betriebliche Datenschutzbeauftragte greift in der Praxis zu kurz, da die meisten Beauftragten nicht in Vollzeit als Datenschutzbeauftragte bestellt

Transkript

1 Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig- Holstein zum Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes (Stand ): 1. Ergänzungsbedarf Der vorliegende Gesetzesentwurf ist an vielen Stellen sehr zu begrüßen. Insbesondere die Streichung des sog. Listenprivilegs sowie die Vorgabe, dass der Betroffene eine Einwilligung bewusst erteilen muss, und die Informationspflicht bei Datenschutzverstößen sind dabei hervorzuheben. In anderer Hinsicht vermag der Entwurf allerdings nicht zu überzeugen. Wichtige Vorschläge zur Effektivierung der Datenschutzaufsicht, zur Stärkung des betrieblichen Datenschutzes und zur Herkunftsdokumentation bzw. zur Herkunftskennzeichnung sowie zur Erweiterung des Bußgeldkataloges wurden nicht übernommen. Insgesamt besteht für die im folgenden aufgeführten Punkte dringender Verbesserungs- bzw. Ergänzungsbedarf: a.) Stärkung der Eingriffsbefugnisse Als zentrales Anliegen der länderoffenen Arbeitsgruppe zur Novellierung des Bundesdatenschutzgesetzes wird im Ergebnisbericht (Bericht der länderoffenen Arbeitsgruppe zur Novellierung des Bundesdatenschutzgesetzes Stand ) festgehalten, dass für die Aufsichtsbehörden in Anlehnung an 38 Absatz 5 die Möglichkeit eröffnet wird, Anordnungen auch in Bezug auf materiell rechtswidrige Datenverarbeitungen treffen zu können. Die Möglichkeit einer solchen Anordnung nennt auch Art. 28 Abs. 3, 2. Spiegelstrich der EG-Datenschutzrichtlinie als ein Beispiel wirksamer Eingriffsbefugnisse, über welche die Kontrollstellen verfügen sollen. Der Entwurf lässt die Forderung nach dieser Stärkung der Eingriffsbefugnisse ohne ersichtlichen Grund unberücksichtigt. Es ist inkonsequent, wenn die wie bisher die Anordnung nur im Falle von Datensicherheitsmängeln getroffen werden kann. Die Regelung soll u.a. präventiv verhindern helfen, dass Daten z.b. durch Sicherheitslecks in unbefugte Hände geraten. Die Beeinträchtigung von Persönlichkeitsrechten ist mindestens gleichermaßen gegeben, wenn die Daten durch grundsätzlich befugte Hände unzulässig verarbeitet werden, d.h. z.b. nicht unfreiwillig, sondern vorsätzlich in fremde Hände gegeben werden. Aus diesem Grund ist nicht einzusehen, warum nur im ersteren Fall die Möglichkeit besteht, bereits präventiv durch die Anordnung einer bestimmten Maßnahme auf eine sichere Datenverarbeitung hinzuwirken. Auch für den Fall einer offensichtlich unzulässigen Datenverarbeitung muss die Möglichkeit der Untersagung bestehen. Eine solche kann Verletzungen von Persönlichkeitsrechten verhindern, die andernfalls ggf. bis zum Abschluss eines Bußgeldverfahrens fortgesetzt würden. Dies steht auch nicht im Gegensatz zum präventiv angelegten Leitbild des Bundesdatenschutzgesetzes, weil eben auch im Vorfeld einer geplanten Datenverarbeitung eine Untersagung aus materiellrechtlichen Gründen zulässig sein soll, um eine Verletzung von Persönlichkeitsrechten von vornherein zu verhindern. b.) Stärkung des betrieblichen Datenschutzes Auch die von der länderoffenen Arbeitsgruppe vorgeschlagene Stärkung des betrieblichen Datenschutzbeauftragten durch eine Regelung zum Kündigungsschutz wurde im vorgelegten Entwurf nicht aufgegriffen. Die getroffene Regelung zur Teilnahme an Fortund Weiterbildungsveranstaltungen sowie zur Kostenübernahme ist sinnvoll, trifft aber nicht den Kern der erforderlichen Stärkung der Position des Datenschutzbeauftragten und ist daher nicht ausreichend. Der derzeit im BDSG geregelte Benachteiligungsschutz für

