Novellierung des BDSG Zwei-Phasen-Modell des BMI 1. Phase: Umsetzung der EG-Richtlinie durch Rückgriff auf Referentenentwurf der alten Regierung vom Dez. 1997 plus einige innovative Neuregelungen 2. Phase: Grundsätzliche Überarbeitung/Modernisierung des deutschen Datenschutzrechts (noch in der laufenden Legislaturperiode) Neuerungen gegenüber dem Vorentwurf vom Dezember 1997 (1) Geänderte Definition der Datei Überarbeitete Vorschriften zur Meldepflicht ( insbes. Wegfall der generellen Meldepflicht für Auftragsdatenverarbeiter/Dienstleistungsunternehmen) zum internen Datenschutzbeauftragten im öffentl. Bereich Einbeziehung von Wartungsarbeiten in die Auftragsdatenverarbeitung ( 11 Abs. 5) 1
Neuerungen gegenüber dem Vorentwurf vom Dezember 1997 (2) Unterrichtungspflicht bei der Ansprache zu Werbezwecken ( 28 Abs. 4): - verantwortl. Stelle - Herkunft der Daten - Widerspruchsrecht Sonderregelung für die Zulässigkeit der Verarbeitung sog. sensitiver Daten ( 28 Abs. 6) Modifizierte Regelungen zur Benachrichtigung und Auskunft Ergänzung der Anlage zu 9 (Trennungsgebot) Innovative Neuregelungen der 1. Phase Grundsatz der Datenvermeidung und Datensparsamkeit ( 3a) Datenschutz-Audit ( 9a) Videoüberwachung ( 6b) Mobile Speicher- und Verarbeitungsmedien - insbs. Chipkarteneinsatz - ( 6c) 2
Kernpunkte der GDD-Stellungnahme Grundsatz der Datenvermeidung und Datensparsamkeit ( 3a) Abgrenzung vom Grundsatz der Erforderlichkeit beschränkt nicht den Umfang der DV in jedem Einzelfall gesetzgeberische Intention: Einflußnahme auf die technische Gestaltung von DV-Systemen Daher: Verankerung in 9 BDSG systematisch besser (technische und organisatorische Maßn.) Datenvermeidende bzw. sparende Technikgestaltung nur im Rahmen des wirtschaftlich zumutbaren 3
Entwicklungen im Bereich Datenschutz-Audit (1) Erstmals in 17 MDStV verankert Normadressaten: Anbieter von Mediendiensten Prinzip der Freiwilligkeit (Wortlaut: können ) Ziel: Erreichung eines hohen Datenschutzniveaus durch Stärkung und Unterstützung der unternehmerischen Selbstverantwortung Bislang kein Ausführungsgesetz zu 17 MDStV Im Rahmen der Evaluierung des IuKDG wurde erwogen, eine zu 17 MDStV gleichlautende Vorschrift aufzunehmen. Entwicklungen im Bereich Datenschutz-Audit (2) AK-Datenschutz-Audit Multimedia Erarbeitung von Leitlinien für Datenschutzstandards im Bereich Multimedia Prinzip der Freiwilligkeit Wettbewerbsvorteil für Anbieter von Multimedia- Dienstleistungen bei Durchführung eines Audits AK- quid Initiative: FH Frankfurt a.m., Deutsche Postgewerkschaft Ziel: Entwicklung von Maßstäben für ein Gütesiegel in bezug auf die Qualität im betriebl. Datenschutz 4
Entwicklungen im Bereich Datenschutz-Audit (3) Implementierung eines Datenschutz-Audits in das neue BDSG Novellierungsentwurf Bündnis 90/DieGrünen Normadressaten: Anbieter von DV-Systemen und Programmen Ziel: Förderung von datenschutzfreundlichen Produkten auf dem Markt (Wettbewerbsvorteile für geprüfte und bewertete Produkte) Referentenentwurf des BMI (Stand: 06. Juli 1999) Normadressaten: Anbieter von DV-Systemen und Programmen UND datenverarbeitende Stellen Ziel: s.o. (Begründung allerdings nicht erschöpfend!) Bedenken gegen ein DS-Audit (1) Je nach gesetzlicher Ausgestaltung des Verfahrens Akzeptanzprobleme wegen überhöhten Anforderungen (Übererfüllung der gesetzl. Anforderungen) Behinderung der unternehmerischen Betätigung Gefährdung des bewährten Systems der innerbetrieblichen Selbstkontrolle Formale Kriterien der Auditierungsinstanzen berücksichtigen individuelle Unternehmensspezifika nicht Schwächung der Position des DSB durch Verlagerung von Verantwortlichkeiten auf externe Auditierungsstellen 5
