen- widrige Datenverarbeitungen bzw. Verstöße gegen abwägung zwischen Betroffenem und verantwortlicher datenschutzrechtliche Vorschriften spricht Artikel 28 Stelle schränkt das Widerspruchsrecht des Betroffenen Absatz 3, zweiter Spiegelstrich der EG-Datenschutz- wesentlich ein. Die verantwortliche Stelle kann sich re- richtlinie, wonach die Kontrollstellen über wirksame gelmäßig darauf berufen, dass ihr Interesse an einer Da- Eingriffsbefugnisse verfügen müssen. Hierzu gehört tenerhebung, Verarbeitung oder Nutzung das Interesse beispielsweise die Möglichkeit, das vorläufige oder des Verbrauchers überwiegt. Daher soll der Verbrau- endgültige Verbot einer Verarbeitung anzuordnen. cher grundsätzlich ein umfassendes Widerspruchsrecht Darüber hinaus erscheint es widersprüchlich, dass die eingeräumt bekommen. zuständigen Stellen, mutmaßlich die Aufsichtsbehör- Ausnahmsweise sollen trotz Widerspruchs des Verbrau- den nach § 38 BDSG, im Zusammenhang mit ihren chers personenbezogene Daten durch die verantwort- Aufgaben nach dem Datenschutzauditgesetz über An-
  • 43. Deutscher Bundestag – 16. Wahlperiode – 45 – Drucksache 16/12011 ordnungs- bzw. Untersagungsbefugnisse bezüglich gemildert werden kann, insbesondere wenn das die Ver- einer rechtswidrigen Verwendung des Siegels verfügen öffentlichungspflicht auslösende Ereignis nur regionale sollen, den Datenschutzaufsichtsbehörden im Anwen- Bedeutung hat. dungsbereich des BDSG jedoch eine solche Befugnis Begründung nicht zugestanden wird. Eine Pflicht zu mindestens halbseitigen Veröffent-19. Zu Artikel 2 Nummer 8 (§ 42a Satz 1 BDSG) lichungen in zwei bundesweit erscheinenden Tageszei- tungen erscheint unverhältnismäßig, wenn das mit der In Artikel 2 Nummer 8 sind in § 42a Satz 1 die Wörter Veröffentlichung beabsichtigte Ziel der Information der „und drohen schwerwiegende Beeinträchtigungen für Betroffenen auch auf andere geeignete, aber weniger die Rechte oder schutzwürdigen Interessen der Betrof- kostenträchtige Weise erreicht werden kann. fenen“ zu streichen. Begründung 21. Zu Artikel 2 Nummer 9 Buchstabe a Doppelbuch- stabe aa (§ 43 Absatz 1 Nummer 2b BDSG) Die neu geschaffene und aus Verbraucherschutzsicht sehr zu begrüßende Informationspflicht bei Datenpan- In Artikel 2 Nummer 9 Buchstabe a Doppelbuchstabe nen ist gemäß § 42a Satz 1 Nummer 1 bis 4 BDSG-E aa § 43 Absatz 1 Nummer 2b ist nach dem Wort „Auf- auf besonders sensible personenbezogene Daten be- trag“ das Wort „nicht,“ zu streichen. grenzt. Soweit diese personenbezogenen Daten einem Begründung Dritten unrechtmäßig zur Kenntnis gelangt sind, bergen diese – wie beispielsweise personenbezogene Daten zu Entsprechend der Begründung des Gesetzentwurfs soll Bankkonten – bereits ihrer Art nach eine besondere sich nach § 43 Absatz 1 Nummer 2b BDSG-E ord- Missbrauchsgefahr, die eine Informationspflicht der nungswidrig verhalten, wer einen anderen mit der Erhe- verantwortlichen Stelle rechtfertigt. Eine weitergehen- bung, Verarbeitung oder Nutzung von Daten beauftragt, de Einschränkung der Informationspflicht ist sachlich ohne die Vorgaben des § 11 Absatz 2 Satz 2 BDSG zu nicht geboten. beachten (vgl. Bundesratsdrucksache 4/09, S. 53). Durch die bisherige Formulierung verhält sich aber Die Formulierung wirft auch Auslegungsschwierigkei- auch derjenige ordnungswidrig, der dem Dritten über- ten auf. Sie lässt offen, welche Erwägungen von der haupt keinen Auftrag erteilt. In einem solchen Fall verantwortlichen Stelle bei der Prüfung einer Informa- könnte dem Betroffenen jedoch lediglich vorgeworfen tionspflicht im konkreten Fall herangezogen werden werden, seine Daten nicht ausreichend gesichert oder dürfen. Soll sich beispielsweise eine verantwortliche sie unbefugt weitergegeben zu haben. Es kann ihm je- Stelle bei massenhaftem Verlust von Kontonummern doch – etwa in dem Fall einer Entwendung der Daten – verschiedenster Personen pauschal darauf berufen dür- nicht vorgeworfen werden, keinen Auftrag erteilt zu fen, eine schwerwiegende Gefahr eines materiellen haben. Sofern ein Auftrag zur Datenverarbeitung nicht Schadens habe nicht bestanden, weil unberechtigte Ab- erteilt wurde, dürfte § 11 BDSG schon nicht einschlä- buchungen im Lastschriftenverfahren widerrufen wer- gig sein. den können? Ein solches Ergebnis wäre aus Verbrau- cherschutzsicht nicht akzeptabel, da die neu eingeführte 22. Zu Artikel 2 Nummer 9 Buchstabe b Informationspflicht die Betroffenen in die Lage verset- (§ 43 Absatz 2 Nummer 1 BDSG) zen soll, sich die erhöhte Missbrauchsgefahr zu verge- genwärtigen und ggf. weitere Vorsorgemaßnahmen zu In Artikel 2 Nummer 9 Buchstabe b ist Doppelbuchsta- treffen. be aa folgender Doppelbuchstabe voranzustellen: Es ist zu begrüßen, dass nach der vorliegenden Fassung ,aa0) In Nummer 1 werden die Wörter „erhebt oder des Gesetzentwurfs ein Verstoß gegen die Informa- verarbeitet“ durch die Wörter „erhebt, verarbeitet tionspflichten bei Datenpannen gemäß § 43 Absatz 1 oder nutzt“ ersetzt.