2 betriebliche Datenschutzbeauftragte greift in der Praxis zu kurz, da die meisten Beauftragten nicht in Vollzeit als Datenschutzbeauftragte bestellt werden. Diese Funktion wird oft nur als Teilbereich neben anderen Tätigkeiten im Unternehmen übernommen. Folglich ist dem Beauftragten nichts geholfen, wenn er ggf. für 30 Prozent seiner Tätigkeit, nämlich für die Funktion des Datenschutzbeauftragten, einen Benachteiligungsschutz genießt, für den restlichen Tätigkeitsbereich allerdings unproblematisch kündbar ist. In der arbeitsgerichtlichen Rechtsprechung wurde teilweise entschieden, dass der Benachteiligungsschutz einer Kündigung des Arbeitnehmers, der auch betrieblicher Datenschutzbeauftragter ist, nicht entgegensteht, soweit die Kündigung aus anderen als amtsbezogenen Gründen erfolgt. Zum Teil wurde dabei als Begründung ausdrücklich darauf Bezug genommen, dass der betriebliche Datenschutzbeauftragte im Unterschied zu anderen Funktionsträgern gerade keinen umfassenden Kündigungsschutz genießt. Der Beauftragte für den Datenschutz kann mitunter in die Situation geraten, eine bei der Unternehmensleitung nicht populäre Position vertreten zu müssen. Die Bereitschaft, diese Aufgabe auch wahrzunehmen, wird wesentlich erhöht, wenn die inhaltliche Weisungsfreiheit nicht nur gesetzlich zugesichert ist, sondern auch durch eine verstärkte Unabhängigkeit bezüglich des Bestehens seines Arbeitsverhältnisses abgesichert wird. c.) Dokumentation der Herkunft von Daten zur Beauskunftung an den Betroffenen Eine Änderung der Formulierung in 34 BDSG, die zu einer Dokumentation über die Herkunft der Daten verpflichtet bzw. eine andere Regelung, die die Herkunftskennzeichnung von Daten verlangt und damit die Transparenz für die Betroffenen wesentlich erhöhen würde, ist nicht aufgegriffen worden. Dies erstaunt insbesondere vor dem Hintergrund des Kontodatenskandals, der als (Mit-) Auslöser für das Tätigwerden des Gesetzgebers identifiziert werden kann. Zwar wird in der Begründung des Entwurfs auf Seite 9 im 1. Absatz darauf verwiesen, dass eine Kennzeichnungspflicht angesichts der Neuregelung in 28 Absatz 3 nicht erforderlich ist, da die Zulässigkeit der Datenverarbeitung auf der Einwilligung des Betroffenen beruhe und diese von der verantwortlichen Stelle gegenüber den Vertragspartner daher nachzuweisen sei. Dies mag für den Fall gelten, dass die Daten rechtmäßig verarbeitet wurden. Der Entwurf verkennt allerdings die Gefährdungssituation des Betroffenen im Falle eines Missbrauches, die sich im Falle des Kontodatenskandals offenbart hat. Die Kontodaten der Betroffenen hätten bereits nach bestehender Rechtslage nur mit Einwilligung übermittelt werden dürfen. Unter Missachtung dieser Vorgaben sind millionenfach Kontodaten in den Datenhandel gelangt. Die Möglichkeiten der Betroffenen angesichts solcher Vorgänge ihre Löschungsrechte, speziell die Löschung Ihrer Bankverbindungsdaten, effektiv durchsetzen zu können, sind verschwindend gering. Die Quellen der Daten können gar nicht oder nur schwierig ermittelt werden. Die Recherche kostet wertvolle Zeit, in welcher die Daten möglicherweise immer weiter verbreitet werden. Die Betroffenen sind praktisch schutzlos gestellt, wenn sie den Umlauf ihrer Daten stoppen und diese gründlich aus dem Zugriffsbereich aller unbefugten Stellen entfernen wollen. Zwar kann den Betroffenen derzeit Auskunft erteilt werden, ob sie mit ihren Daten in den im