BDSG-Novelle 2009

Stand dieses Dokuments: 31.03.2010

Nach teilweise harten Verhandlungen hat die Bundesregierung im Jahr 2009 insgesamt über 90 Änderungen (!) am Bundesdatenschutzgesetz vorgenommen. Die BDSG Novelle 2009 wurden teilweise sprichwörtlich in der letzten Minute der Legislaturperiode beschlossen. Die meisten Änderungen wurden vorgenommen, um den aktuellen Entwicklungen und Skandalen Rechnung zu tragen. Für die Datenschutzbeauftragten gibt es nun einiges zu tun.

Einleitung

Die heutigen Zeiten sind schnelllebig - speziell was die Belange des Datenschutzes angeht. Das vergangene Jahr war geprägt durch die Datenschutz-Pannen z.B. bei der Deutschen Bahn, Honeywell, LIDL, Daimler, KiK, Best Western, Beate Uhse, Sony, Price Waterhouse Coopers, Telekom, Ki.Ka, Springerverlag, Monster und Aachener Münchner. Darüber hinaus wurden Millionen von Adress- und Kreditkartendaten rechtswidrig gehandelt und in zahlreichen Fällen Mitarbeiterdaten in öffentlichen Containern entsorgt.

Die Politik geriet unter Druck und hat reagiert. Insgesamt drei voneinander unabhängige Gesetzesvorhaben (die sogenannten Novellen I, II und III) nehmen Änderungen am Bundesdatenschutzgesetz vor. Leider ist der Gesetzgebungsprozess extrem verschachtelt verlaufen, sodass die offiziellen Dokumente nur im Gesamtkontext einigermaßen verständlich sind. Zu diesem Punkt äußert sich der Bundesdatenschutzbeauftragte Peter Schaar in seinem lesenswerten BLOG [7]. Die diesbezügliche Einschätzung einer Oppositionspartei ("Gesetzes-Frikassee") ist durchaus nachvollziehbar.

Die allermeisten Änderungen am Gesetzestext sind letztlich verständlich und nachvollziehbar, nur der Umgang mit Daten für Werbezwecke ist "von einzigartiger Kompliziertheit" (Zitat Dr. Eugen Ehrmann in Datenschutz PRAXIS 08/2009 S. 13).

Der vorliegende Text fasst die wichtigsten Änderungen im Datenschutz zusammen. Viele Details und Zusammenhänge sind bewusst vereinfacht oder verkürzt dargestellt, damit der Leser den Überblick nicht verliert. Somit kann die hier vorliegende Zusammenfassung nicht als "Kommentar" gelten, und so werden Datenschutz-"Laien" aufgrund der kurzen Formulierungen vermutlich nicht immer verstehen, worum es im Einzelnen geht. Das war aufgrund der Menge der Änderungen leider nicht zu vermeiden. Bedingt durch die große Menge an Informationen und die Kompliziertheit der offiziellen Dokumente kann für die Vollständigkeit oder Richtigkeit des hier vorliegenden Textes nicht garantiert werden.

Durch werden Paragraphen oder Absätze optisch hervorgehoben, die gänzlich neu bestehen.
Durch werden Änderungen optisch hervorgehoben, die die meisten Datenschutzbeauftragten unmittelbar betreffen werden.

Übersicht der Novellen

In Bezug auf das Bundesdatenschutzgesetz werden die folgenden drei Novellierungen rechtskräftig:

Die mit Abstand zahlreichsten Änderungen resultieren aus der Novelle II. Im Bundesgesetzblatt ist bis Anfang August 2009 noch keine Veröffentlichung des Gesamttextes erfolgt; im Internet ist eine inoffizielle Zusammenfassung unter [5] und [8] aber schon zu erhalten. Trotz neuer Paragraphen hat sich die sonstige Nummerierung nicht verändert, weil bisher "entfallene" Paragraphen-Nummern wiederverwendet wurden.

Novelle I ("Scoring und Auskunfteien")
Diese Novelle kümmert sich um die Rechte der Verbraucher, sofern sie von Auskunfteien und Scoring betroffen sind. Die Gesetzesänderung soll vermeiden, dass der Verbraucher in die "Mühle" einer automatisierten Bewertung gerät, die sich sehr nachteilig auf seine finanziellen Belange (z.B. Kreditbewilligung) auswirken kann. Da die Auskunfteien sich technisch und organisatorisch auf diese umfassenden Änderungen einstellen müssen, wird das Gesetz erst im April 2010 rechtsgültig. Die ausführliche Historie befindet sich in [9]. Die wichtigsten Änderungen am Bundesdatenschutzgesetz sind:

Novelle II ("Gesetz zur Änderung datenschutzrechtlicher Vorschriften")
Diese Novelle hat Ihren Ursprung nicht zuletzt in den zahlreichen Skandalen der Privatwirtschaft. Hier geht es erkennbar um die Stärkung des Datenschutzbeauftagten, Beschäftigten-Datenschutz, Adresshandel, Werbung und um sonstige konkrete Verbesserungen. Die Änderungen sind zumeist ab dem 01.09.2009 wirksam (es gibt Ausnahmen mit Wirkung zum 01.09.2010 und 01.09.2012). Die ausführliche Historie befindet sich in [10]. Die wichtigsten Änderungen am Bundesdatenschutzgesetz sind:

Novelle III ("Verbraucherkredit")
Im Zuge der Umsetzung einer europäischen Verbraucherrichtlinie wurde unter anderem das Bundesdatenschutzgesetz geändert. Somit ist Europa im Datenschutz angekommen. Auf 63 Seiten sind zahlreiche Gesetzesänderungen [12] zu finden, wobei das Bundesdatenschutzgesetz nur minimal betroffen ist. Die Änderungen sind ab dem 11.06.2010 wirksam. Die wichtigsten Änderungen am Bundesdatenschutzgesetz sind:

Die Änderungen für die privatwirtschaftliche Stellen werden gültig am 01.09.2009, 01.04.2010, 11.06.2010, 01.09.2010, 01.09.2012, 01.01.2013 und 01.01.2015.

