Deutscher Bundestag Drucksache 16/12011 16. Wahlperiode 18. 02. 2009 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften A. Problem und Ziel DenAufwendungenvonUnternehmenfüreinenüberdasgesetzlichvorgeschriebeneDatenschutzniveauhinausgehendenDatenschutzsolleinadäquater wirtschaftlichermehrwertgegenüberstehen.einfreiwilliges,gesetzlichgeregeltesdatenschutzauditmitdervergabeeinesdatenschutzauditsiegelsverbindetförderungdesdatenschutzesundwirtschaftsförderungmiteinander.zugleichsolldieankündigungeinesdatenschutzauditgesetzesin 9aSatz2des Bundesdatenschutzgesetzes erfüllt werden. InderjüngerenVergangenheitsindzunehmendFälledesrechtswidrigenHandelsmitpersonenbezogenenDatenbekanntgeworden.DieHerkunftderDaten istgrößtenteilsnichtnachvollziehbar.dererlaubnistatbestanddes 28Absatz3 Satz1Nummer3desBundesdatenschutzgesetzeshatsichdabeifürdieHerstellungdernotwendigenTransparenzalsbesondersnachteiligerwiesen.Danach dürfenbestimmtepersonenbezogenedaten,wennsielistenmäßigodersonstzusammengefasstsind,fürzweckederwerbungoderdermarkt-odermeinungsforschungohneeinwilligungderbetroffenenübermitteltodergenutztwerden. DiepraktischeAnwendungdieserVorschrifthatdazugeführt,dasspersonenbezogeneDatenweitläufigzumErwerboderzurNutzungangebotenwerden,ohne injedemfalldieindervorschriftangelegtenanforderungenzubeachten.zudemhatsichdasverhältnisderbürgerinnenundbürgerzuwerbung,marktundmeinungsforschungseitdembestehendervorschriftgewandelt:diebetroffenenmöchtenüberdieverwendungpersonenbezogenerdatenfürdiese Zwecke selbst entscheiden können. B. Lösung UnternehmenwirddieMöglichkeiteröffnet,sichfreiwilligeinemgesetzlich geregeltenunbürokratischendatenschutzauditzuunterziehenunddatenschutzkonzepteundtechnischeeinrichtungenmiteinemdatenschutzsiegelzukennzeichnen.dabeikontrollierenzugelassenekontrollstelleninregelmäßigenabständen,obdiegekennzeichnetenkonzepteundeinrichtungenvoneinemmit ExpertenausWirtschaftundVerwaltungbesetztenAusschusserlasseneRichtlinienzurVerbesserungdesDatenschutzesundderDatensicherheiterfüllen.Unternehmen,diesichdemKontrollverfahrenunterwerfen,dürfenimRechts-und Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben. DieErlaubniszurVerwendungpersonenbezogenerDatenzumZweckederWerbung,Markt-undMeinungsforschungohneEinwilligungderBetroffenenwird
Drucksache 16/12011 2 Deutscher Bundestag 16. Wahlperiode beschränktaufwerbungfüreigeneangeboteoderdieeigenemarkt-odermeinungsforschungderstellen,dieimrahmeneinervertragsbeziehungmitdem BetroffenenDatenüberihnerhaltenhaben,sowiebestimmterEmpfängersteuerbegünstigterSpendenwerbung.DieVerwendungpersonenbezogenerDaten fürzweckedesadresshandelssowiefürfremdewerbezweckeodermarkt-oder MeinungsforschungsollnurmitEinwilligungderBetroffenenmöglichsein.ZudemsollenmarktbeherrschendeUnternehmendieEinwilligungnichtdurch Kopplung mit dem Vertragsschluss erzwingen dürfen. C. Alternativen Keine D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 1.Haushaltsausgaben ohne Vollzugsaufwand Keine 2.Vollzugsaufwand DasGesetzbewirktVollzugsaufwandbeidenLändernundineinemTeilbereich beimbundesbeauftragtenfürdendatenschutzunddieinformationsfreiheitim RahmenderDurchführungdesGesetzesundderÜberwachungderzugelassenenKontrollstellen.DieKostenfürdieeinzelnenAuditverfahrenkönnendurch