‘ Nummer 7 BDSG-E als Ordnungswidrigkeit mit einem Begründung Bußgeld geahndet werden kann. Wegen des drohenden Imageverlustes bedarf es einer abschreckenden Sank- Eine wesentliche Lücke innerhalb der Bußgeldvor- tionierung, wenn von den verantwortlichen Stellen ge- schriften besteht darin, dass die rechtswidrige Nutzung gen die Informationspflicht verstoßen wird. Damit der personenbezogener Daten nicht von den Tatbeständen neu geschaffene Ordnungswidrigkeitstatbestand auch des § 43 BDSG erfasst ist. dem Bestimmtheitsgebot entspricht, muss der Gesetz- Eine unzulässige Nutzung personenbezogener Daten geber dafür Sorge tragen, dass die Voraussetzungen kann in gleich schwerwiegender Weise in die Rechte eines Verstoßes eindeutig normiert werden. Auch aus der Betroffenen eingreifen, wie die rechtswidrige Da- diesem Grund erscheint daher eine Streichung dieser tenerhebung oder Datenverarbeitung. Dies betrifft bei- Formulierung geboten. spielsweise die Nutzung von personenbezogenen Da- ten, denen keine Erhebung vorangegangen ist, sondern20. Zu Artikel 2 Nummer 8 (§ 42a Satz 5 BDSG) wo diese Daten z. B. mittels einer CD „zugespielt“ wur- Der Bundesrat bittet, im weiteren Gesetzgebungsver- den. fahren zu prüfen, ob die Anforderung des § 42a Satz 5 Daher sollte die derzeitige Beschränkung auf die BDSG nach mindestens halbseitiger Veröffentlichung rechtswidrige Datenerhebung und Datenverarbeitung in zwei bundesweit erscheinenden Tageszeitungen ab- entfallen und jedweder rechtswidrige Umgang mit per-
  • 44. Drucksache 16/12011 – 46 – Deutscher Bundestag – 16. Wahlperiode sonenbezogenen Daten als Ordnungswidrigkeit geahn- Viele Bürger wenden sich an die Aufsichtsbehörden, det werden. weil eine nichtöffentliche Stelle ihre Telefon- oder Telefaxnummer oder E-Mail-Adresse ohne die dafür er-23. Zu Artikel 2 Nummer 9 (§ 43 BDSG) forderliche Einwilligung für Zwecke der Telefon-, Tele- fax- oder E-Mail-Werbung genutzt hat. Stellt die Auf- Der Bundesrat bittet, im weiteren Gesetzgebungsver- sichtsbehörde einen Datenschutzverstoß fest, kann sie fahren zu prüfen, ob für Verstöße gegen § 4 Absatz 3 bislang lediglich eine Beanstandung gegenüber der Satz 1 bis 3, § 11 Absatz 2 Satz 4, § 35 Absatz 3 und 4 nichtöffentlichen Stelle aussprechen, nicht jedoch ein BDSG und für die unbefugte Nutzung einer Telefon- Bußgeld verhängen. Dies ist insbesondere bei wieder- oder Telefaxnummer oder einer E-Mail-Adresse in § 43 holten Verstößen einer nichtöffentlichen Stelle misslich BDSG Bußgeldtatbestände geschaffen werden können. und für die Beschwerdeführer unverständlich. Begründung Zu Artikel 2 Nummer 9 (§ 43 BDSG) Mit der Prüfbitte wird die Aufnahme einiger weiterer Bußgeldtatbestände in § 43 des Bundesdatenschutz- 24. Der Bundesrat bittet, im weiteren Gesetzgebungsver- gesetzes angestrebt. In der Praxis hat sich nämlich ge- fahren zu prüfen, ob in den Bußgeldkatalog des § 43 zeigt, dass nichtöffentliche Stellen datenschutzrecht- BDSG eine Regelung aufgenommen werden kann, wo- lichen Vorschriften, deren Verletzung nicht bußgeld- nach ordnungswidrig handelt, wer entgegen § 9 BDSG bewehrt ist, wenig Beachtung schenken. Da die unzureichende technische und organisatorische Maß- Aufsichtsbehörden derzeit keine Möglichkeit haben, nahmen zur Gewährleistung der Datensicherheit trifft ihre Rechtsauffassung im Wege einer verbindlichen und dadurch ermöglicht, dass Unbefugte personenbezo- Anordnung durchzusetzen, können sie nur durch die gene Daten zur Kenntnis nehmen können. Androhung oder den Erlass eines Bußgeldbescheids Begründung Druck auf eine nichtöffentliche Stelle ausüben, das gel- tende Recht einzuhalten. Beim Vollzug des BDSG stellen die Aufsichtsbehörde immer wieder fest, dass von vielen Unternehmen Vor- Den Unterrichtungs- und Hinweispflichten des § 4 schriften nur befolgt werden, wenn deren Nichtbeach- Absatz 3 Satz 1 bis 3 BDSG wird in der Praxis häufig tung mit einer Sanktion verbunden ist. Insoweit ist es nicht oder nur unzureichend Rechnung getragen. Da § 4 für die Aufsichtsbehörden äußerst problematisch auf Absatz 3 BDSG eine zentrale Bestimmung ist, um dem die Einhaltung der Vorschriften des BDSG hinzuwir- informationellen Selbstbestimmungsrecht der Betroffe- ken, wenn nicht letztlich eine Sanktionsmöglichkeit be- nen Rechnung zu tragen, müssen zumindest erhebliche, steht. beharrliche oder wiederholte Zuwiderhandlungen ge- gen diese Vorschrift mit einem Bußgeld geahndet wer- Die Datenschutzverstöße des Jahres 2008 belegen, dass den können. Da strittig ist, ob und gegebenenfalls in mangelhafte technische und organisatorische Maßnah- welchen Fällen ein Verstoß gegen § 4 Absatz 3 BDSG men in den Unternehmen (mit-)ursächlich für die Miss- die Datenerhebung als solche unzulässig macht und da- brauchsfälle waren. Beispielsweise war u. a. nicht nach- mit als unbefugte Datenerhebung im Sinne des § 43 vollziehbar, wer auf welche Daten zugegriffen hat; Absatz 2 Nummer 1 BDSG anzusehen ist, soll hierfür ganze Datenbestände konnten offenbar kopiert werden. ein eigener Bußgeldtatbestand geschaffen werden. Dies ließe sich durch angemessene technische und/oder organisatorische Maßnahmen vermeiden, zumindest je- Der Gesetzentwurf sieht bereits einen neuen Bußgeld- doch erheblich erschweren. Eine Sanktionsmöglichkeit tatbestand für Verstöße gegen § 11 Absatz 2 Satz 2 würde den Druck auf die Unternehmen erhöhen, die BDSG vor. Dies ist zu begrüßen. Es sollten jedoch auch zum Schutz der Rechte der Betroffenen notwendigen Verstöße eines Auftraggebers gegen die in § 11 Maßnahmen zu treffen. Hierdurch würden in einigen Absatz 2 Satz 4 BDSG statuierte Pflicht, sich von der Unternehmen eine deutliche Verbesserung des Daten- Einhaltung der beim Auftragnehmer getroffenen tech- schutzniveaus erzielt und zukünftig Missbrauchsfälle nischen und organisatorischen Maßnahmen zu überzeu- erheblich eingedämmt werden können. gen, bußgeldrechtlich geahndet werden können. Nach den Feststellungen von Aufsichtsbehörden kommen 25. Der Bundesrat bittet, im weiteren Gesetzgebungsver- nur wenige Auftraggeber ihrer gesetzlichen Verpflich- fahren zu prüfen, ob in den Bußgeldkatalog des § 43 tung nach. Bei den Auftraggebern von Call-Centern BDSG eine Regelung aufgenommen werden kann, wo- sind solche Verstöße besonders häufig zu beobachten. nach ordnungswidrig