Änderungen ab dem 01. September 2009

Diese Änderungen kommen ausschließlich durch die Novelle II ("Gesetz zur Änderung datenschutzrechtlicher Vorschriften") zustande. Alle in der obigen Tabelle aufgelisteten Änderungen werden nun ausführlicher beschrieben:

• § 3 Absatz 11 - Was sind Beschäftigte?
  
  Im Zusammenhang mit dem neuen § 32 (siehe unten) ergibt sich hier ein erster Ansatz für ein „Arbeitnehmer-Datenschutzgesetz“, welches seit 20 Jahren gefordert wird und aufgrund der zahlreichen aktuellen Datenschutzskandale immer notwendiger erscheint. Inhaltlich bietet dieser neue Absatz eine Definition von Betroffenen, die als „Beschäftigte“ gelten und somit durch den neuen § 32 besonders geschützt werden. Die Gesetzesbegründung findet sich in 16/13657 auf Seite 27.

• § 3a Satz 1 - Datenvermeidung und Datensparsamkeit
  
  Die Prinzipien der Datenvermeidung und Datensparsamkeit sind nun nicht mehr auf automatisierte Daten begrenzt und gelten daher jetzt auch für Akten. Die Gesetzesbegründung findet sich in 16/13657 auf Seite 27, allerdings wird die Tragweite dieser Umformulierung nicht ausführlich kommentiert.
  
  
• § 3a Satz 2 - Anonymisierung und Pseudonymisierung
  
  Die Wichtigkeit der Anonymisierung und Pseudonymisierung wurde sprachlich hervorgehoben. Es ist nicht mehr entscheidend, ob diese Maßnahmen technisch/organisatorisch möglich sind, sondern ob der Verwendungszweck diese Maßnahmen erlaubt. Der Unterschied kann entscheidend sein, denn bisher konnte man sagen "die eingesetzte Software bietet dieses Leistungsmerkmal nicht". Nun muss man feststellen: "der Verwendungszweck erlaubt diese Maßnahmen, daher muss eine neue Software in Betrieb genommen werden, die dies technisch möglich macht".
  Bisher waren die Maßnahmen angeraten, sofern sie ein "angemessenes Verhältnis" von Aufwand und Nutzen hatten. Nun sind sie vorgeschrieben, sofern Aufwand und Schutzzweck nicht in einem "unverhältnismäßigen" Verhältnis stehen. Der Kommentator in [4] kommt zur weitreichenden Deutung einer "Beweislastumkehr". Die Gesetzesbegründung findet sich in 16/13657 auf Seite 28.

• § 4d Abs. 4 - Keine Ausnahme bei der Meldepflicht für Markt- oder Meinungsforschung
  
  Was bisher für Unternehmen galt, die Daten geschäftsmäßig zum Zwecke der Übermittlung nutzen, gilt nun auch für alle markt- und meinungsforschenden Unternehmen: Der Datenschutzbeauftragte muss unabhängig von der Anzahl der Beschäftigten bestellt werden. Die Gesetzesänderung findet sich in 636/09; eine Gesetzesbegründung ist nicht bekannt.

• § 4d Abs. 5 - rechtsgeschäftliches Schuldverhältnis statt Vertragsverhältnis
  
  Aus Gründen der Begriffsvereinheitlichung ist das ehemalige „Vertragsverhältnis“ sprachlich dem „rechtsgeschäftlichen Schuldverhältnis“ gewichen. Dementsprechend wurde das „vertragsähnliche Vertrauensverhältnis“ durch das Wortungetüm des „rechtsgeschäftsähnlichen Schuldverhältnisses“ ersetzt. In diesem Sinne wurde die Wortwahl an zahlreichen Stellen im Gesetz geändert. Der Bundesrat begründet die Umformulierung in 16/12011 auf Seite 41 (insbesondere soll die strikte Zweckbindung im Sinne der Durchführung eines Rechtsgeschäftes die Erhebung und Nutzung von "überschießenden Daten" verhindern). Die Gesetzesbegründung findet sich in 16/13657 auf Seite 30 (in 16/12011 auf Seite 51 stellt die Bundesregierung allerdings klar, dass sie keine praktische Auswirkung sieht).
  
  
• § 4f Abs. 1 Satz 1 - Markt- und Meinungsforschung muss immer einen DSB bestellen
  
  Neben den Auskunfteien müssen nun auch Markt- und Meinungsforschungsinstitute grundsätzlich einen Datenschutzbeauftragten bestellen. Ursache ist der neue § 30a. Die Gesetzesbegründung findet sich in 16/13657 auf Seite 28.

• §4f Abs. 3 Satz 5 - Kündigungsschutz für internen DSB
  
  Nun hat der interne Datenschutzbeauftragte den gleichen Kündigungsschutz wie beispielsweise der Abfallbeauftragte, Umweltbeauftragte oder Strahlungsbeauftragte. Während des Arbeitsverhältnisses und ein Jahr nach der Abberufung des Datenschutzbeauftragten darf das Arbeitsverhältnis vom Arbeitgeber nur unter besonderen Umständen gekündigt werden. Durch diese Maßnahme will der Gesetzgeber erreichen, dass ein „unbequemer“ (weil gewissenhafter) interner Datenschutzbeauftragter nicht benachteiligt wird. Manche Experten (darunter auch der BvD e.V.) schätzt die Konsequenzen dieser Regelung anders ein: Aus Angst vor arbeitsrechtlichen Problemen werden noch weniger Arbeitgeber als vorher einen internen Datenschutzbeauftragten bestellen. Von dieser Regelung ist der externe Datenschutzbeauftragte übrigens nicht betroffen. Die Gesetzesbegründung findet sich in 16/12011 Seite 30.