KostenordnungenaufdieAntragstellerabgewälztwerden.WeitererVollzugsaufwandentstehtbeimBundesbeauftragtenfürdenDatenschutzunddieInformationsfreiheitdurchdieZulassungderKontrollstellenundggf.dieEntziehungderZulassungsowiedasFühreneinesVerzeichnissesderKontrollstellen undderindaskontrollsystemeinbezogenendatenschutzkonzepteundtechnischeneinrichtungen.fernerentstehtvollzugsaufwanddurchdiebildung einesdatenschutzauditausschussesmitvertreternausbund,ländernundder WirtschaftnebstGeschäftsstellebeimBundesbeauftragtenfürdenDatenschutz unddieinformationsfreiheit.hierfürkönneninabhängigkeitvonderzahlder Kontrollstellenbiszu15zusätzlicheStellensowiejährlichHaushaltsmittelin Höhevonrd.1,2Mio.EurofürPersonal-undSachausgabenbenötigtwerden. ÜberdieAusbringungundFinanzierungdieserPersonal-undSachausgabenist im Haushaltsaufstellungsverfahren 2010 zu entscheiden. E. Sonstige Kosten KostenfürdieWirtschaftentstehen,soweitnachAblaufderÜbergangsvorschriftkünftigEinwilligungenderBetroffeneneinzuholensind,umderenpersonenbezogeneDatenfürnichtausschließlicheigeneZweckederWerbungoder dermarkt-odermeinungsforschungzuverarbeitenundzunutzen.fernerkönnenkostenfürdiewirtschaftentstehen,soweitdiesekünftigverpflichtetist,bei unrechtmäßigerkenntniserlangungbestimmterdatendurchdrittedieaufsichtsbehörden und Betroffenen zu benachrichtigen. ImRahmendesDatenschutzauditgesetzeskönnenKostenfürdieWirtschaft nachmaßgabevonggf.vondenländernunddembundzuerlassendenkostenordnungenentstehen,durchdiediekostenfürdieeinzelnenauditverfahrenauf dieunternehmenabgewälztwerdenkönnen.daeindatenschutzauditfreiwillig ist,könnenesdieunternehmenvoneinerwirtschaftlichkeitsbetrachtungabhängigmachen,obsiesicheinemauditmitderdamiteinhergehendenkostenfolge unterziehen.
Deutscher Bundestag 16. Wahlperiode 3 Drucksache 16/12011 F. Bürokratiekosten FürdieWirtschaftwerden15Informationspflichtenneueingeführtundeine Informationspflichtgeändert.EswirdkeineInformationspflichtabgeschafft.Die SummederzuerwartendenBelastungenfürdieWirtschaftbeträgt10,14Mio. Euro. FürdieBürgerinnenundBürgerwirdkeineInformationspflichtneueingeführt, geändert oder abgeschafft. FürdieVerwaltungwerdenzwölfInformationspflichtenneueingeführtund keine Informationspflicht geändert oder abgeschafft.
Deutscher Bundestag 16. Wahlperiode 5 Drucksache 16/12011
Deutscher Bundestag 16. Wahlperiode 7 Drucksache 16/12011 Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften Vom Anlage 1 Der Bundestag hat das folgende Gesetz beschlossen: Artikel1 Datenschutzauditgesetz (DSAG) * Inhaltsübersicht 1Datenschutzaudit 2Zuständigkeit 3Kontrollen 4 Zulassung der Kontrollstelle und Entziehung der Zulassung 5 Anforderungen an das Personal der Kontrollstelle 6Pflichten der Kontrollstelle 7Pflichten der zuständigen Behörde 8Überwachung 9Datenschutzauditsiegel, Verzeichnisse 10Gebühren und Auslagen 11Datenschutzauditausschuss 12Mitglieder des Datenschutzauditausschusses 13Geschäftsordnung,VorsitzundBeschlussfassungdes Datenschutzauditausschusses 14Geschäftsstelle des Datenschutzauditausschusses 15Rechtsaufsicht 16Verordnungsermächtigungen 17Bußgeldvorschriften 18Strafvorschriften 19Einziehung 20Übergangsvorschrift 1 Datenschutzaudit Nach Maßgabe dieses Gesetzes können 1. verantwortliche