Bedenken gegen ein DS-Audit (2) Erhebliche Aufwendungen und Kosten insbesondere für kleine und mittlere Unternehmen (Gefahr des Verdrängungswettbewerbes bei Gütesiegeln) Aus formaler Freiwilligkeit kann sich faktischer Zwang ergeben Eingeschränkte Aussagekraft: Audit stellt lediglich Momentaufnahme dar, wenn es nicht als fortwährende Aufgabe und Managementprozeß begriffen wird (Gefahr der bloßen Scheinsicherheit) Fazit zum DS-Audit Ein Datenschutz-Audit ist nur in dem Umfang sinnvoll, wie es das Prinzip der innerbetrieblichen Selbstkontrolle nicht beeinträchtigt. Anbieter von DV-Systemen und Programmen und DV-Dienstleister könnten ihr zertifiziertes Datenschutzkonzept und ihre technischen Einrichtungen Kunden und Datenschutzverantwortlichen anbieten und zu einem Auswahlkriterium werden lassen. 6
Unterrichtungs- und Kennzeichnungspflicht ( 33 Abs.2 S. 2) Soll gelten bei Inanspruchnahme von Ausnahmen von der Benachrichtigungspflicht nach Abs. 2 S. 1 Kennzeichnung auf Datensatzebene würde kostenträchtige Programm- bzw. Softwareänderungen bedingen (Verhältnismäßigkeit!) Benachrichtigung der Aufsichtsbehörden führt zu unangemessenem bürokratischen Aufwand Keine Richtlinienvorgabe ( geeignete Garantien ) Löschungspflichten ( 35 Abs. 2 Nr. 3) Aufgabe der bisherigen Differenzierung Verarbeitung für eigene Zwecke geschäftsmäßig zu Zwecke der Übermittlung Regelüberprüfung nach 2 Jahren (alle Unternehmen) Sachgerechte Differenzierung beibehalten unterschiedlicher Schutzbedarf unverhältnismäßige Belastung für Unternehmen, da Notwendigkeit neuer EDV-gestützter Routineüberprüfung ggf. Anschaffung geeigneter oder Anpassung vorhandener Software 7
Stellung und Aufgaben des Datenschutzbeauftragten Stärkung der Unabhängigkeit des betriebl./behördl. Datenschutzbeauftragten Keine Ersetzung des Begriffs sicherstellen durch überwachen (Beratung, Mitgestaltung und Kontrolle) Mitwirken bei der Personalauswahl als Recht statt als Pflicht Schließung der vom BAG festgestellten Regelungslücke zum Verhältnis DSB/Betriebsrat Fazit der GDD-Stellungnahme (1) Zeitnahe Umsetzung der EG-Datenschutzrichtlinie EU-Sanktionen Rechtssicherheit Teilhabe am harmonisierten Datenverkehr innerhalb EU Im wesentlichen angemessene Umsetzung Teilweise mangelnde Orientierung an Kostengesichtspunkten (Stichwort: Überregulierung) Gesetzgebungsauftrag des BAG nicht Rechnung getragen 8
Fazit der GDD-Stellungnahme (2) Innovative Neuregelungen der 1. Phase bis zum 2. Novellierungsschritt evaluieren (Nachbesserung?) Ausblick auf die 2. Phase Angebot zur Mitarbeit in einer Task Force Konsolidierung der datenschutzrechtlichen Regelwerke (Akzeptanz und Umsetzbarkeit in der Praxis) Beseitigung der mangelnden Lesbarkeit des jetzigen Entwurfs Novellierung des BDSG - Zeitplan - bis Ende August 99: Möglichkeit zur Stellungnahme für Ministerien und Fachverbände Dezember 99: Verabschiedung durch Bundeskabinett Januar 2000: Vorlage an den Bundesrat März 2000: Erste Lesung im Bundestag Juni/Juli 2000: Verabschiedung 9