• § 4f Abs. 3 Satz 7 - Weiterbildung des internen DSB
  
  Das Unternehmen muss dem internen Datenschutzbeauftragten die notwendigen Weiterbildungen ermöglichen und finanzieren. Offenbar gab diese Frage öfter Anlass zum Streit. Die Unternehmen wollten also zu wenig Zeit und Geld in die Fachkunde des eigenen Datenschutzbeauftragten investieren. Zukünftig werden Schulungsprodukte wie z.B. das Datenschutz-Praxishandbuch TOM-Guide© einen noch größeren Zuspruch finden. Die Gesetzesbegründung findet sich in 16/12011 Seite 30.
  
  
• § 9 (Anlage) - Verschlüsselungsverfahren nutzen
  
  In der Anlage zu den technisch-organisatorischen Maßnahmen wird nun explizit darauf hingewiesen, dass Verschlüsselungsverfahren hilfreich sind für die Realisierung der Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle. Die Gesetzesbegründung findet sich in 16/13657 auf Seite 40 (dort wird ausgeführt, dass Verschlüsselungstechnologien noch immer nicht im wünschenswerten Umfang eingesetzt werden und daher eine ausdrückliche Erwähnung hilfreich sein könnte).

• § 11 Abs. 2 Satz 2 - Detailliertere Anforderungen an den Vertrag zur Auftragsdatenverarbeitung
  
  Viele Datenschutz-Skandale der letzen Monate und Jahre gingen auf das Konto von Auftragsdatenverarbeitungen, da Auftragnehmer nicht datenschutzkonform gehandelt haben. Zwar war der Auftrag zur Auftragsdatenverarbeitung schon immer schriftlich zu erteilen, aber bezüglich des Inhalts dieser Beauftragung bestanden keine Vorgaben. Nun hat der Gesetzgeber eine Reihe von Kriterien vorgeschrieben: In zehn Punkten reichen sie von der Beschreibung des Vertragsgegenstandes bis hin zur Vernichtung von Datenträgern bei Beendigung des Auftrags. Die im Gesetzestext genannten Punkte sind durchweg sinnvoll. Die Gesetzesbegründung findet sich in 16/13657 auf Seite 28f und in 16/12011 auf Seite 40. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 2b.
  Der Datenschutzbeauftragte muss die Klauseln aller Verträge zur Auftragsdatenverarbeitung überprüfen und sehr wahrscheinlich auf Vertragsänderungen hinwirken. Da es sehr unwahrscheinlich ist, dass die bestehenden Verträge ALLE geforderten Klauseln enthalten, kommt auf den Datenschutzbeauftragten und die beteiligten Unternehmen recht viel Arbeit zu.

• § 11 Abs. 2 Satz 4,6 - Auftragsdatenverarbeitungen müssen aktiv kontrolliert werden
  
  Die oben genannten neuen Vertragspunkte müssen nicht nur schriftlich fixiert werden, sie müssen auch aktiv kontrolliert werden. Grundsätzlich muss die Einhaltung der technisch-organisatorischen Maßnahme VOR Beginn der Arbeiten kontrolliert werden. Darüber hinaus muss die Einhaltung später regelmäßig kontrolliert werden, wobei das Intervall nicht vorgeschrieben ist. Das Ergebnis aller dieser Kontrollen ist schriftlich zu dokumentieren. Eine Gesetzesbegründung findet sich in 16/12011 auf Seite 41 und in 16/13657 auf Seite 28f. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 2b.
  Der Datenschutzbeauftragte MUSS sich vorab von der Einhaltung der technisch-organisatorischen Maßnahmen überzeugen. Er SOLL die Einhaltung später regelmäßig kontrollieren. Die jeweiligen Ergebnisse sind zu dokumentieren.

• § 28 Abs. 1 Nr. 1 - Der geschäftliche Zweck wird enger gefasst
  
  Die betroffene Stelle war von jeher eine der wichtigsten Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Aus der alten Formulierung
  > "wenn es der Zweckbestimmung eines Vertragsverhältnisses [...] mit dem Betroffenen dient"
  wurde nunmehr
  > "wenn es für die Begründung, Durchführung oder Beendigung eines [...] mit dem Betroffenen erforderlich ist".
  Der Entscheidungsspielraum ist nun stark reduziert. Die Folge wird sein, dass in manchen Fällen ein Einverständnis der betroffenen Personen notwendig sein wird.

• § 28 Abs. 2 - Zweckänderung (keine inhaltlichen Änderungen)
  
  Unter bestimmten Umständen kann ein Unternehmen die Daten auch zweckfremd nutzen (z.B. für Werbezwecke). Es wurden Passagen aus Absatz 3 in den Absatz 2 verschoben, um den Absatz 3 speziell auf Adresshandel und Werbung ausrichten zu können. Die Gesetzesänderung findet sich in 16/12011 auf Seite 13; eine explizite Gesetzesbegründung ist nicht bekannt.
  (Für die Verarbeitung und Nutzung von Daten zum Zwecke der Markt- und Meinungsforschung gilt diese Regelung erst am 01.09.2010, für Werbezwecke ab dem 01.09.2012, sofern die Daten vor dem 01.09.2009 erhoben oder gespeichert wurden.)