handelt, wer entgegen § 28 Bislang kann gegen eine nichtöffentliche Stelle, die ei- Absatz 3b den Abschluss eines Vertrages von einer Ein- ne erforderliche Sperrung personenbezogener Daten willigung des Betroffenen nach Absatz 3 Satz 1 abhän- nach § 35 Absatz 3 oder 4 BDSG nicht vornimmt, buß- gig macht. geldrechtlich erst vorgegangen werden, wenn die Daten Eine entsprechende Bußgeldregelung sollte auch im unbefugt übermittelt oder genutzt werden. Es sollte da- Telemediengesetz (TMG) erhalten sein und in das Tele- her die Möglichkeit geschaffen werden, ein Bußgeld kommunikationsgesetz (TKG) aufgenommen werden. schon dann zu verhängen, wenn eine nichtöffentliche Stelle die erforderliche Sperrung nicht vornimmt. Begründung Solche Fälle sind in der Praxis häufig. Mitunter werden Das Koppelungsverbot ist bereits in § 12 Absatz 3 umfangreiche Datenbestände entgegen den gesetzli- TMG und § 95 Absatz 5 TKG verankert und bislang be- chen Bestimmungen nicht gesperrt. reits in § 16 Absatz 2 Nummer 2 TMG bußgeldbe-
  • 45. Deutscher Bundestag – 16. Wahlperiode – 47 – Drucksache 16/12011 wehrt. Die Bußgeldregelung im TMG soll nach dem Zu Buchstabe b Entwurf aufgehoben werden. § 44 Absatz 2 des Bundesdatenschutzgesetzes sieht Die Aufsichtsbehörden stellen indessen immer wieder vor, dass eine Straftat nach dem Bundesdatenschutzge- fest, dass Vorschriften des Datenschutzgesetzes nicht setz nur auf Antrag verfolgt wird. eingehalten werden, wenn die Verstöße nicht sanktio- Antragsberechtigt sind der Betroffene, die verantwort- niert werden können. Der Betroffene selbst kann den liche Stelle, der Bundesbeauftragte für den Datenschutz Abschluss eines Vertrages, der entgegen § 28 Absatz 3b und die Informationsfreiheit und die Aufsichtsbehörde. des Entwurfs von seiner Einwilligung abhängig ge- macht wird, nicht erzwingen. Zur effektiven Wahrnehmung der Interessen der Ver- braucherinnen und Verbraucher ist es geboten, auch an- Zur wirksamen Durchsetzung des Koppelungsverbots erkannten Verbraucherverbänden eine Strafantragsbe- sind Bußgeldregelungen notwendig, weil andernfalls fugnis einzuräumen. ein Verstoß gegen das Verbot sanktionslos bliebe. Zukünftig sollten der „Verbraucherzentrale Bundesver- band“ und die Verbraucherzentralen der Länder berech-26. Zu Artikel 2 Nummer 9a – neu – tigt sein, einen Strafantrag zu stellen. (§ 44 Absatz 2 – neu – BDSG) In Artikel 2 ist nach Nummer 9 folgende Nummer ein- 27. Zu Artikel 2 Nummer 10 (§ 47 BDSG) zufügen: In Artikel 2 Nummer 10 sind in § 47 nach dem Wort ,9a. § 44 Absatz 2 wird wie folgt geändert: „erhobener“ die Wörter „oder gespeicherter“ einzufü- gen. a) In Satz 1 werden nach dem Wort „verfolgt“ die Wörter „, es sei denn, dass die Strafverfol- Begründung gungsbehörde wegen des besonderen öffentli- Die Übergangsregelung muss auch für solche Daten chen Interesses an der Strafverfolgung ein Ein- gelten, die ohne vorherige Datenerhebung gespeichert schreiten von Amts wegen für geboten hält“ worden sind. eingefügt. b) In Satz 2 werden die Wörter „und die Auf- 28. Zu Artikel 2 Nummer 10 (§ 47 BDSG) sichtsbehörde“ durch die Wörter „, die Auf- In Artikel 2 Nummer 10 ist in § 47 die Angabe „1. Juli sichtsbehörde und anerkannte Verbraucherver- 2012“ durch die Angabe „1. Juli 2010“ zu ersetzen. bände“ ersetzt.‘ Begründung Begründung Das Bedürfnis der Wirtschaft, sich auf die neuen Daten- Zu Buchstabe a schutzbestimmungen einzustellen, ist anzuerkennen. Eine dreijährige Übergangsfrist erscheint aber aus Sicht Straftaten nach § 44 Absatz 1 BDSG werden bislang der Verbraucher zu lang. nur auf Antrag verfolgt. Verbraucher haben ein Interesse daran, dass die Bestim- Antragsberechtigt sind zum einen der Betroffene, auf mungen möglichst früh in Kraft treten, damit ein Miss- dessen Daten sich die Straftat bezieht und zum anderen brauch ihrer personenbezogenen Daten effektiv unter- die verantwortliche Stelle, der Bundesbeauftragte für bunden werden kann. Ziel muss es sein, dass die den Datenschutz und die Informationsfreiheit sowie die Verbraucher möglichst früh von den neuen Vorschriften Aufsichtsbehörde. profitieren können, wobei der Wirtschaft ausreichend Zeit gelassen werden sollte, sich auf die neuen Bestim- Die Ausgestaltung der Strafvorschrift als absolutes An- mungen einzustellen. Eine einjährige Übergangsfrist tragsdelikt wird dem Allgemeininteresse am Schutz erscheint für die Wirtschaft ausreichend, um sich an die personenbezogener Daten nicht gerecht. Der unbefugte neuen Rahmenbedingungen anzupassen. Umgang mit personenbezogenen Daten, soweit er durch § 44 Absatz 1 BDSG in Verbindung mit § 43 29. Zu Artikel 3 Nummer 3 (§ 15a TMG) Absatz 2 BDSG unter Strafe gestellt wird, ist geeignet, Zu Artikel 4 Nummer 1 (§ 93 Absatz 3 TKG) den Rechtsfrieden über den Lebenskreis des Betroffe- nen hinaus zu stören. Die Strafverfolgung wird insbe- a) In Artikel 3 Nummer 3 ist in § 15a nach dem Wort sondere dann ein Anliegen der Allgemeinheit sein, „Dritten“ das Wort „unrechtmäßig“ einzufügen. wenn die Straftat nach § 44 Absatz 1 BDSG in Verbin- dung mit § 43 Absatz 2 BDSG personenbezogene Da- b) In Artikel 4 Nummer 1 ist in § 93 Absatz 3 nach ten in großen Mengen betrifft. dem Wort „Dritten“ das Wort „unrechtmäßig“ ein- zufügen. Mit diesem Antrag wird die bereits in Nummer 14 der Begründung Stellungnahme des Bundesrates vom 19. September 2008 zum Entwurf eines Gesetzes zur Änderung des Klarstellung des Gewollten und redaktionelle Anglei- Bundesdatenschutzgesetzes (Bundesratsdrucksache chung an die in Artikel 1 Nummer 8 gewählte Formu- 548/08 (Beschluss)) geäußerte Forderung wiederholt. lierung des § 42a Absatz 1 Satz 1 BDSG.
