Änderungen im Datenschutz

Transkript

1 Prof. Dr. Rolf Lauser Dr.-Gerhard-Hanke-Weg Dachau Tel.: 08131/ Fax: 08131/ Von der Industrie- und Handelskammer für München und Oberbayern öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie Datenschutz und Datensicherheit Dachau, Änderungen im Datenschutz 1. Änderungen am Bundesdatenschutzgesetz vom und 2. Gesetz zur Bekämpfung unerlaubter Telefonwerbung.vom Sehr geehrte Damen und Herren, bezugnehmend auf mein Schreiben vom , in dem ich Sie über zu erwartende Änderungen am 28 BDSG, besonders im Hinblick auf das so genannte Listenprivileg informierte, möchte ich Ihnen im Folgenden die nun tatsächlich erfolgten Änderungen im Datenschutz darlegen. Dabei werden nicht nur die Änderungen im BDSG thematisiert sondern darüber hinaus auch die aktuellen Änderungen im Themenbereich Telephon-Werbung angesprochen. Zunächst kann ich Ihnen mitteilen, dass die im Dezember 2008 geplanten Verschärfungen im bereich der Nutzung personenbezogener Daten für Zwecke der Werbung / des Marketing nicht soweit gehen, wie von mir im Frühjahr vermutet. Die Marketing- und Customer- Relationship-Abteilungen dürfte dies freuen. Trotzdem ist nun, nachdem die Änderung des 28 BDSG beschlossen ist, eine erhebliche Vorsicht bei der Verwendung von Adressdaten für Werbe- und Marketing-Zwecke geboten. Zusätzlich zur Änderung des 28 BDSG und dies dürfte die Situation, speziell im Telephon- Marketing und im Telephon-Vertrieb, erschweren, wurde quasi parallel zur Bundesdaten-

2 Prof. Dr. Rolf Lauser Seite 2 schutzgesetz-novelle ein Artikel-Gesetz zur Bekämpfung unerlaubter Telefonwerbung und zur Verbesserung des Verbraucherschutzes bei besonderen Vertriebsformen erlassen. In diesem Gesetz sind aus der Sichtweise des Datenschutzbeauftragten besonders die Artikel: 2 (Änderungen des Gesetzes gegen den unlauteren Wettbewerb) und 3 (Änderungen des Telekommunikationsgesetzes) bedeutend. Gemeinsam mit den Änderungen der 3 a, 11 und 28 sowie einigen neu hinzugekommenen Paragraphen im BDSG 1 ) haben die Änderungen am UWG und am TKG erhebliche Auswirkungen auf die Erhebung, Verarbeitung, Nutzung und Übermittlung personenbezogener Daten. Dies gilt gleichermaßen im für die Unternehmen im Allgemeinen, besonders aber in den Bereichen: Marketing, Öffentlichkeitsarbeit und Vertrieb, vor allem dann, wenn der Vertrieb oder das Marketing Telephon-basierend erfolgt. 1. Änderungen im UWG Bezüglich des 7 Abs.2 Punkt 2 UWG galt bis Ende Juli 2009 Telephonwerbung lediglich dann als unzumutbare Belästigung von anderen Marktteilnehmern oder Verbrauchern, wenn Telefonanrufe (Plural) ohne Einwilligung des Angerufenen durchgeführt wurden. Ab sofort reicht bereits ein Telefonanruf ohne schriftliche Einwilligung (beim Verbraucher) oder ohne mutmaßliche Einwilligkeit des angerufenen Marktteilnehmers. Eine mutmaßliche Einwilligung kann dabei dann als gegeben angesehen werden, wenn das anrufende Unternehmen mit dem Marktteilnehmer in einer andauernden Geschäftsbeziehung steht. Das heißt, seit dem reicht bereits ein uneingewilligter Telefonanruf. Daraus folgt, bereits der erste Werbe-Anruf ist als unzumutbare Belästigung und damit als unlauter anzusehen, wenn keine Einwilligung des Verbrauchers oder keine mutmaßliche Einwilligung eines Marktteilnehmers vorliegt. 1 ) Hier werden nur die des Bundesdatenschutzgesetzes angesprochen, die für Unternehmen relevant sind, die personenbezogene Daten für eigene Geschäftszwecke erheben, verarbeiten, nutzen und eventuell an Dritte übermitteln.