• § 28 Abs. 3 - Adresshandel und Werbung
  
  Die Nutzung von Daten in Listenform (mit den üblichen Datenkategorien des "Listenprivilegs") ist für Adresshandel und Werbung zulässig,
  a) wenn die Person (wirksam) eingewilligt hat, oder
  b) für die Bewerbung eigener Angebote (Produkte, Dienstleistungen) an eigene Kunden, oder an Personen deren Daten aus öffentlich zugänglichen Quellen entnommen werden, wobei Daten aus rechtmäßiger Herkunft hinzugespeichert werden dürfen, oder
  c) bei Werbung zwischen Unternehmen (Geschäftswerbung), wobei auch die Tätigkeit und die Anschrift der Beschäftigten genutzt werden dürfen, oder
  d) für die Spenden-Werbung, sofern das Unternehmen entsprechend steuerbegünstigt ist.
  
  Darüber hinaus gilt für die Werbung (aber nicht für den Adresshandel):
  e) Daten nach dem Listenprivileg dürfen übermittelt werden, wenn Herkunft und Empfänger zwei Jahre lang dokumentiert werden (siehe § 34 Absatz 1a Satz1),
  f) Werbung für fremde Angebote (Beipackwerbung, Empfehlungswerbung) ist zulässig, wenn der Absender deutlich erkennbar ausgewiesen wird.
  
  Die Gesetzesbegründung findet sich in 16/13657 auf Seite 30f.
  (Für die Verarbeitung und Nutzung von Daten durch Markt- und Meinungsforschung gilt diese Regelung erst am 01.09.2010, für Werbezwecke ab dem 01.09.2012, sofern die Daten vor dem 01.09.2009 erhoben oder gespeichert wurden.)
  
  Die Dokumentation von Herkunft und Empfänger von Werbungs-Adresslisten (siehe Punkt e) muss ggf. vom Datenschutzbeauftragten als neues Verfahren im Verfahrensverzeichnis aufgenommen werden.

• § 28 Abs. 3a - Einverständnis für Werbung hat hohe Hürden
  
  Eine mündlich erteiltes Einverständnis zur Nutzung der Daten für Werbezwecke muss seitens des Unternehmen schriftlich bestätigt werden. Die schriftliche Einwilligung in die Nutzung der personenbezogenen Daten für Werbezwecke muss "drucktechnisch" hervorgehoben werden; dies kann z.B. durch eine große oder fette Schrift erfolgen. Die elektronische Einwilligung muss protokolliert werden und für den Betroffenen abrufbar und widerrufbar sein. Diese Klauseln sind eine Reaktion auf das "Payback-Urteil" des Bundesgerichtshofes. Die Gesetzesbegründung findet sich in 16/12011 auf Seite 33 und in 16/13657 auf Seite 32.
  Der Datenschutzbeauftragte muss prüfen, ob die Anforderungen an mündliche, schriftliche und elektronische Werbungs-Einwilligung eingehalten werden.

• § 28 Abs. 3b - Keine Kopplung von Vertragsverhältnis und Werbungs-Einwilligung
  
  Das Vertragsverhältnis darf nicht von der Einwilligung in Werbung abhängig gemacht werden, wenn der Konsument keine Möglichkeit hat, ein ähnliches Angebot OHNE eine solche Einwilligung in Anspruch zu nehmen. Wird die Einwilligung trotzdem erzwungen, so ist sie nicht wirksam; eine (de facto unerwünschte) Werbung wäre somit widerrechtlich. Die Gesetzesbegründung findet sich in 16/12011 auf Seite 33. Es droht ein Bußgeld gemäß § 43 Abs. 2 Nr. 5a. [Anmerkung am 07.10.2009:] Vermutlich gilt diese Regelung nicht für freiwillige Leistungen (z.B. Gewinnspiele).
  Der Datenschutzbeauftragte muss prüfen, ob eine widerrechtliche Kopplung zwischen Vertrag und Werbungs-Einwilligung besteht.

• § 28 Abs. 4 - Widerruf der Einwilligung für Werbung
  
  Soll ein Betroffener im Rahmen eines rechtsgeschäftlichen Schuldverhältnisses (ehemals "Vertragsverhältnis") Werbung erhalten, so muss sofort auf das Widerrufsrecht hingewiesen werden; bisher konnte dies auf dem jeweiligen Werbeschreiben erfolgen. Dadurch hat der Betroffene die Möglichkeit noch VOR der ersten Werbung zu widersprechen. Für den Widerruf darf keine strengere Form gelten als für die Einwilligung durch Vertragsverhältnis (so muss z.B. der Widerruf elektronisch erfolgen dürfen, wenn auch das Rechtsgeschäft elektronisch abgeschlossen wurde). Die Gesetzesbegründung findet sich in 16/12011 auf Seite 33f. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 3a.
  (Für Markt- und Meinungsforschung gilt diese Regelung erst am 01.09.2010, für Werbezwecke ab dem 01.09.2012, sofern die Daten vor dem 01.09.2009 erhoben oder gespeichert wurden.)
  Der Datenschutzbeauftragte muss prüfen, ob rechtzeitig auf das Widerufsrecht hingewiesen wurde und ob der Widerruf nicht unnötig erschwert wird.

• § 30a - Datenverarbeitung in der Markt- und Meinungsforschung
  
  Im Rahmen der Markt- und Meinungsforschung werden oftmals sehr persönliche Daten erhoben und genutzt. Eine Zweckentfremdung der Daten (z.B. zu Werbezwecken) ist nicht erlaubt. Die Daten müssen frühestmöglich pseudonymisiert oder anonymisiert werden. Die Gesetzesbegründung findet sich in 16/13657 Seite 33f. Bei Zusammenführen mit Einzelangaben droht ein Bußgeld gemäß § 42 Abs. 2 Nr. 6.