  • 46. Drucksache 16/12011 – 48 – Deutscher Bundestag – 16. Wahlperiode30. Zu Artikel 4 Nummer 2 (§ 95 Absatz 5 TKG) Formen personenbezogener Daten und deren Ver- arbeitung nur ungenügend auf und berücksichtigt Artikel 4 Nummer 2 ist wie folgt zu fassen: unzureichend die Gefahren und Chancen neuer Tech- ,2. In § 95 Absatz 5 werden nach den Wörtern „wenn niken der Datenverarbeitung. Darüber hinaus ist es dem Teilnehmer ein anderer Zugang zu diesen Tele- in seinen Formulierungen häufig widersprüchlich und kommunikationsdiensten“ die Wörter „ohne die durch seine Normierung in hunderten von speziel- Einwilligung“ eingefügt.‘ len Gesetzen unübersichtlich und schwer zu handha- Begründung ben. Die Entwurfsfassung ist missverständlich, weil das Es gilt daher, zum einen die Konsistenz der gesetz- Wort „Telekommunikationsdiensten“ in § 95 Absatz 5 lichen Regelung und damit deren Glaubwürdigkeit zweimal verwendet wird. Die Ergänzung bezieht sich zurückzugewinnen. Das Volkszählungsurteil verlangt allein auf den zweiten Halbsatz. vollzugsgeeignete Regelungen, deren effektive Kon- trolle sichergestellt ist. Voraussetzungen und UmfangZum Gesetzentwurf allgemein der Beschränkungen des informationellen Selbstbe- stimmungsrechts müssen klar und für den Betroffenen31. Der Bundesrat anerkennt die Zielsetzung des Gesetz- erkennbar geregelt werden. Dies verlangt eine gezielte entwurfs, ein hohes Niveau beim Datenschutz im nicht- Reduktion der bereichsspezifischen Datenschutzvor- öffentlichen Bereich zu gewährleisten und dafür effek- schriften und deren sorgfältige Abstimmung mit den tive Instrumente – vom freiwilligen Datenschutzaudit allgemeinen Datenschutzgesetzen. Darüber hinaus für Unternehmen bis hin zu geeigneten Kontrollverfah- müssen die Transparenz der Datenverarbeitung und die ren – zur Verfügung zu stellen. Die Datenmissbrauchs- Selbstbestimmung der Betroffenen gestärkt sowie die fälle in der Vergangenheit haben gezeigt, dass die Be- Selbstregulierung und Selbstkontrolle der Datenverar- fürchtungen von Verbrauchern und Medien hinsichtlich beiter ermöglicht und verbessert werden. des rechtswidrigen Handels mit personenbezogenen Daten ernst zu nehmen sind. Illegaler Datenhandel Zum anderen zwingt die Entwicklung der Kommuni- muss deshalb mit allen zur Verfügung stehenden Mit- kationstechnologie dazu, das Datenschutzrecht fort- teln unterbunden werden, ebenso wie Kontrolldefizite zuentwickeln. Ein modernes Datenschutzrecht kann hinsichtlich der Einhaltung der Datenschutzregelungen sich nicht mehr auf rein normative Vorgaben verlas- und gesetzliche Schutzlücken ausgeräumt werden müs- sen. Die Verarbeitungstechnologie muss anders als sen. bisher nicht nur Regelungsgegenstand, sondern ebenso Regelungsmittel sein. Regelungen, die das Recht auf32. Der Bundesrat bittet die Bundesregierung, einen Dis- informationelle Selbstbestimmung einschränken, müs- kussionsentwurf für ein grundsätzlich überarbeitetes sen Vorgaben für die Entwicklung und verbindliche Datenschutzrecht vorzulegen, der die allgemeinen Nutzung technischer Vorkehrungen enthalten, die Regelungen im Bundesdatenschutzgesetz mit den einen datenschutzkonformen Ablauf des Verarbei- bereichsspezifischen Vorschriften zusammenführt und tungsprozesses sichern. Vor allem im nichtöffentlichen systematisiert sowie das Datenschutzrecht angesichts Bereich müssen zudem Konzepte des Selbstdaten- neuer Formen und Techniken der Verarbeitung perso- schutzes und des Systemdatenschutzes umgesetzt wer- nenbezogener Daten risikoadäquat fortentwickelt. den. Begründung Als Grundlage für eine Überarbeitung des Datenschutz- Datenschutz ist Grundrechtsschutz und Funktions- rechts können die Ergebnisse des Gutachtens „Moder- bedingung eines demokratischen Gemeinwesens. Er ist nisierung des Datenschutzrechts“ herangezogen wer- notwendiger Bestandteil einer freiheitlichen Kommuni- den, das Alexander Roßnagel, Andreas Pfitzmann und kationsordnung. Teilhabe und Teilnahme an demokra- Hansjürgen Garstka 2001 im Auftrag des Bundesminis- tischer Willensbildung und einem freien Wirtschafts- teriums des Innern erstellt haben. verkehr sind nur zu erwarten, wenn jeder Teilnehmer Ausgehend hiervon sollte insbesondere geprüft werden, sein Handeln auf freier Willensbildung gründen kann. ob die bisherige Normenflut und Rechtszersplitterung Diese ist nur möglich, wenn die Erhebung und Verwen- verringert und Widersprüche vermieden werden kön- dung von Daten über ihn seiner freien Selbstbestim- nen, indem das Vorrangverhältnis zwischen Bundes- mung unterliegt (vgl. BVerfG, Urteil vom 15. Dezem- datenschutzgesetz und bereichsspezifischen Regelun- ber 1983 – 1 BvR 209/83 u. a. –, BVerfGE 65, 1 – gen umgedreht wird. Ein allgemeines Gesetz könnte an- „Volkszählungsurteil“). Datenschutz ist zudem ein stelle von offenen Abwägungsklauseln grundsätzliche wichtiger Akzeptanzfaktor in der Informationsgesell- und präzise Regelungen der Verarbeitung personenbe- schaft. Seine rechtliche Gestaltung beeinflusst die Ent- zogener Daten festlegen. Darüber hinaus könnte das wicklung einer modernen Wirtschaft. Er ist der ent- Gesetz allgemeine Regelungen zur Technikgestaltung, scheidende Vertrauensfaktor, der es ermöglicht, in der zur Datensicherung, zur Datenschutzorganisation, zur Informationsgesellschaft personenbezogene Daten zu Datenschutzkontrolle und zur Selbstregulierung enthal- erheben, zu verarbeiten und zu nutzen. ten. Spezialregelungen in bereichspezifischen Gesetzen Diesen Grundsätzen trägt das derzeitige Datenschutz- könnten sich dann auf Ausnahmen von den allgemeinen recht in Deutschland nur noch bedingt Rechnung. Es Regelungen beschränken und nur für bestimmte riskan- ist immer noch zu sehr auf das Konzept der räumlich te Datenverarbeitungen die Anforderungen verschärfen abgegrenzten Datenverarbeitung fixiert, nimmt neue oder bei unterdurchschnittlich riskanten Datenverarbei-
  • 47. Deutscher Bundestag – 16. Wahlperiode – 49 – Drucksache 16/12011 tungen Erleichterungen bieten. Zudem sollte geprüft Recht der Betroffenen auf informationelle Selbstbe- werden, ob die datenschutzrechtlichen Vorschriften des stimmung verstoßen haben. Telekommunikations- und Multimediarechts in das Die jüngsten Fälle von Arbeitnehmerüberwachung, bei Bundesdatenschutzgesetz integriert werden können. denen persönliche Daten von Arbeitnehmerinnen und Dadurch könnten Wertungswidersprüche und Über- Arbeitnehmern mit Wohnort, Telefonanschluss und schneidungen der Anwendungsbereiche beseitigt sowie Bankverbindung ohne deren Wissen abgeglichen wor- eine Vereinheitlichung auf hohem Niveau erreicht wer- den sind, zeigen einmal mehr, dass dringend eindeutige den. gesetzliche Regelungen zur Erhebung, Verarbeitung und Verwendung auch und gerade von Arbeitnehmer-33. Angesichts der jüngsten Vorfälle von Arbeitnehmer- daten zwingend erforderlich sind. überwachung bei der Deutschen Bahn AG bittet der Bundesrat die Bundesregierung erneut, dringend ein- 34. a) Der Bundesrat hält es für notwendig, das Bundes- deutige gesetzliche Regelungen zum Arbeitnehmerda- datenschutzgesetz als Verbraucherschutzgesetz im tenschutz vorzulegen. Diese sollen die Grenzen zuläs- Sinne des § 2 des Unterlassungsklagengesetzes siger Datenerhebung, -verarbeitung und -verwendung (UKlaG) anzuerkennen. Durch eine entsprechende klar definieren, die innerbetriebliche Datenschutz- Klarstellung im UKlaG würden Verbraucherzentra- kontrolle sicherstellen und für alle Beteiligten Rechts- len und ähnliche Organisationen in die Lage versetzt sicherheit schaffen. werden, einen entsprechenden Unterlassungsan- spruch geltend zu machen. Begründung b) Der Bundesrat sieht eine Kennzeichnung der Her- Der Bundesrat hatte bereits in seiner 850. Sitzung am kunft personenbezogener Daten sowie die Protokol- 7. November 2008 eine Entschließung zur gesetzlichen lierung ihrer Weitergabe als eine wichtige Voraus- Ausgestaltung des Arbeitnehmerdatenschutzes gefasst setzung dafür an, Datenmissbräuche effektiv und die Bundesregierung gebeten, gesetzliche Re- verfolgen zu können. Die Bundesregierung wird ge- gelungen zum Arbeitnehmerdatenschutz vorzulegen beten, einen Bericht über mögliche Verfahren zur – Bundesratsdrucksache 665/08 (Beschluss) –. Hinter- Kennzeichnung der Herkunft von Daten und zur grund waren schon damals Fälle von Arbeitnehmer- Dokumentation der Datenweitergabe vorzulegen überwachung, die die Würde von Arbeitnehmerinnen und Vorschläge zu unterbreiten, wie diese etabliert und Arbeitnehmern erheblich missachtet und gegen das werden können.