Stellen ihr Datenschutzkonzept und 2.AnbietervonDatenverarbeitungsanlagenund-programmen (informationstechnischeneinrichtungen)dieangebotenen informationstechnischen Einrichtungen *DieVerpflichtungenausderRichtlinie98/34/EGdesEuropäischen ParlamentsunddesRatesvom22.Juni1998übereinInformationsverfahrenaufdemGebietderNormenundtechnischenVorschriften unddervorschriftenfürdiedienstederinformationsgesellschaft (ABl.L204vom21.7.1998,S.37),diezuletztdurchdieRichtlinie 2006/96/EGvom20.November2006 (ABl.L363vom20.12.2006, S. 81) geändert worden ist, sind beachtet worden. kontrollierenlassen,sofernsienichtöffentlichestellenim Sinnedes 2Absatz4desBundesdatenschutzgesetzessind. SiedürfenihrDatenschutzkonzeptodereineangebotene informationstechnischeeinrichtungmiteinemdatenschutzauditsiegel kennzeichnen, wenn 1.beiderDatenverarbeitung,fürdiedasDatenschutzkonzeptoderdieinformationstechnischeEinrichtungvorgesehenist,dieVorschriftenzumSchutzpersonenbezogener Daten eingehalten werden, 2.diefürdasDatenschutzkonzeptoderdieinformationstechnischeEinrichtunggeltendenRichtlinienzurVerbesserungdesDatenschutzesundderDatensicherheit nach 11 Absatz 1 erfüllt werden, 3.alsAnbietermitSitzimInlanddieVorschriftendesBundesdatenschutzgesetzesüberdieorganisatorischeStellungdesBeauftragtenfürdenDatenschutzeingehalten werden und 4. dies nach 3 kontrolliert wird. NichtöffentlicheStellenimSinnediesesGesetzessindauch diein 27Absatz1Satz1Nummer2desBundesdatenschutzgesetzes genannten Stellen. 2 Zuständigkeit (1)DieDurchführungdiesesGesetzesundderaufGrund diesesgesetzeserlassenenrechtsverordnungenobliegtden nachlandesrechtzuständigenbehörden,soweitnachstehendnichtsanderesbestimmtist.soweitfürdiegeschäftsmäßigeerbringungvonpost-odertelekommunikationsdienstendatenzunatürlichenoderjuristischenpersonen erhoben,verarbeitetodergenutztwerden,istzuständigebehördederbundesbeauftragtefürdendatenschutzunddie Informationsfreiheit (Bundesbeauftragter). (2)DerBundesbeauftragteistzuständigfürdieZulassung derkontrollstellen,dieentziehungderzulassungunddie Vergabe der Kennnummern an die Kontrollstellen. 3 Kontrollen VorbehaltlicheinerRechtsverordnungnach 16Absatz1 Satz1Nummer1oder 16Absatz2Satz1Nummer1werdendieKontrollennach 1Satz2Nummer4vonzugelassenenKontrollstellendurchgeführt,soweitdieAufgabenwahrnehmungnichtmitderDurchführungeinesVerwaltungsverfahrensverbundenist.DerBeauftragtefürden Datenschutznach 4fAbsatz1Satz1desBundesdatenschutzgesetzesistindieDurchführungderKontrolleneinzubeziehen.ArtundHäufigkeitderKontrollenrichtensich nachdemrisikodesauftretensvonverstößengegendieses Gesetz,dieaufGrunddiesesGesetzeserlassenenRechtsver-
Drucksache 16/12011 8 Deutscher Bundestag 16. Wahlperiode ordnungenoderdiefürdasdatenschutzkonzeptoderdieinformationstechnischeeinrichtunggeltendenrichtlinienzur VerbesserungdesDatenschutzesundderDatensicherheit nach 11Absatz1.JedenichtöffentlicheStelle,dieeine Anzeigenach 9Absatz1Satz1erstattethat,wird,sobaldderordnungsgemäßeGeschäftsbetriebderKontrollstelleesermöglicht,erstmaligundsodannspätestensinnerhalbvonzwölfMonatennachdieserKontrolleerneutkontrolliert.DanachwirddienichtöffentlicheStellespätestens alle 18Monate kontrolliert. 