• § 32 - Daten im Beschäftigungsverhältnis
  
  Die Daten der Beschäftigten eines Unternehmens (siehe § 3 Absatz 11) sollen besser geschützt werden, um eine Wiederholung der Skandale wegen "Mitarbeiter-Bespitzelung" zu unterbinden. Die in der Öffentlichkeit bekannt gewordenen Methoden zur Aufdeckung von Straftaten (Diebstahl, Korruption, ...) waren ein zu intensiver Eingriff in die informationelle Selbstbestimmung der Beschäftigten. Zukünftig müssen tatsächliche Anhaltspunkte vorliegen und diese müssen dokumentiert werden. Die bisher praktizierten "Massen-Screenings" dürften somit entfallen.
  Laut § 32 Abs. 2 gilt der Abs. 1 für alle Arten von Daten (auch in Akten und handschriftliche Notizen, Videoüberwachung etc.). [Nachtrag am 07.10.2009:] Dies muss im nicht-öffentlichen Bereich nicht unbedingt bedeuten, dass Akten und handschriftliche Notizen komplett dem Datenschutz unterliegen; vermutlich ist nur die Erlaubnis der Datenerhebung und Nutzung gemeint.
  Die Gesetzesbegründung findet sich in 16/13657 auf Seite 34ff.
  Der Datenschutzbeauftragte muss das Verfahrensverzeichnis anpassen, sofern Beschäftigte betroffen sind: Die Rechtsgrundlage ist nun nicht mehr § 28 Abs. 1 Satz 1 (Erfüllung eigener Geschäftszwecke), sondern § 32 (Daten im Beschäftigungsverhältnis).

• § 33 Abs. 2 Nr. 9 - Erleichterung der Benachrichtigungspflicht für Markt- und Meinungsforschung
  
  Werden im Rahmen von Markt- oder Meinungsforschung erstmals Daten einer Person ohne deren Wissen gespeichert, so ist keine Benachrichtigung notwendig, sofern a) die Daten aus allgemein zugänglichen Quellen (z.B. Telefonbuch) stammen und b) eine Benachrichtigung aufgrund der Vielzahl der Fälle unverhältnismäßig wäre. Die Gesetzesbegründung ist dem Autoren nicht bekannt. Vermutlich handelt es sich um eine Folgeänderung wegen § 30a (s.o.)

• § 38 - Erweiterte Rechte für die Aufsichtsbehörde
  
  Die jeweilige Aufsichtsbehörde für den Datenschutz hat nun die Befugnis ein Verfahren zu untersagen. Dies soll insbesondere dann möglich sein, wenn die Schutzrechte der Betroffenen besonders gefährdet sind und trotz Bußgeld keine Besserung erfolgte. Die Gesetzesbegründung findet sich in 16/12011 Seite 44f und in 16/13657 Seite 38.

• § 42a - Informationspflicht bei drohendem Daten-Missbrauch
  
  Dieser Paragraph ist ganz neu und ersetzt den ehemals gestrichenen § 42. Ähnlich zum US-amerikansichen Recht muss ein Unternehmen unter ganz besonderen Umständen auf den Verlust (genauer gesagt: die unrechtmäßige Kenntniserlangung) von Daten hinweisen. Dies ist der Fall, wenn besonders sensible Daten betroffen sind (die Kriterien finden sich im § 42a) und die Betroffenen schwerwiegend beeinträchtigt werden könnten. In diesem Fall muss die Aufsichtsbehörde sofort informiert werden. Sofern es kein Sicherheitsproblem darstellt, müssen auch die Betroffenen sofort informiert werden; die Information muss das Problem in klaren Worten beschreiben und möglichst Hinweise geben, wie der Schaden minimiert werden kann. Können die Betroffenen nicht individuell informiert werden (z.B. weil die postalischen Adressen unbekannt sind), so muss ein mindestens halbseitiger Hinweis in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen.
  Im Falle des Datenverlustes durch Personengesellschaften (z.B. GbR, Ein-Mann-GmbH) könnte diese Informationspflicht eine (unzulässige) Selbstbezichtigung darstellen; daher darf die Information der Betroffenen nicht zu rechtlichen Nachteilen (Verfahren für Bußgeld, Haftstrafe etc.) führen. Die Gesetzesbegründung findet sich in 16/12011 Seite 34f, 45 und in 16/13657 Seite 38. Es droht ein Bußgeld gemäß § 43 Abs. 2 Nr. 7.
  Der Datenschutzbeauftragte muss die in Frage kommenden Verfahren identifizieren und auf einen besonderen Schutz hinwirken. Geschäftsführung und Mitarbeiter müssen in Hinblick auf diese Verfahren auf den besonderen Schutzbedarf und die notwendige Informationspflicht hingewiesen werden.

• § 43 Absatz 1 - Bußgeldvorschriften (bis 50.000 €)
  
  Die Gesetzesbegründung findet sich in 16/12011 Seite 35f und in 16/13657 Seite 38f.
  - Nr. 2a (Fehlende Möglichkeit für Stichproben bei automatisierten Abrufverfahren)
  - Nr. 2b (unzureichende Dokumentation (s.o.) und Kontrolle (s.o.) von Auftragsdatenverarbeitung)
  - Nr. 3a (Hürde für Werbungs-Widerspruch ist höher als für Einwilligung, s.o.)