Zuge des Skandals aufgetauchten illegalen Datensätzen vertreten sind. Woher diese Daten stammen und wem gegenüber die Löschung zu verlangen bzw. ggf. gerichtlich durchzusetzen ist, kann nicht mitgeteilt werden, so dass die Betroffenen mit ihrem Rechtsschutzbedürfnis auf der Strecke bleiben. Allein über die Dokumentation einer Herkunftskette kann für den Betroffenen sichergestellt werden, dass einmal ggf. missbräuchlich in Umlauf geratende Daten auch wieder weitestgehend vernichtet werden können. Diese Dokumentation und Information stellt ein wichtiges Hilfsmittel dar, welches

3 den Betroffenen ein Mindestmaß an Kontrollmöglichkeit an die Hand gibt. Darüber hinaus vereinfacht die Dokumentationspflicht die Kontrolle durch die Aufsichtsbehörde, die im Falle des Missbrauchs die beteiligten Stellen zur Verantwortung ziehen kann. Die Aufnahme einer Kennzeichnungspflicht von Daten korrespondiert mit anderen Vorschlägen zur technischen Unterstützung von Kontrollmechanismen, z.b über sog. sticky policies zur Sicherung der Zweckbindung. Die Arbeitsgruppe hatte zudem sinnvolle Ergänzungen bzw. Konkretisierungen der Informationspflicht nach 4 Absatz 3 BDSG vorgeschlagen, die bereits bei der Erhebung der Daten für die notwendige Transparenz sorgen sollen, die allerdings allesamt unberücksichtigt geblieben sind. d.) Erweiterung des Bußgeldkatalogs Keine der von der Ländergruppe vorgeschlagenen Erweiterungen des Bußgeldkatalogs wurden vom Änderungsentwurf berücksichtigt. Wir verweisen insoweit auf den Ergebnisbericht der Arbeitsgruppe und greifen exemplarisch z.b. die Sanktionierung einer fehlenden Unterrichtung nach 4 Absatz 3 BDSG bzw. die Sanktionierung eines fehlenden Verfahrensverzeichnisses heraus. Der Transparenzgedanke ist einer der wesentlichen Grundsätze des Bundesdatenschutzgesetzes. Der Einzelne soll in die Lage versetzt werden, zu erkennen, welche Datenverarbeitungsvorgänge ihn z.b. bei der Eingehung eines bestimmten Vertragsverhältnisses erwarten, um dann selbstbestimmt entscheiden zu können, ob er dies möchte oder nicht. Die bisherigen Bußgeldtatbestände des 43 Absatz 1 BDSG erfassen zwar den Fall der fehlenden Benachrichtigung bei Datenerhebungen ohne Mitwirkung des Betroffenen. Eine unvollständige bzw. nicht erfolgende Unterrichtung im Falle der Erhebung beim Betroffenen selbst wird hingegen nicht sanktioniert. Hier besteht ein nicht erklärbarer Widerspruch. Auch die Datenverarbeitung durch den Vertragspartner selbst stellt angesichts der komplexen Datenverarbeitungssysteme immer häufiger eine unüberschaubare Black-Box für die Betroffenen dar. Wenn Daten dann übermittelt werden, kann sich die empfangende Stelle darauf zurückziehen, dass der Betroffene bereits Kenntnis von der Datenübermittlung durch die Unterrichtung bei der Erhebung erhalten hat. In diesem Fall wäre die speichernde Stelle von der Verpflichtung zur Benachrichtigung befreit. Ist die Unterrichtung jedoch nicht oder nur unvollständig erfolgt, bekommt der Betroffene faktisch überhaupt nicht mit, dass seine Daten weiterverbreitet werden. Die Nichterteilung der Auskunft gegenüber dem Betroffenen wurde von dem aktuellen Gesetzesentwurf zur Änderung des BDSG (Auskunftei, Scoring) bereits aufgegriffen und muss entweder im Zuge jener oder dieser Änderung des BDSG unbedingt umgesetzt werden. e.) Sonstige Ergänzungen Auf die sonstigen Änderungs- und Ergänzungsvorschläge des Ergebnisberichts der länderoffenen Arbeitsgruppe sowie der Stellungnahme des ULD vom 24. September 2008 ( die hier im vorgelegten Entwurf keine Berücksichtigung gefunden haben, wird Bezug genommen. Besonders hervorzuheben ist, dass der vorgelegte Entwurf weder die Forderung nach einer technikoffeneren Neuformulierung des 9 BDSG nebst Anlage, insbesondere auch eine Pflicht zur Protokollierung von Zugriffen, noch ein Antragsrecht der Datenschutzbehörden nach StGB, noch die ausdrückliche Aufnahme der Ersatzmöglichkeit eines immateriellen Schadens in 7 BDSG aufgegriffen hat. Zudem werden die im Ergebnisbericht der länderoffenen