3 Prof. Dr. Rolf Lauser Seite 3 Bitte beachten Sie, dass diese Regelung analog auch für -basierende Werbeaktivitäten wie Newsletterversand oder Mails mit Werbeangeboten gilt. Werb s sind grundsätzlich, außer im Falle einer laufenden Geschäftsbeziehung mit einem Marktteilnehmer, nicht ohne eine spezielle schriftliche Einwilligung zulässig. 2. Änderungen im TKG: Die Änderungen im TKG betreffen den 102, das heißt die Regelung der Anzeige oder Unterdrückung der Telephonnummer des Anrufenden. Die jetzt eingeführte neue Regelung betrifft deshalb die Telephon-Werbung oder das Telephon-Marketing, gleichgültig ob diese Telephon-Aktionen vom werbenden Unternehmen selbst durchgeführt werden, oder ob ein externes Call-Center eingesetzt wird. Während in der Vergangenheit die Rufnummer des Anrufenden auch bei Werbe-Anrufen unterdrückt werden durfte, gilt seit dem die Vorgabe, dass bei Werbe-Telephonaten die anrufende Nummer immer angezeigt werden muss. Dies gilt auch bei Aktionen die durch externe Call-Center durchgeführt werden. Dies bedeutet nun allerdings nicht, dass genau die Arbeitsplatz-Telephon-Nummer des anrufenden Marketing-Mitarbeiters oder des Call-Center-Agent angezeigt werden muss. Vielmehr ist es hinreichend, dass eine anrufbare Telefonnummer des Call-Centers oder der Marketing- Abteilung des Unternehmens beim Angerufenen angezeigt wird. 3. Änderungen im BDSG: Das BDSG wurde an einigen Stellen geändert. Von Bedeutung für Unternehmen, die nicht geschäftsmäßig Daten erheben, speichern und dann an Dritte (geschäftsmäßig) übermitteln 2 ) sind dabei vor allem die Änderungen des: 3 a (Datenvermeidung und Datensparsamkeit), 2 ) Gemeint sind hier die dem 29 BDSG unterliegenden Unternehmen, wie Adresshändler (List--Broker), Auskunfteien, Scoring-Ambieter usw.

4 Prof. Dr. Rolf Lauser Seite 4 11 (Auftragsdatenverarbeitung), 28 (Datenerhebung und Speicherung für eigene Geschäftszwecke), die neun eingeführten 28 a und 28 b, der neu eingeführte 32 (Datenerhebung, -Verarbeitung und Nutzung für Zwecke des Beschäftigungsverhältnisses) sowie der Busgeldkatalog des 43. Im Einzelnen sind hier die folgenden Änderungen relevant: 3.1. Bußgelder Im 43 BDSG wurde einerseits der Ordnungswidrigkeiten-Katalog um einige neue Tatbestände erweitert und andererseits die Geldbußen für die Datenschutzverletzungen erhöht. Dabei wurde in das Gesetz die Forderung hineingeschrieben, dass die Strafgebühr den wirtschaftlichen Vorteil, den der Täter aus seiner Datenschutzverletzung gezogen hat, übersteigen sollte. Um dies zu erreichen, dürfen deshalb auch die im Gesetz festgeschriebenen Bußgelder überschritten werden. Letztendlich bedeutet dies, dass in Abhängigkeit vom Schaden, der durch die Datenschutzverletzung entstanden ist, die Bußgelder nach oben hin offen sind Zu 3 a (Datenvermeidung und Datensparsamkeit) Zwar gab es die Pflicht zur Datenvermeidung und zur Datensparsamkeit auch in der alten Version des Bundesdatenschutzgesetzes. Allerdings galt die im 3 a BDSG festgeschriebene Forderung nach Anwendung von Anonymisierungs- oder (in zweiter Linie) von Pseudonymisierungs-Verfahren nur dann, wenn der dafür erforderliche Aufwand in einem angemessenen Verhältnis zum Schutzzweck stammt. D. h. die Pflicht zur Datenvermeidung und zur Datensparsamkeit war eher ein hehres Ziel. Praktisch durchsetzbar war sie kaum. Im neuen Bundesdatenschutzgesetz werden nun die Prämissen geändert. Die Pflicht gilt jetzt ohne Rücksicht auf den Aufwand der damit verbunden ist. Allerdings gibt es immer noch eine