• § 43 Absatz 2 - Bußgeldvorschriften (bis 300.000 €)
  
  Siehe § 43 Absatz 2. Die Gesetzesbegründung findet sich in 16/12011 Seite 35f.
  - Nr. 5a (Vertragsabschluss wird von Einwilligung in Werbung abhängig gemacht, s.o.)
  - Nr. 5b (Widerspruch gegen Werbung oder Markt- und Meinungsforschung wird ignoriert)
  - Nr. 6 (Widerrechtliches Zusammenführen von Merkmalen und Einzelangaben, s.o.)
  - Nr. 7 (Keine Information an Betroffene beim drohenden Datenmissbrauch, s.o. )

• § 43 Absatz 3 - Bußgeldvorschriften
  
  Die Höchstbeträge der Bußgelder wurden erhöht: für Absatz 1 von 25.000 € auf 50.000 €, für Absatz 2 von 250.000 € auf 300.000 €. Gänzlich neu ist die Bestimmung, dass das Bußgeld den wirtschaftlichen Vorteil des Täters übersteigen SOLL; im Zuge dessen können die obigen Höchstgrenzen überschritten werden.
  Der Datenschutzbeauftragte sollte die Geschäftsführung darauf aufmerksam machen, dass die neue obligatorische Gewinnabschöpfung die bisherige Bußgeld-Praxis der Aufsichtsbehörden beenden könnte. Die Zeiten der meist "symbolischen" Bußgelder von maximal 1.000 € wären dann vorbei.

Änderungen ab dem 01. April 2010

Diese Änderungen kommen größtenteils durch die Novelle I ("Scoring und Auskunfteien") zustande:

• § 6 Abs. 3 - Keine Nachteile durch Wahrnehmung von Rechten
  
  Dieser neue Absatz bestimmt, dass Personen, die ihre datenschutzrechtlichen Rechte wahrnehmen (z.B. Auskunftsersuchen) nicht benachteiligt werden dürfen. Die Angabe zur Bonität einer Person darf sich also nicht verschlechtern, nur weil die Person öfters eine Selbstauskunft anfordert. Die personenbezogenen Daten, die während der Ausübung der Rechte anfallen, dürfen also nur für diesen jeweiligen Zweck benutzt werden. (Dieser neue Absatz ist sprachlich so unklar, dass sich der Sinn ohne dieses Wissen auch nach mehrfachem Lesen nicht erschließt.) Die Gesetzesbegründung findet sich in 16/10529 Seite 13.

• § 6a Abs. 1 - Definition einer automatisierten Einzelentscheidung
  
  Wie bisher gilt auch jetzt: Entscheidungen, die aufgrund der individuellen personenbezogenen Daten automatisiert getroffen werden und zum Nachteil des Betroffenen ausfallen, sind unzulässig. Offenbar haben zahlreiche Unternehmen pro Forma einen Beschäftigten in den Entscheidungsprozess mit einbezogen, ohne dass dieser die Entscheidung als solche beeinflussen konnte. Daher bestimmt der Gesetzgeber nun explizit, dass eine natürliche Person die Daten interpretieren muss und die Entscheidung treffen soll. Die Gesetzesbegründung findet sich in 16/10529 Seite 13.

• § 6a Abs. 2 - Zulässigkeit einer automatisierten Einzelentscheidung
  
  Automatisierte Einzelentscheidungen sind zukünftig zulässig, wenn die wesentlichen Gründe auf Verlangen mitgeteilt und erläutert werden. Die Gesetzesbegründung findet sich in 16/10529 Seite 13 und in 16/13219 Seite 18.

• § 28a - Datenübermittlungen an Auskunfteien müssen aktuell und korrekt sein
  
  Im Rahmen des modernen Kaufverhaltens ist der Konsument immer seltener ein Stammkunde. Dies gilt für den Einzelhandel genauso wie für Banken. Nur anhand von Auskunfteien kann der Verkäufer abschätzen, ob der potentielle Käufer zahlungskräftig ist. Daher sind korrekte Angaben über säumiges Zahlungsverhalten für beide Vertragspartner sehr wichtig. Der neue § 28a regelt detailliert, welche Arten von säumigem Zahlungsverhalten gespeichert werden dürfen (z.B. nur unbestrittene Vorgänge). Darüber hinaus muss die meldende Stelle dafür sorgen, dass die Meldungen stets aktuell sind. Die Gesetzesbegründung findet sich in 16/10529 Seite 13f und in 16/13219 Seite 18f. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 4a.
  Sofern das Unternehmen Zahlungsausfälle an Auskunfteien meldet, müssen diese Forderungen unbestritten sein und müssen stets auf dem aktuellen Stand gehalten werden.

• § 28b - Scoringwerte müssen korrekt sein und dürfen nicht nur auf Geodaten basieren
  
  Analog zum obigen § 28a regelt dieser neue Paragraf ebenfalls Fragen der Zahlungsfähigkeit. Der Scoringwert ist ein weit verbreiteter „Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten“, womit wohl insbesondere die Zahlungsfähigkeit gemeint ist. Dieser Scoringwert muss nachvollziehbar und transparent sein. Er darf sich nicht ausschließlich aus den Adressdaten herleiten. Die Gesetzesbegründung findet sich in 16/10529 Seite 15f und in 16/13219 Seite 19f.

• § 29 - Auskunftei muss Abruf von Daten stichprobenartig auf Rechtmäßigkeit überprüfen
  
  Offensichtlich werden Unternehmen wie Creditreform oder SCHUFA viel zu häufig befragt, um die Zahlungsfähigkeit von Kunden herauszufinden. Neuerdings muss ein Unternehmen für den Datenabruf ein "berechtigtes Interesse an der Kenntnis glaubhaft dargelegen". Die übermittelnde Stelle hat stichprobenartig zu überprüfen, ob das berechtigte Interesse im Einzelfall wirklich vorlag. Die Gesetzesbegründung findet sich in 16/10529 Seite 16 und in 16/13219 Seite 20.

• § 34 Abs. 1 - Auskunftspflicht ist strenger formuliert
  
  Die Pflicht der Auskunft an Betroffene wurde expliziter formuliert (damit ein neuer Bußgeldtatbestand erfüllt werden kann). Demnach hat der Betroffene nicht mehr nur das Recht auf Auskunft, sondern die verantwortliche Stelle hat die Pflicht zur Auskunfterteilung. Die Gesetzesbegründung findet sich in 16/10529 Seite 16. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 8a.
  