4 Zulassung der Kontrollstelle und Entziehung der Zulassung (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn 1.ihrLeitungspersonalunddiefürKontrollenverantwortlichenBeschäftigtenüberdieerforderlicheZuverlässigkeit, Unabhängigkeit und fachliche Eignung verfügen, 2. die Kontrollstelle akkreditiert ist, 3.diefürdieZulassungerhobenenGebührenentrichtet worden sind und 4.dieKontrollstelleihrenSitzodereineNiederlassungim Bundesgebiet hat. MitderZulassungistderKontrollstelleeineKennnummer zuzuteilen. (2)DieZulassungwirdfürdasgesamteBundesgebieterteilt.AufAntragkanndieZulassungaufeinzelneLänderbeschränkt werden. (3)DieZulassungkannmitBefristungen,Bedingungen odereinemvorbehaltdeswiderrufserlassenodermitauflagenverbundenwerden,soweitdiefunktionsfähigkeitdes KontrollsystemsoderBelangedesDatenschutzeshinsichtlichderVoraussetzungennachAbsatz1Nummer1oder Nummer2dieserfordern.UnterdenselbenVoraussetzungen istdienachträglicheaufnahmeunddieänderungvonauflagen zulässig. (4)EinerKontrollstellewirddieZulassungentzogen, wenn die Kontrollstelle 1.denAnforderungennachAbsatz1Satz1Nummer1, Nummer 2 oder Nummer 4 nicht mehr genügt, 2.ihrenVerpflichtungennachdiesemGesetz,insbesondere nach 6oder 8Absatz3,odernacheineraufGrund diesesgesetzeserlassenenrechtsverordnunginschwerwiegender Weise nicht nachkommt. 5 Anforderungen an das Personal der Kontrollstelle (1)ÜberdieerforderlicheZuverlässigkeitverfügt,wer aufgrundseinerpersönlicheneigenschaften,seinesverhaltensundseinerfähigkeitendiegewährfürdieordnungsgemäßeerfüllungderihmobliegendenaufgabenbietet.für die Zuverlässigkeit bietet in der Regel keine Gewähr, wer 1.ausweislicheinesFührungszeugnissesfürBehördennach 30Absatz5, 31desBundeszentralregistergesetzes wegenverletzungdervorschriftendesstrafrechtsüber denpersönlichenlebens-undgeheimbereich,über Eigentums-undVermögensdelikte,Urkundenfälschung oderinsolvenzstraftatenmiteinerstrafeoderwegen Verletzunggewerbe-oderarbeitsschutzrechtlicherVorschriftenmiteinerGeldbußeinHöhevonmehralsfünfhundert Euro belegt worden ist, 2.wiederholtodergrobpflichtwidriggegendiesesGesetz, eineaufgrunddiesesgesetzeserlassenerechtsverordnungodervorschriftenüberdenschutzpersonenbezogenerdatenverstoßenhatoderwiederholtodergrob pflichtwidrigalsbeauftragterfürdendatenschutzseine Verpflichtungen verletzt hat, 3.infolgestrafgerichtlicherVerurteilungdieFähigkeitzur Bekleidung öffentlicher Ämter verloren hat, 4.sichnichtingeordnetenwirtschaftlichenVerhältnissen befindet,esseidenn,dassdadurchdieinteressenderkontrolliertennichtöffentlichenstelleoderdritternichtgefährdet sind, oder 5.ausgesundheitlichenGründennichtnurvorübergehend unfähigist,diekontrollennachmaßgabedernach 16 Absatz3Nummer3zuerlassendenRechtsverordnung ordnungsgemäß durchzuführen. (2)ÜberdieerforderlicheUnabhängigkeitverfügt,wer beiderübernahme,vorbereitungunddurchführungder Kontrollenkeinerpersönlichen,wirtschaftlichenoderberuflichenEinflussnahmeunterliegt,diegeeignetist,einobjektivesUrteilzubeeinträchtigen.FürdieUnabhängigkeitund FreiheitvonInteressenkonfliktenbietetinderRegelkeine Gewähr, wer 1.nebenseinerTätigkeitfürdieKontrollstelleInhaberoder AngestelltereinernichtöffentlichenStelleist,aufdiesich seine Kontrolltätigkeit bezieht, 2.alsLeitungspersonalderKontrollstelleeineTätigkeitauf