5 Prof. Dr. Rolf Lauser Seite 5 Hintertür. Nämlich die des unverhältnismäßig hohen Aufwandes. Dabei bleibt das Frage, wann denn nun ein Aufwand unverhältnismäßig ist, unbeantwortet.. Auf jeden Fall sollte bei der Überarbeitung von alten IT-Verfahren, bzw. bei der Einführung von neuen IT-Anwendungen, die personenbezogene Daten verarbeiten oder nutzen, grundsätzlich überprüft werden, ob eine anonymisierte und pseudonymisierte Abspeicherung der personenbezogenen Daten möglich ist Zu 11 (Auftragsdatenverarbeitung) Die Bedeutung des 11 BDSG liegt darin, dass er die datenschutzrechtliche Grundlage für die Auslagerung von IT-Aktivitäten (Outsourcing, Outtasking oder Hosting) darstellt. Erstmalig ist jetzt im 11 Abs.2 Bundesdatenschutzgesetz in 10 Punkten definiert, welche Regelungen zum Datenschutz und zur Datensicherheitin in den Dienstleistungsverträgen mit dem Outsourcing-, Outtasking- oder Hosting-Partner enthalten sein müssen. Da die meisten Unternehmen, in der einen oder anderen Art, IT-Aktivitäten ausgelagert haben, ist es jetzt erforderlich, die alten Verträger daraufhin zu überprüfen, ob sie den Anforderungen des neu formulierten 11 Abs.2 BDSG noch genügen. Ist dies nicht der Fall, so sind die Verträge bis zum an die Vorgaben des BDSG anzupassen, das heißt neu zu verhandeln. Dabei ist hier zu Bedenken, dass Verstöße gegen 11 Abs.2 nun, im Gegensatz zum alten BDSG, nach 43 Abs.1 Nr. 2 b BDSG bußgeldbewehrt sind Zu 28 (Datenerhebung und Speicherung für eigene Zwecke) Grundsätzlich sind die Vorschriften für die Erhebung, Verarbeitung, Nutzung und Übermittlung personenbezogener Daten für die Erfüllung eigener Geschäftszwecke inhaltlich unverändert. Geändert hat sich aber das sogenannte Listenprivileg (ursprünglich 28 Abs.3 Punkt 3 BDSG). Dieses alte Listenprivileg wurde durch die Neuregelung in 28 Abs.3, sowie die

6 Prof. Dr. Rolf Lauser Seite 6 neuen Absätze Abs.3 a und Abs.3 b BDSG zumindest vom Begriff her abgeschafft. Allerdings ist die Verwendung von Adressdaten für Werbe- und Marketing-Zwecke immer noch möglich. Wenn dies, in der Realität, auch erst nach mehrmaligem Lesen des Gesetzestextes klar wird. Allerdings muss hier zukünftig beachtet werden: Adressdaten dürfen für Werbe- und Marketing-Zwecke zukünftig nur mit einer speziellen Einwilligung des Betroffenen genutzt werden. Bei der Erhebung von Adressdaten für Werbe- oder Marketing-Zwecke muss in der Einwilligung auf das Widerspruchsrecht des Betroffenen hingewiesen werden, wobei der Zweckbezug der Einwilligung bleibt (das heißt, die für Werbe- und Marketing- Zwecke erhobenen Adressdaten dürfen nicht für andere Zwecke genutzt werden). Wird die Einwilligung für Werbe- und Marketing-Zwecke zusammen mit anderen Einwilligungen erhoben, so muss die Einwilligung für Werbe- und Marketing-Zwecke drucktechnisch deutlich hervorgehoben werden. Werden Adressdaten für Werbe- und Marketing-Zwecke von Dritten (z. B. von sogenannten List-Brokern, usw.) gekauft oder gemietet, so muss für 2 Jahre die Herkunft dieser Daten dokumentiert werden. D. h. der Betroffene hat ein Auskunftsrecht über die Herkunft der Daten, allerdings nur für 2 Jahre. Dies gilt auch für die Übermittlung solcher Adressdaten innerhalb eines Konzerns. Das heißt, auch innerhalb eines Konzerns dürfen Adressdaten für Werbe- oder Marketing-Zwecke nur mit schriftlicher Einwilligung der Betroffenen übermittelt werden, wobei der Empfänger der Daten die Herkunft der empfangenen Daten dokumentieren und für zwei Jahre nachweisen muss. Im Prinzip kann deshalb festgestellt werden, dass Werbe- und Marketing-Aktivitäten per gelbe Post auch weiterhin möglich sind, allerdings nur nach einer speziellen Einwilligung des Betroffenen. Die bisher mögliche Nutzung ohne Einwilligung ist nicht mehr möglich. Dabei