  
• § 34 Abs. 1a - Auskunftspflicht erfordert langfristige Dokumentation
  
  Die listenmäßige Übermittlung von Daten für Adresshandel und Werbung ("Listenprivileg" gemäß § 28 Absatz 3 Satz 4) ist auch weiterhin zulässig, sofern zwei Jahre lang dokumentiert wird, wo die Daten herkommen und an wen sie übermittelt wurden. Die Gesetzesbegründung (in 16/13657 Seite 37f) führt aus, dass die Daten nach zwei Jahren als veraltet gelten können. Es droht ein Bußgeld gemäß § 43 Abs. 2 Nr. 8a. Diese Bestimmung stammt aus der Novelle II.
  Sofern Daten mit Hilfe des Listenprivilegs übermittelt werden, muss der Datenschutzbeauftragte auf die geforderte Dokumentation hinwirken.

• § 34 Abs. 2 - Auskunft über Scoringwerte
  
  Dieser neue Absatz regelt alle algorithmischen Details zur Auskunft über Scoringwerte. Es finden sich auch ausführliche Regeln über die Auskunftspflichten. Die Gesetzesbegründung findet sich in 16/10529 Seite 13 (rechts, mitte) und Seite 17 und in 16/13219 Seite 20. Teilweise droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 8a und § 43 Abs. 1 Nr. 8b und § 43 Abs. 1 Nr. 8c.

• § 34 Abs. 3 Satz 2 - Auskunft über Daten mit indirektem Personenbezug
  
  Auskunfteien müssen auch Auskunft geben über Daten, die erst zukünftig einen Personenbezug herstellen. Dies gilt ebenfalls für Daten, die nicht explizit gespeichert werden, aber dennoch für Auskünfte genutzt werden (dies gilt z.B. in Fällen, wo die Auskunftei die Daten tagesaktuell bei anderen Stellen abruft). Die Gesetzesbegründung findet sich in 16/10529 Seite 18 und in 16/13219 Seite 20.

• § 34 Abs. 4 - Auskunft über Scoring-Auskünfte
  
  Dieser neue Absatz gibt den Betroffenen das Recht zu erfahren, welche Stellen innerhalb der letzten 12 Monate welche Scoringwerte erfahren haben. Die Gesetzesbegründung findet sich in 16/10529 Seite 18. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 8a.

• § 34 Abs. 5 - Auskunftsersuchen ist streng zweckgebunden
  
  Wünscht ein Betroffener eine Auskunft, so dürfen die Daten dieser Anfrage nicht für andere Zwecke genutzt werden. Die Gesetzesbegründung (siehe in 16/13657 Seite 37 unten und in 16/10529 Seite 18) führt aus, dass es sich hier um eine Folgeänderung aufgrund von § 34 Abs. 1a handelt.

• § 34 Abs. 6 - Auskunft in Textform statt Schriftform
  
  Für eine Auskunft reicht nun die Textform (§ 126b BGB) statt Schriftform (§ 126 BGB) aus, wodurch keine echte handschriftliche Unterschrift mehr notwendig ist. Die Gesetzesbegründung findet sich in 16/10529 Seite 18.

• § 34 Abs. 8 - Auskunft ist wirklich kostenfrei
  
  Viele Auskunfteien verlangen eine Bezahlung für eine Auskunft über die eigenen Daten, obwohl schon das alte BDSG die Kostenfreiheit forderte. Die rechtliche Nische des persönlichen Erscheinens ist geschlossen. Die Gesetzesbegründung findet sich in 16/10529 Seite 18.

• § 35 Abs. 1 Satz 2 - Auskunftei muss geschätzte Daten als solche kennzeichnen
  
  Die Auskünfte einer Auskunftei (z.B. Creditreform) beinhalten viele Schätzwerte. Jeder, der einmal eine Selbstauskunft eingeholt hat, kann das bestätigen. Eine Unterscheidung zwischen FAKTEN und SCHÄTZUNGEN ist an sich selbstverständlich, wurde aber von den Auskunfteien oftmals nicht vorgenommen. Dies ist nun gesetzlich geboten. Die Gesetzesbegründung findet sich in 16/10529 Seite 18.

• § 35 Abs. 2 Satz 3 - Löschung von Daten bei Auskunfteien ist einforderbar
  
  Die Löschfristen wurden verkürzt. Darüber hinaus kann der Betroffene eine Löschung von veralteten Daten bewirken. Die Gesetzesbegründung findet sich in 16/10529 Seite 18.

• § 35 Abs. 4a - Gesperrte (z.B. bestrittene) Forderungen dürfen bei Auskünften nicht erwähnt werden
  
  Wird eine Forderung durch die betroffene Person bestritten, so darf die Auskunftei dies im Rahmen einer Auskunft in keiner Form erwähnen. Dadurch wird der Betroffene geschützt, weil ansonsten der Eindruck entstehen könnte, er sei ein "schwieriger Kunde". Die Gesetzesbegründung findet sich in 16/10529 Seite 19.

• § 43 Absatz 1 - Bußgeldvorschriften (bis 50.000 €)
  - Nr. 4a (Meldungen an die Auskunftei wird nicht innerhalb von einem Monat aktualisiert, s.o.)
  - Nr. 8a (Verstoß gegen Auskunftspflicht mit sehr komplexen Bedingungen)
  - Nr. 8b (Verweigerung von Scoringinformation an empfangendes Unternehmen, s.o.)
  - Nr. 8c (Kein Verweis auf die Stelle, die den ursprünglichen Scoringwert bildete, s.o.)