4 Arbeitsgruppe gemachten Änderungsvorschläge zu 11 BDSG, deren Notwendigkeit sich im Zusammenhang mit dem Kontodatenskandal manifestiert haben, nicht berücksichtigt. 2. Änderungs- bzw. Ergänzungsbedarf zu den einzelnen Vorschriften Zu den getroffenen Regelungen besteht nach Ansicht des ULD in den aufgeführten Punkten dringender Änderungsbedarf: 4f Absatz 3 Satz 5 BDSG Für die Verpflichtung zur Kostenübernahme ist unklar, wie ein solcher Anspruch durchzusetzen ist: Handelt es sich hier um einen Anspruch aus dem Arbeitsvertrag, den der Beauftragte vor dem Arbeitsgericht geltend machen muss, oder ist hier der ordentliche Rechtsweg zu beschreiten? Die Begründung des Entwurfs enthält hierzu keinerlei Anhaltspunkte. 28 Absatz 3 Nr. 1 In der in 28 Absatz 3 Nr. 1 geregelten Ausnahme, bei welcher die gesetzlich Annahme überwiegender schutzwürdiger Interessen nicht greifen soll, wird auf die Verarbeitung und Nutzung ausschließlich für Zwecke der Werbung für eigene Angebote bzw. der eigenen Markt- und Meinungsforschung Bezug genommen. Es ist nicht ersichtlich, warum der Entwurf für die in der Verarbeitung enthaltene Übermittlung eine Ausnahme vom Einwilligungserfordernis macht. Wie im Allgemeinen Teil der Entwurfsbegründung insbesondere unter Punkt 1. Ziel und Inhalt des Entwurfs hervorgehoben wird, hat die praktische Anwendung des bisher geregelten sog. Listenprivilegs dazu geführt, dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Weiter heißt es dort: Personenbezogene Daten werden ohne Beachtung der Zweckbindung verarbeitet und mit weiteren Daten verknüpft und weiter übermittelt. Gerade die ohne vorherige Mitwirkung des Betroffenen erfolgenden Übermittlungen und die dadurch entstehende Gefahr der unüberschaubaren und unkontrollierbaren Weiterverbreitung von Daten zu Werbezwecken soll durch den Entwurf eingedämmt werden. Für die Weitergabe von Daten an einen externen Dienstleister zur Bewerbung mit eigenen Produkten bzw. für ein Outsourcing von eigenen Werbemaßnahmen sieht das Bundesdatenschutzgesetz die Möglichkeit der Auftragsdatenverarbeitung vor. In diesem Fall müssen die Vorgaben des 11 BDSG, insbesondere die Verarbeitung streng nach Weisung des Auftraggebers, beachtet werden, die dabei helfen, die Persönlichkeitsrechte der Betroffenen abzusichern. Eine Auftragsdatenverarbeitung nach 11 BDSG verbietet eine Verarbeitung von Daten zu eigenen Zwecken durch den Dienstleister. Eben diese Möglichkeit wird durch die Hintertür des 28 Absatz 3 Nr. 1 aber wieder eingeführt. Hiefür besteht kein Erfordernis. Möchte das Unternehmen die Bewerbung von Bestandskunden auslagern, muss dies eben im Rahmen des 11 BDSG erfolgen. Alles Weitere muss von der Einwilligung des Betroffenen abhängig gemacht werden. Zwar sieht 28 Absatz 5 BDSG eine Zweckbindung der an einen Dritten übermittelten Daten insofern vor, dass diese nur zu dem Zweck verarbeitet werden dürfen, zu dem sie übermittelt wurden. Übertragen auf den Fall einer Übermittlung zum Zwecke der Bewerbung mit eigenen Angeboten