GrundeinesBeamtenverhältnisses,SoldatenverhältnissesodereinesAnstellungsvertragesmiteinerjuristischen PersondesöffentlichenRechts,eineTätigkeitaufGrund einesrichterverhältnisses,öffentlich-rechtlichendienstverhältnissesalswahlbeamteraufzeitodereinesöffentlich-rechtlichenamtsverhältnissesausübt,esseidenn, dassdieübertragenenaufgabenehrenamtlichwahrgenommen werden, 3.WeisungenaufGrundvertraglicherodersonstigerBeziehungenbeiderTätigkeitfürdieKontrollstelleauchdann zubefolgenhat,wennsiezuhandlungengegenseine Überzeugung verpflichten, 4.organisatorisch,wirtschaftlich,kapitalmäßigoderpersonellmitDrittenverflochtenist,wennnichtderenEinflussnahmeaufdieWahrnehmungderAufgabenfürdie Kontrollstelle,insbesonderedurchSatzung,GesellschaftsvertragoderAnstellungsvertragausgeschlossen ist. (3)ÜberdieerforderlichefachlicheEignungverfügt,wer aufgrundseinerausbildung,beruflichenbildungundpraktischenerfahrungzurordnungsgemäßenerfüllungderihm obliegendenaufgabenbefähigtist.imbereichrechtsind nachzuweisen: 1.derAbschlusseinesStudiumsderRechtswissenschaft odereinesstudiumsaufeinemanderengebietmit rechtswissenschaftlicheninhalten,diedenumfangeines durchschnittlichennebenfachstudiumsderrechtswis-
Deutscher Bundestag 16. Wahlperiode 9 Drucksache 16/12011 senschaftnichtunterschreiten,aneinerdeutschenhochschuleodereingleichwertigerausländischerabschluss sowieeinedreijährigeberuflichetätigkeitmitdem SchwerpunktaufdemGebietdesDatenschutzrechtsoder Im Bereich Informationstechnik sind nachzuweisen: 2.eineAus-,Fort-undWeiterbildungimDatenschutzrecht sowieeinemindestensfünfjährigeberuflichetätigkeit mitdemschwerpunktaufdemgebietdesdatenschutzrechts. 1.derAbschlusseinesStudiumsderInformatik,derWirtschaftsinformatikodereinesStudiumsaufeinemanderen GebietmitinformationstechnischenInhalten,dieden UmfangeinesdurchschnittlichenNebenfachstudiums derinformatiknichtunterschreiten,aneinerdeutschen HochschuleodereingleichwertigerausländischerAbschlusssowieeinedreijährigeberuflicheTätigkeitmit demschwerpunktaufdemgebietderinformationstechnik oder 2.eineAus-,Fort-undWeiterbildungaufdemGebietder Informationstechniksowieeinemindestensfünfjährige beruflichetätigkeitmitdemschwerpunktaufdemgebiet der Informationstechnik. DieberuflicheTätigkeitdarfzumZeitpunktdesTätigwerdensfürdieKontrollstellenichtseitmehralsdreiJahrenunterbrochen sein. 6 Pflichten der Kontrollstelle (1)DieKontrollstellehateinDatenschutzkonzeptoder eineinformationstechnischeeinrichtunggegenangemessenevergütunginihrekontrolleneinzubeziehen,soweitdie nichtöffentlichestelledieeinbeziehungverlangtundihren SitzodereineNiederlassungindemLandhat,indemdie Kontrollstellezugelassenist.DiezuständigeBehördekann aufantragderkontrollstelleeineausnahmevonderverpflichtung nach Satz 1 zulassen, soweit 1.dieKontrollstellewirksameKontrollennichtgewährleisten kann und 2.dieDurchführungderKontrollendurcheineandere Kontrollstelle sichergestellt ist. (2)DieKontrollstelleübermitteltderzuständigenBehördenjährlichbiszum31.JanuareinVerzeichnisdernichtöffentlichenStellen,dieam31.DezemberdesVorjahres ihrerkontrolleunterstandenundlegtbiszum31.märzjedes Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor. (3)DieKontrollstellenerteileneinanderdiefüreineordnungsgemäßeDurchführungdiesesGesetzesnotwendigen