7 Prof. Dr. Rolf Lauser Seite 7 ist zu beachten, dass für -Werbung immer eine spezielle Einwilligung des Betroffenen für zur Nutzung seiner -Adresse erfordert Zu den 28 a (Datenübermittlung an Auskunfteien) und 28 b (Scoring) Diese beiden neu eingeführten Paragraphen regeln die Rahmenbedingungen: unter denen personenbezogene Daten über Forderungen des Unternehmens an Auskunfteien übermittelt werden dürfen und unter denen für die Begründung, die Durchführung oder die Beendigung eines Vertragesverhältnisses mit einem Betroffenen auf Scoring-Daten, z. B. zur Feststellung der Bonität des Betroffenen, zurückgegriffen werden darf. Prinzipiell ist, unter der Bedingung, dass eine Forderung gerichtlich festgestellt oder vom Betroffenen ausdrücklich anerkannt ist oder die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat, eine Übermittlung von Daten über fällige Forderungen an Auskunfteien zulässig. Genauso darf zur Feststellung der Bonität von Kunden oder Vertragspartnern auf Scoring- Daten zugegriffen werden. Dies setzt aber voraus, dass dem Scoring anerkannte mathematische oder statistische Verfahren zugrunde liegen. Darüber hinaus darf für die Berechnung des Scoring-Wertes nicht lediglich die Wohn-Adresse des Betroffenen zugrunde gelegt werden. Soll das Scoring auf geographischen Daten durchgeführt werden, so ist der Betroffene über die vorgesehene Nutzung seiner Adressdaten für diese Art der Adressdaten-Nutzung zu unterrichten Zu 32 (Datenerhebung, -Verarbeitung und Nutzung für Zwecke des Beschäftigungsverhältnisses): Um es gleich vorweg zu nehmen: Der neue 32 BDSG ist kein Ersatz für das seit Jahren immer wieder angekündigte aber nie erarbeitete Arbeitnehmer-Datenschutzgesetz. Es regelt Organisations-Prozesse, die auch ohne diese Vorschrift in der Vergangenheit weitgehend problemlos in den Unternehmen liefen.

8 Prof. Dr. Rolf Lauser Seite 8 Wichtig ist hier eigentlich nur der 2. Satz des 32 Abs.1 BDSG. In diesem Satz ist nämlich festgelegt, dass Massen-Screenings von Mitarbeitern von Organisationen, wie sie in den letzten Monaten in einigen großen Unternehmen immer wieder bekannt wurden, zukünftig eindeutig so nicht mehr zulässig sind. Zulässig sind Screenings nur im Einzelfall, wenn gegen den Betroffenen ein begründeter Verdacht besteht und dieser auch dokumentiert ist. Präventive Massen-Screenings gegen ganze Gruppen von Mitarbeitern sind also zukünftig nicht zulässig. Dachau, Prof. Dr. Rolf Lauser (Datenschutzbeauftragter GDDcert)