  • 48. Drucksache 16/12011 – 50 – Deutscher Bundestag – 16. WahlperiodeAnlage 4Gegenäußerung der BundesregierungVorbemerkung der Bundesregierung schutzaudit interessierte, bundesweit tätige UnternehmenDer Regierungsentwurf eines Gesetzes zur Regelung des müssen sich dementsprechend nicht mit einer VielzahlDatenschutzaudits und zur Änderung datenschutzrechtlicher verschiedener Kontrollstellen auseinandersetzen. DurchVorschriften setzt die Ergebnisse des Datenschutzgespächs die Tätigkeit der Kontrollstellen wird insgesamt dievom 4. September 2008 um. Damals hatten sich die Ge- Kontrolldichte steigen, was zu einer Entlastung der Auf-sprächsteilnehmer aus Bund und Ländern auf Eckpunkte zur sichtsbehörden führen kann.Änderung des Datenschutzrechts verständigt. Die wichtigs- b) Aus Sicht der Bundesregierung ist nicht zu erwarten, dassten Punkte waren: Abschaffung des sog. Listenprivilegs durch das Datenschutzaudit personelle und sachlichebeim Adresshandel, Einführung eines gesetzlichen Kopp- Ressourcen der Datenschutzaufsichtsbehörden gebundenlungsverbots für marktbeherrschende Unternehmen, Erwei- werden, die ihnen für die Erfüllung ihrer eigentlichenterung der Bußgeldtatbestände und des Bußgeldrahmens so- Aufgaben nicht mehr zur Verfügung stehen.wie die Schaffung einer Möglichkeit zur Abschöpfungunrechtmäßiger Gewinne. Der Gesetzentwurf sieht des Wei- Der Gesetzentwurf überlässt es den Ländern, die zurteren eine Informationspflicht bei Datenschutzpannen sowie Durchführung des Datenschutzauditgesetzes zuständigeneinen verbesserten Kündigungsschutz für Beauftragte für Behörden zu bestimmen. Dies können, müssen aber nichtden Datenschutz vor und enthält – wie ebenfalls im Ge- die nach § 38 Absatz 6 des Bundesdatenschutzgesetzesspräch vom 4. September 2008 vereinbart – einen Vorschlag zuständigen Aufsichtsbehörden sein. Sofern andere Be-für die Einführung eines staatlichen Datenschutzaudits. Ziel- hörden als zuständige Behörden für die Durchführungvorstellung der Teilnehmer des Gesprächs vom 4. September des Datenschutzaudits bestimmt werden, werden keine2008 war, sich auf eine überschaubare Zahl, schnell umset- Ressourcen der Aufsichtsbehörden gebunden. Sofern diezungsfähiger Rechtsänderungen zu beschränken, um insbe- Aufsichtsbehörden als zuständige Behörden für diesondere im Bereich des Adresshandels einen effektiveren Durchführung des Datenschutzaudits bestimmt werden,Datenschutz zu erreichen. Die Bundesregierung verkennt tritt diese Aufgabe zu ihren bisherigen Aufgaben gleich-nicht, dass weitere Änderungen des Datenschutzrechts in rangig hinzu. Über die finanzielle und personelle Aus-Betracht kommen, deren Prüfung allerdings den Rahmen stattung der Aufsichtsbehörden entscheiden die Länder indieses Gesetzgebungsverfahrens sprengen würde. Außer- eigener Verantwortung.dem greift der Gesetzentwurf nicht sonstige, nicht mit dem Aus Sicht der Bundesregierung ist auch nicht zu erwar-Adresshandel in Verbindung stehende Forderungen zur Än- ten, dass der mit der Durchführung des Datenschutzaudit-derung oder Novellierung des Bundesdatenschutzgesetzes gesetzes verbundene Aufwand außer Verhältnis zu demauf. zu erwartenden Nutzen steht. Die Bundesregierung gehtDies vorausgeschickt, nimmt die Bundesregierung zu den davon aus, dass eine Reihe von Unternehmen vonVorschlägen des Bundesrates wie folgt Stellung: dem Datenschutzauditsiegel werbewirksam Gebrauch machen, damit wettbewerbsrelevante Anreize zur Ver- besserung des Datenschutzes und der DatensicherheitZu Nummer 1 (Artikel 1 – DSAG allgemein) setzt und das Vertrauen der Bürgerinnen und Bürger inDie Bundesregierung teilt die Auffassung des Bundesrates einen sorgsamen Umgang mit ihren personenbezogenennicht. Daten stärken wird.Um die mit dem Entwurf eines Datenschutzauditgesetzes c) Die Bundesregierung hält das Verhältnis der privatenverfolgten Ziele zu erreichen sind bestimmte Verfahrensvor- Kontrollstellen zur Selbstkontrolle durch betrieblicheschriften und wirksame Kontrollen unumgänglich. Ein alter- Datenschutzbeauftragte und zur Fremdkontrolle durchnativer Regelungsansatz, der geringeren Aufwand erfordert, die Datenschutzaufsichtsbehörden nicht für unklar. Sieist bislang nicht ersichtlich. Die Bundesregierung wird die sieht auch keine nachhaltige Beeinträchtigung der Stel-praktischen Erfahrungen mit dem Datenschutzaudit unter lung der betrieblichen Datenschutzbeauftragten und derBerücksichtigung der nach § 11 Absatz 2 des Datenschutz- Datenschutzaufsichtsbehörden.auditgesetzes vorgesehenen Berichte sehr aufmerksam be- Prüfmaßstab des Datenschutzauditgesetzes ist nicht dieobachten. bloße Einhaltung der Vorschriften über den Datenschutza) Die im Gesetzentwurf vorgesehenen privaten Kontroll- (Gesetzeskonformität), wie sie der Tätigkeit des Be- stellen werden sich von selbst am Markt bilden. Ihre Zu- auftragten für den Datenschutz nach § 4g Absatz 1 lassung und Überwachung ist erforderlich, um ein quali- Satz 1 des Bundesdatenschutzgesetzes und der Auf- tativ hochwertiges Datenschutzaudit zu gewährleisten. sichtsbehörden nach § 38 Absatz 1 Satz 1 des Bundes- Die Zulassung durch den Bundesbeauftragten für den datenschutzgesetzes zugrunde liegt, sondern die Einhal- Datenschutz und die Informationsfreiheit ist vorgesehen, tung darüber hinausgehender Richtlinien zur Verbesse- weil die Zulassung bundesweit gelten soll. Sie erlaubt rung des Datenschutzes und der Datensicherheit. Zudem eine länderübergreifende Tätigkeit der privaten Kontroll- sind die Beauftragten für den Datenschutz nach § 3 stellen ohne Mehrfachzulassungen. An einem Daten- Satz 2 des Datenschutzauditgesetzes in die Durchfüh-