würde dies bedeuten, dass die empfangende Stelle die erhaltenden Daten nur zum Zwecke der Bewerbung mit Angeboten der übermittelnden Stelle verarbeiten darf. Die Zweckbindung des 28 Absatz 5 erfährt allerdings dort ihre Grenze, wo 28 Absatz 5 Satz 2 BDSG wiederum eine Verarbeitung auch zu anderen Zwecken zulässt, soweit sie durch 28 Absatz 2 oder 3 erlaubt ist. In diesem Fall könnte die empfangende Stelle unter den Voraussetzungen des 28 Absatz 2 Nr. 1 i.v.m. 28 Absatz 1 Nr. 2 BDSG wiederum auch andere Datenverarbeitungen

5 insbesondere auch Übermittlungen vornehmen. Dies wirkt im Hinblick auf die durch die Einwilligungsvorgabe in 28 Absatz 3 Nr. 2 gewonnene Selbstbestimmung bzw. Kontrollmöglichkeit des Betroffenen gegenläufig. Darüber hinaus sollte klargestellt werden, dass der neugefasste 28 Absatz 3 sich auf den 28 Absatz 2 Nr. 1 und die darin enthaltene Verweisung zu 28 Absatz 1 Nr. 2 bzw. Nr. 3 bezieht. Nur so ist sichergestellt, dass für den Fall des 28 Absatz 3 Nr. 1 eine Abwägung mit den schutzwürdigen Interessen wie in 28 Absatz 1 Nr. 2 BDSG vorgesehen nicht unterbleibt, auch wenn ein Überwiegen der schutzwürdigen Interessen in diesem Fall nicht per se angenommen werden kann. Warum der bisherige 28 Absatz 3 Satz 2, wie die Begründung zum Entwurf auf S Absatz kundtut, entbehrlich werden soll, ist unverständlich. Insofern kann die Regelung des 28 Absatz 3 Satz 2 BDSG insbesondere für die Ausnahme des 28 Absatz 3 Nr. 1 bzw. Nr. 3 BDSG-E Bedeutung erlangen. 28 Absatz 3b Der 28 Absatz 3b sollte gestrichen werden. Laut Gesetzesbegründung soll 28 Absatz 3b die Position des Betroffenen stärken, verkürzt aber in seiner Ausnahmeregelung zum Koppelungsverbot letztlich den Schutz des Betroffenen aus 4a BDSG. Die Gesetzesbegründung begründet die Beschränkung des in 28 Absatz 3b neugeregelten Koppelungsverbot mit den Vorgaben der Vertragsgestaltungsfreiheit, obwohl der Fall der Einwilligung gerade kein Fall des Vertrages und somit auch kein Anwendungsfall für den Grundsatz der Privatautonomie ist. Gem. 4 Absatz 1 BDSG ist die Datenverarbeitung personenbezogener Daten nur dann erlaubt, wenn der Betroffene entweder einwilligt, oder wenn u.a. das BDSG z.b. in 28 (z.b. Vertragsverhältnis nach 28 Absatz 1 Nr. 1 BDSG) einen Rechtfertigungstatbestand für die Datenverarbeitung vorsieht. Es wird deutlich, dass der Gesetzgeber zum einen die Einwilligung als einen vom Vertragsverhältnis vollkommen unabhängigen eigenständigen Rechtfertigungstatbestand angesehen hat. Zum anderen hat der Gesetzgeber bereits mit 4 Absatz 1 BDSG und 28 Absatz 1 Nr. 1 verhindert, dass die im Rahmen eines Vertragsverhältnisses als Nebenprodukt stattfindenden Datenverwendungen auch automatisch Bestandteil des Vertragsgegenstands sind. Sie unterliegen folglich im Falle eines Vertragsverhältnisses auch nicht automatisch den Grundsätzen der Vertragsgestaltungsfreiheit. In Absatz 1 Nr. 1 des 28 BDSG ist geregelt, dass der Vertrag eine Rechtsgrundlage für Datenverarbeitungen darstellen kann, soweit die Datenverarbeitung für die Abwicklung des Vertrages erforderlich ist. Hier wird deutlich, dass die im Zusammenhang mit dem Vertragsverhältnis anfallende Datenverarbeitung auch den Grundsätzen der Privatautonomie entzogen ist, es sei denn, es ist gerade Vertragsgegenstand, dass personenbezogene Daten als Ware gegen eine Gegenleistung ausgetauscht werden. Demnach ist 28 Absatz 3b BDSG entweder zu streichen, oder die Beschränkung des Koppelungsverbotes mit Verweis auf die Privatautonomie ist herauszunehmen.