Änderungen ab dem 11. Juni 2010

Diese Änderungen kommen ausschließlich durch die Novelle III ("Verbraucherkredit") zustande:

• § 29 Abs. 6 - Auskunfteien müssen europäische Anfragen bearbeiten
  
  Auskunfteien müssen Anfragen aus Ländern des europäischen Wirtschaftsraumes genauso behandeln wie inländische Auskunftsverlangen. Somit dürfen europäische Kauf- und Finanzierungsinteressenten nicht benachteiligt werden. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 7a.
  
  
• § 29 Abs. 7 - Unterrichtung des Verbrauchers über negative europäische Auskünfte
  
  Wird ein Verbraucherdarlehnsvertrag ("Kredit") aufgrund einer Auskunft gemäß § 29 Abs. 6 abgelehnt, so muss der Verbraucher hierüber sofort informiert werden. Es droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 7b.
  
  
• § 43 Abs. 1 - Bußgeldvorschriften
  
  - Nr. 7a (Verweigerung von europäischen Anfragen)
  - Nr. 7b (Verweigerung der vorgeschriebenen Unterrichtung)

Änderungen ab dem 01. September 2010

• § 47 - Übergangsregelung (für Markt- und Meinungsforschung)
  
  Für die Markt- und Meinungsforschung gilt: auch die bis zum 01.09.2009 erhobenen oder gespeicherten Daten müssen nun nach den neuen Bestimmung gemäß § 28 (speziell § 28 Abs. 2 und § 28 Abs. 3) behandelt werden. Die Gesetzesbegründung findet sich in 16/13657 Seite 39f.

Änderungen ab dem 01. September 2012

• § 47 - Übergangsregelung (für Werbung)
  
  Für Werbezwecke gilt: Auch die bis zum 01.09.2009 erhobenen oder gespeicherten Daten müssen nun nach den neuen Bestimmung gemäß § 28 (speziell § 28 Abs. 2 und § 28 Abs. 3) behandelt werden. Die Gesetzesbegründung findet sich in 16/13657 Seite 39f.

Bericht zum 01.01.2013

• § 48 - Bericht der Bundesregierung (zu §30 und § 42a)
  
  Die Bundesregierung muss dem Bundestag bis zu diesem Termin einen Bericht zur Verfügung gestellt haben, der die Auswirkungen von §30 und § 42a beschreibt und ggf. gesetzgeberische Maßnahmen empfiehlt. Die Gesetzesbegründung findet sich in 16/13657 Seite 39f.

Bericht zum 01.01.2015

• § 48 - Bericht der Bundesregierung (zu §28 und § 29)
  
  Die Bundesregierung muss dem Bundestag bis zu diesem Termin einen Bericht zur Verfügung gestellt haben, der die Auswirkungen von § 28 und § 29 beschreibt und ggf. gesetzgeberische Maßnahmen empfiehlt. Die Gesetzesbegründung findet sich in 16/13657 Seite 39f.

Quellen und Links

[1] Novelle II im Bundesgesetzblatt
http://www.bgbl.de/Xaver/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl109s2814.pdf%27]

[2] BDSG Novelle III
http://rsw.beck.de/rsw/upload/Beck_Aktuell/BT-Drs.1611643.pdf (Seite 62)
https://www.umwelt-online.de/PDFBR/2009/0639_2D09.pdf

[3] Novelle III im Bundesgesetzblatt auf Seite 2384
http://www.bgbl.de/Xaver/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl109s2355.pdf%27]

[4] Auflistung der inhaltlichen Neuerungen
http://www.demal-gmbh.de/datenschutz/info/Aenderungen-des-BDSG.pdf

[5] Neuer Text des Bundesdatenschutzgesetzes mit Anmerkungen
http://www.demal-gmbh.de/datenschutz/info/gesetze/bdsgNF.htm

[6] entfallen

[7] BLOG zu den Novellierungen vom Bundesdatenschutzbeauftragten (sehr lesenswert)
http://www.bfdi.bund.de/bfdi_forum/showthread.php?t=79

[8] Zusammenfassung des neuen Gesetzestextes von der GDD
https://www.gdd.de/nachrichten/news/bdsg-novelle-ii-verabschiedet

[9] Historie der Novelle I
http://rsw.beck.de/rsw/shop/default.asp?docid=269214

[10] Historie der Novelle II
http://rsw.beck.de/rsw/shop/default.asp?docid=269356

[11] Historie der Novelle III
http://rsw.beck.de/rsw/shop/default.asp?docid=267888

[12] Das Gesetz zum Verbraucherkredit betrifft zahlreiche andere Gesetze
Betroffen ist das BGB (samt Einführungsgesetz), das Unterlassungsklagegesetz, die Schlichtungsstellenverfahrensverordnung, das Bundesdatenschutzgesetz, die Preisangabenverordnung, das Kreditwesengesetz, das Fernunterrichtsschutzgesetz, das Reichssiedlungsgesetz, die Zivilprozessordnung, die Verordnung zur Einführung von Vordrucken für das Mahnverfahren, die Verordnung zur Einführung von Vordrucken für das arbeitsgerichtliche Mahnverfahren, das Gesetz gegen den unlauteren Wettbewerb, die Insolvenzordnung, das Preisklauselgesetz, die Wertpapierdienstleistungs- Verhaltens- und Organisationsverordnung, das Investmentgesetz, die BGB-Informationspflichten-Verordnung und das Versicherungsvertragsgesetz.

[13] Bekanntmachung der Novelle I im Bundesgesetzblatt
http://www.gesetzesportal.de/jportal/docs/news_anlage/gportal/bilder/bgbl1/bgbl109s2254.pdf

Links

Ab dem 09.11.2009 werden die Änderungen an diesem hier vorliegenden Text dokumentiert:

• Der § 34 Abs. 1a ist erst ab dem 01.04.2009 gültig.