  • 49. Deutscher Bundestag – 16. Wahlperiode – 51 – Drucksache 16/12011 rung der Kontrollen einzubeziehen. Soweit die Länder Zu Nummer 4 (Artikel 2 Nummer 1a – neu – § 4 Absatz 3 die Aufsichtsbehörden als die zur Durchführung des Satz 1 BDSG) Datenschutzauditgesetzes zuständigen Behörden bestim- men, ist auch ihre enge Einbindung in das Daten- Die Bundesregierung stimmt dem Vorschlag nicht zu. schutzaudit gewährleistet. Die Aufsichtsbehörden stellen Der Gesetzentwurf sollte sich aus den in der Vorbemerkung darüber hinaus mit vier Vertretern die zweitgrößte genannten Gründen auf die vorgeschlagenen grundlegenden Gruppe im Datenschutzauditausschuss, der die Richt- Änderungen beschränken. linien und damit den Prüfmaßstab des Datenschutzaudit- gesetzes erlässt. Zu Nummer 5 (Artikel 2 Nummer 2 – § 4f Absatz 2 Satz 1d) Das Instrument eines Datenschutzauditausschusses trägt und 2 BDSG) der Kritik der Länder an der zunächst geplanten Vergabe des Datenschutzauditsiegels bei Einhaltung der Vor- Die Bundesregierung wird das Anliegen prüfen. schriften über den Datenschutz (Gesetzeskonformität) Rechnung. Ein solches Datenschutzauditsiegel brächte Zu Nummer 6 (Artikel 2 – § 9 und Anlage zu § 9 Satz 1 verschiedene Probleme mit sich: Es brächte den Unter- BDSG) nehmen keinen wesentlichen Wettbewerbsvorteil gegen- über Wettbewerbern, weil die Einhaltung der geltenden Die Bundesregierung wird das Anliegen prüfen. Gesetze von jedem Unternehmen erwartet wird. Die Ein- haltung der datenschutzrechtlichen Vorschriften bei den Zu Nummer 7 (Artikel 2 – § 11 Absatz 2 Satz 2) Unternehmen wird zudem bereits durch den Beauftragten für den Datenschutz und die Aufsichtsbehörden kontrol- Die Bundesregierung wird das Anliegen prüfen. liert. Ein auf die Gesetzeskonformität beschränktes Datenschutzauditsiegel liefe damit Gefahr, die bestehen- Zu Nummer 8 (Artikel 2 Nummer 3a – neu – § 11 Absatz 2 den Kontrollen zu entwerten oder zumindest eine Verfah- Satz 4 BDSG) rensdoppelung herbeizuführen. Es bestünde zudem die Gefahr, dass die Freiwilligkeit des Auditverfahrens in Die Bundesregierung wird das Anliegen prüfen. einen faktischen Zwang umschlägt, weil aus der Tat- sache, dass ein Unternehmen kein Datenschutzauditsie- Zu Nummer 9 (Artikel 2 – § 11 Absatz 4 BDSG) gel verwendet, u. U. der Schluss gezogen werden könnte, Die Bundesregierung wird das Anliegen prüfen. dass dieses Unternehmen die Datenschutzvorschriften nicht einhält. Der Datenschutzauditausschuss wurde da- her vorgesehen, um mit Richtlinien zur Verbesserung des Zu Nummer 10 (Artikel 2 Nummer 5 Buchstabe b – § 28 Datenschutzes und der Datensicherheit einen Prüfmaß- Absatz 1 Satz 1 Nummer 1 BDSG) stab für das Datenschutzauditsiegel oberhalb der Geset- Die Bundesregierung stimmt dem Vorschlag zu. zeskonformität zu erarbeiten. Eine Rechtsaufsicht über den Ausschuss ist aus Sicht der Bundesregierung gebo- Sie sieht hierin allerdings in der Praxis keine Verbesserung. ten, um die Erfüllung seiner gesetzlichen Aufgaben Der Begriff „dienen“ in § 28 Absatz 1 Satz 1 Nummer 1 des sicherzustellen. Bundesdatenschutzgesetzes erlaubt auch jetzt nicht, nicht erforderliche personenbezogene Daten zu erheben. Die Er-e) Aus Sicht der Bundesregierung ist die Nomenklatur des hebung „überschießender Daten“ resultiert vielmehr aus Datenschutzauditgesetzes nicht in sich widersprüchlich der unvermeidlichen Offenheit der Begriffe „Zweckbestim- und wird in der Praxis auch nicht zur Verwirrung führen. mung eines Vertragsverhältnisses oder vertragsähnlichen Die vom Datenschutzauditgesetz abweichende Verwen- Vertrauensverhältnisses“. dung von Begriffen in anderen Gesetzen oder euro- päischen Rechtsakten ist kein Beleg dafür, dass das Zu Nummer 11 (Artikel 2 Nummer 5 Buchstabe b – § 28 Datenschutzauditgesetz in sich widersprüchlich wäre. Absatz 1 Satz 1 Nummer 1 BDSG) Der Begriff der Kontrollstelle wird im Datenschutzrecht bislang lediglich auf europäischer Ebene und in einigen Die Bundesregierung hat die erbetene Prüfung vorgenom- Landesgesetzen verwendet. Der Begriff „Aufsichtsbe- men. hörde“ in § 15 Absatz 1 des Datenschutzauditgesetzes bezeichnet das Bundesministerium des Innern als Rechts- Die Mitgliedschaft in einem Verein oder Verband, einer Par- aufsichtsbehörde des Datenschutzauditausschusses. Die tei, Gewerkschaft oder einer ähnlichen Organisation beruht Begriffsverwendung beschränkt sich auf diese Binnen- auf der Teilnahme an der Gründung bzw. einem späteren beziehung. Beitritt zu der bestehenden Organisation. Sowohl der Grün- dungsvertrag als auch der Beitrittsvertrag lässt sich auch als Schuldverhältnis qualifizieren. Die Mitgliedschaft in einemZu Nummer 2 (Artikel 1 – § 4 Absatz 1 Satz 1 Nummer 4 Verein oder Verband, einer Partei, Gewerkschaft oder einer DSAG) ähnlichen Organisation hat also ihre Grundlage in einemDie Bundesregierung wird das Anliegen prüfen. Schuldverhältnis. Sofern eine Datenverarbeitung der Durch- führung dieses Schuldverhältnisses mit dem BetroffenenZu Nummer 3 (Artikel 1 – § 9 Absatz 1 Satz 1 DSAG) dient, ist der Anwendungsbereich des § 28 Absatz 1 Satz 1 Nummer 1 des Bundesdatenschutzgesetzes aus Sicht derDie Bundesregierung wird das Anliegen prüfen. Bundesregierung weiter eröffnet.
  • 50. Drucksache 16/12011 – 52 – Deutscher Bundestag – 16. WahlperiodeZu Nummer 12 (Artikel 2 Nummer 5 Buchstabe d – § 28 Zu Nummer 19 (Artikel 2 Nummer 8 – § 42a Satz 1 Absatz 3 Satz 6 BDSG) BDSG)Die Bundesregierung stimmt dem Vorschlag nicht zu. Die Bundesregierung stimmt dem Vorschlag nicht zu.Aus Sicht der Bundesregierung bringt der Vorschlag des Die Evidenzschwelle ist aus Sicht der Bundesregierung einBundesrates das Gewollte nicht klarer zum Ausdruck. notwendiges Regulativ mit Blick auf das Ziel der Vorschrift, die Betroffenen vor drohenden Beeinträchtigungen ihrer Rechte oder schutzwürdigen Interessen zu schützen sowieZu Nummer 13 (Artikel 2 Nummer 5 Buchstabe d – § 28 der andernfalls unter Umständen weit reichenden wirtschaft- Absatz 3 Satz 7 – neu – BDSG) lichen Konsequenzen für die verpflichteten Unternehmen.Die Bundesregierung stimmt dem Vorschlag nicht zu. Die Sensibilität eines Datums ergibt sich insbesondere aus dem Verwendungszusammenhang. Auch wenn es sich beiDem Betroffenen ist schon nach geltendem Recht das Vorlie- den aufgeführten Datenarten in der Regel um sehr sensiblegen der Einwilligung nachzuweisen. Die ausdrückliche Auf- Daten handelt, sind Konstellationen denkbar, in denen diesenahme wäre deklaratorisch, würde aber künftig den uner- Daten Dritten unrechtmäßig zur Kenntnis gelangen, ohnewünschten Umkehrschluss erlauben, dass in allen anderen dass hieraus eine schwerwiegende Beeinträchtigung für dieFällen ein Nachweis nicht zu erbringen ist. Dies würde die Rechte oder schutzwürdigen Interessen der BetroffenenPosition der Betroffenen im Ergebnis sogar verschlechtern. droht, z. B. wenn die Daten verschlüsselt waren.Zu Nummer 14 (Artikel 2 Nummer 5 Buchstabe e – § 28 Zu Nummer 20 (Artikel 2 Nummer 8 – § 42a Satz 5 Absatz 3a Satz 1, 2 – neu – BDSG) BDSG)Die Bundesregierung stimmt dem Vorschlag nicht zu. Die Bundesregierung wird das Anliegen prüfen.Die vom Bundesrat vorgeschlagene, zwingende Schriftform Zu Nummer 21 (Artikel 2 Nummer 9 Buchstabe afür die Einwilligung würde eine unangemessen weit reichen- Doppelbuchstabe aa – § 43 Absatz 1de Beeinträchtigung bestehender Geschäftsmodelle der Un- Nummer 2 Buchstabe b BDSG)ternehmen darstellen und zu Wertungswidersprüchen mit an- Die Bundesregierung stimmt dem Vorschlag zu.deren gesetzlichen Regelungen führen. Unternehmen sind inverschiedenen Konstellationen darauf angewiesen, von der Zu Nummer 22 (Artikel 2 Nummer 9 Buchstabe b – § 43Schriftform abzuweichen, z. B. bei vom Kunden ausgehen- Absatz 2 Nummer 1 BDSG)dem telefonischem Kontakt. Hier hätte der Kunde kein Ver-ständnis dafür, dass seine telefonische Einwilligung nicht Die Bundesregierung stimmt dem Vorschlag nicht zu.ausreichen soll und von ihm schriftlich zu erteilen ist. Ferner Mit der vorgeschlagenen Änderung würden auch Verhaltens-entspricht die Schriftform bei elektronischen Erklärungen weisen erfasst, die das informationelle Selbstbestimmungs-der qualifizierten elektronischen Signatur, die mangels Ver- recht des Betroffenen nur vergleichsweise geringfügig be-breitung gravierende Auswirkungen auf im Internet abge- einträchtigen und bei denen daher eine Ahndung alswickelte Geschäftsmodelle hätte. Ordnungswidrigkeit unverhältnismäßig erscheint. Die Bun- desregierung hat jedoch durch die in Artikel 2 Nummer 9Zu Nummer 15 (Artikel 2 Nummer 5 Buchstabe e – § 28 Buchstabe b Doppelbuchstabe aa vorgesehenen Änderungen Absatz 3b BDSG) bestimmte Fälle der unbefugten Nutzung bußgeldbewehrt.Die Bundesregierung stimmt dem Vorschlag nicht zu. Zu Nummer 23 (Artikel 2 Nummer 9 – § 43 BDSG)Ein allgemeines Kopplungsverbot könnte mangels weiterer Die Bundesregierung wird das Anliegen prüfen.Tatbestandsvoraussetzungen unter Umständen zwar leichteranwendbar sein, schränkt jedoch die Vertragsgestaltungsfrei- Zu Nummer 24 (Artikel 2 Nummer 9 – § 43 BDSG)heit der betroffenen Unternehmen zu stark ein. Es ist nichteinsehbar, weshalb ein Kopplungsverbot auch dann gelten Die Bundesregierung hat die erbetene Prüfung vorgenom-soll, wenn der Betroffene die Leistung ohne weiteres bei men.einem anderen Anbieter erhalten kann. § 9 des Bundesdatenschutzgesetzes ist nicht hinreichend be- stimmt, um Verstöße als Ganzes oder in Teilen als Ordnungs-Zu Nummer 16 (Artikel 2 Nummer 5 – §§ 28 bis 30 widrigkeit gemäß § 43 des Bundesdatenschutzgesetzes zu BDSG) ahnden. Hinzu kommt, dass die Aufsichtsbehörden gemäß § 38 Absatz 5 des Bundesdatenschutzgesetzes im EinzelfallDie Bundesregierung wird das Anliegen prüfen. Maßnahmen zur Beseitigung technischer und organisato- rischer Mängel anordnen können. Der Verstoß gegen eineZu Nummer 17 (Artikel 2 Nummer 7a – neu – § 35 auf Grundlage des § 38 Absatz 5 Satz 1 des Bundesdaten- Absatz 5 BDSG) schutzgesetzes erlassene vollziehbare Anordnung ist gemäß § 43 Absatz 1 Nr. 11 des Bundesdatenschutzgesetzes bereitsDie Bundesregierung wird das Anliegen prüfen. nach geltendem Recht bußgeldbewehrt.Zu Nummer 18 (Artikel 2 – § 38 Absatz 5 BDSG) Zu Nummer 25 (Artikel 2 Nummer 9 – § 43 BDSG)Die Bundesregierung wird das Anliegen prüfen. Die Bundesregierung wird das Anliegen prüfen.
  • 51. Deutscher Bundestag – 16. Wahlperiode – 53 – Drucksache 16/12011Zu Nummer 26 (Artikel 2 Nummer 9a – neu – § 44 deutlichen Ausweitung und Verkomplizierung des Bundes- Absatz 2 – neu) datenschutzgesetzes führen, ohne dass hiermit notwendiger-Die Bundesregierung stimmt den Vorschlägen nicht zu. weise mehr Transparenz oder Widerspruchsfreiheit erreicht würde. Zudem wäre dies aufgrund der Vielzahl und Unter-Das Bedürfnis einer solchen Regelung ist nicht erkennbar, schiedlichkeit der betroffenen Regelungen mit einem erheb-da bereits die Aufsichtsbehörden von Amts wegen ein- lichen und zeitaufwändigen Abstimmungsbedarf mit allenschreiten können. Diese sind gemäß § 44 Absatz 2 Satz 2 Ressorts verbunden.des Bundesdatenschutzgesetzes antragsberechtigt. Im Übri-gen ist das Recht auf informationelle Selbstbestimmung ein Die Bundesregierung beobachtet die Fortentwicklung derhöchstpersönliches Recht des jeweils Betroffenen. Beein- Technik, insbesondere der Datenverarbeitung, und ihreträchtigungen dieses höchstpersönlichen Rechts sollten des- Auswirkungen auf das Recht auf informationelle Selbst-halb weiterhin grundsätzlich nur auf Antrag verfolgt wer- bestimmung fortlaufend. Sie hat z. B. am 23. Januar 2008den können. einen Bericht zu den Aktivitäten, Planungen und zu einem gesetzgeberischen Handlungsbedarf in Bezug auf die daten-Zu Nummer 27 (Artikel 2 Nummer 10 – § 47 BDSG) schutzrechtlichen Auswirkungen der RFID-Technologie (Bundestagsdrucksache 16/7891) vorgelegt. Soweit die Bun-Die Bundesregierung stimmt dem Vorschlag zu. desregierung einen gesetzgeberischen HandlungsbedarfAus Sicht der Bundesregierung erfasst die derzeitige Formu- sieht, wird sie entsprechende Vorschläge zur Änderung derlierung bereits den ganz überwiegenden Teil der relevanten gesetzlichen Grundlagen vorlegen.personenbezogenen Daten. Es ist jedoch nicht ausgeschlos-sen, dass verantwortliche Stellen daneben auch personen- Zu Nummer 33bezogene Daten speichern, die sie nicht im Sinne des § 3Absatz 3 des Bundesdatenschutzgesetzes „erhoben“ haben. Die Bundesregierung wird das Anliegen des BundesratesEine Ungleichbehandlung ist insoweit nicht gewollt. aufgreifen. Sie schlägt in einem ersten Schritt eine ergän- zende Regelung vor, die den Datenschutz der Arbeitneh-Zu Nummer 28 (Artikel 2 Nummer 10 – § 47 BDSG) mer in allgemeiner Form im Bundesdatenschutzgesetz ver- ankert.Die Bundesregierung stimmt dem Vorschlag nicht zu. Hierzu wird die Bundesregierung für die anstehenden Aus-Eine Verkürzung der Übergangsfrist würde es betroffenen schussberatungen einen Vorschlag vorlegen, der allerdingsUnternehmen, insbesondere kleineren und mittleren Unter- noch keine abschließende Regelung des Arbeitnehmerdaten-nehmen nicht erlauben, in einem angemessenen Zeitraum ih- schutzes darstellen wird.re Geschäftsmodelle auf die neuen Anforderungen an die Er-hebung personenbezogener Daten umzustellen oder die Parallel zu den Ausschussberatungen wird eine Arbeits-erforderliche Anzahl von Einwilligungen einzuholen. Ver- gruppe den Handlungsbedarf im Bereich des Arbeitnehmer-schiedene Formen der Datenverarbeitung und -nutzung, datenschutzes prüfen und die Arbeiten zu einem Arbeitneh-z. B. volladressierte Werbesendungen in Gestalt von Jahres- merdatenschutzgesetz fortführen. Angesichts der Komplexi-katalogen für das Jahr 2010, werden bereits im Herbst 2009 tät eines solchen Vorhabens geht die Bundesregierung abervorbereitet und gedruckt, so dass die Übergangsfrist in der davon aus, dass die Arbeiten erst in der nächsten Legislatur-Praxis weiter verkürzt würde. periode zum Abschluss gebracht werden können.Zu Nummer 29 (Artikel 3 Nummer 3 – § 15a TMG und Zu Nummer 34 Artikel 4 Nummer 1 – § 93 Absatz 3 TKG) Zu Buchstabe aDie Bundesregierung stimmt dem Vorschlag zu. Das Anliegen des Bundesrates wäre mit erheblichem Prü-Zu Nummer 30 (Artikel 4 Nummer 2 – § 95 Absatz 5 fungsbedarf verbunden. Diese Prüfung würde voraussicht- TKG) lich längere Zeit in Anspruch nehmen und sollte das Gesetz- gebungsverfahren nicht verzögern.Die Bundesregierung stimmt dem Vorschlag zu. Zu Buchstabe bZum Gesetzentwurf allgemein Die Bundesregierung lehnt die Bitte des Bundesrates ab,Zu Nummer 31 einen Bericht über mögliche Verfahren zur KennzeichnungDie Bundesregierung schließt sich den Aussagen und Be- der Herkunft von Daten und zur Dokumentation der Daten-wertungen des Bundesrates in Nummer 37 an. weitergabe vorzulegen und Vorschläge zu unterbreiten, wie diese etabliert werden können. Aufgrund der in dem Gesetz-Zu Nummer 32 entwurf vorgesehenen Neugestaltung des „Listenprivilegs“ hin zu einer grundsätzlichen Einwilligungslösung, ist eineDie Bundesregierung stimmt der Bitte des Bundesrates nicht gesetzliche Pflicht zur Herkunftskennzeichnung nicht erfor-zu. derlich. Da die Zulässigkeit der Datenverarbeitung künftigEine Zusammenführung und Systematisierung der Regelun- auf der Einwilligung der Betroffenen beruht, ist diese vongen im Bundesdatenschutzgesetz mit den bereichsspezi- den verantwortlichen Stellen gegenüber ihren Vertragspart-fischen Vorschriften begegnet Bedenken im Hinblick auf das nern, aber auch bei aufsichtsbehördlichen Kontrollen oderverfassungsrechtliche Gebot der bereichsspezifischen Rege- gegenüber dem Betroffenen nachzuweisen. Eine Protokol-lung der Verwendungszwecke und würde zudem zu einer lierung der Weitergabe von Daten ergibt sich bereits aus dem
  • 52. Drucksache 16/12011 – 54 – Deutscher Bundestag – 16. Wahlperiode geltenden Recht. Nach Satz 2 Nummer 5 der Anlage zu § 9 Satz 1 des Bundesdatenschutzgesetzes sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezoge- nen Daten oder Datenkategorien geeignet sind, zu gewähr- leisten, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist (Weitergabekontrolle).
  • 53. Gesamtherstellung: H. Heenemann GmbH & Co., Buch- und Offsetdruckerei, Bessemerstraße 83–91, 12103 BerlinVertrieb: Bundesanzeiger Verlagsgesellschaft mbH, Amsterdamer Str. 192, 50735 Köln, Telefon (02 21) 97 66 83 40, Telefax (02 21) 97 66 83 44 ISSN 0722-8333