Auskünfte.StellteineKontrollstellebeiihrerTätigkeitVerstößegegen 1Satz2Nummer1bis3fest,unterrichtetsie unverzüglich die zuständige Behörde. Soweit eine KontrollstelleimRahmendervonihrdurchgeführtenKontrollenTatsachenfeststellt,dieeinenhinreichendenVerdachtaufVerstößederinSatz2genanntenArtbegründen,dereinenicht vonderkontrollstellekontrolliertenichtöffentlichestelle betrifft,teiltdiekontrollstelledietatsachenunverzüglich derkontrollstellemit,derenkontrollediebetroffenenichtöffentliche Stelle untersteht. (4)DieKontrollstelleunterrichtetdievonihrkontrolliertennichtöffentlichenStellen,dienachLandesrechtfürdie SitzeoderNiederlassungendernichtöffentlichenStellenzuständigen Behörden sowie den Bundesbeauftragten, 1.spätestensdreiMonatevorderbeabsichtigtenEinstellung ihrer Tätigkeit, 2.imFalleeinesAntragsaufEröffnungeinesInsolvenzverfahrens unverzüglich. DieKontrollstelledarf,soweitinsolvenzrechtlicheVorschriftennichtentgegenstehen,ihreTätigkeitersteinstellen,wenn diekontrolledervonihrkontrolliertennichtöffentlichen Stellen durch eine andere Kontrollstelle sichergestellt ist. 7 Pflichten der zuständigen Behörde (1)DieKontrollstellewirdvonderzuständigenBehörde deslandes,indemdiekontrollstelleihretätigkeitausübt, überwacht,indemdiezuständigebehördebeibedarfüberprüfungen der Kontrollstelle veranlasst. Auf Ersuchen erteilendiezuständigenbehördeneinanderdiezurüberwachung derkontrollstellenerforderlichenauskünfte.stelltdiezuständigebehördetatsachenfest,diedieentziehungderzulassungrechtfertigenoderdieaufnahmeoderänderungvon AuflagenzurZulassungerforderlichmachenkönnen,hatsie 1.wennderOrtderzubeanstandendenKontrolltätigkeit unddersitzoderdieniederlassungderkontrollstellein demselbenlandliegen,beimbundesbeauftragtenunter MitteilungdieserTatsachendieEntziehungderZulassungoderdieAufnahmeoderÄnderungvonAuflagen anzuregen oder, 2.wennderOrtderzubeanstandendenKontrolltätigkeit unddersitzoderdieniederlassungderkontrollstellein verschiedenenländernliegen,derzuständigenbehörde deslandes,indemdersitzoderdieniederlassungder Kontrollstelle liegt, die Tatsachen mitzuteilen. ErhältdiezuständigeBehördedesLandes,indemderSitz oderdieniederlassungderkontrollstelleliegt,kenntnisvon TatsachennachSatz3Nummer2,regtsiebeimBundesbeauftragtenunterMitteilungdieserTatsachenan,einVerfahrenzurEntziehungderZulassungoderzurAufnahme oderänderungvonauflageneinzuleiten.imrahmendes 2Absatz1Satz2wirddieTätigkeiteinerKontrollstelle nach Satz 1 durch den Bundesbeauftragten überwacht. (2)ImFalledes 6Absatz3Satz2kanndiezuständige Behördeanordnen,dassvondemVerstoßbetroffeneDatenschutzkonzepteoderinformationstechnischeEinrichtungen nichtmitdemdatenschutzauditsiegelgekennzeichnetwerdendürfen,wenndiesineinemangemessenenverhältniszur BedeutungderVorschrift,gegendieverstoßenwurde,sowie zuartundumständendesverstoßessteht.imfalleeines schwerwiegendenverstoßesodereinesverstoßesmitlangzeitwirkungkanndiezuständigebehördedernichtöffentlichenstellediekennzeichnungfüreinenbestimmtenzeitraum untersagen. 8 Überwachung (1)DienichtöffentlichenStellenunddieKontrollstellen habendenzuständigenbehördenaufverlangendiezur
Drucksache 16/12011 10 Deutscher Bundestag 16. Wahlperiode DurchführungderdenzuständigenBehördendurchdieses GesetzoderaufGrunddiesesGesetzesübertragenenAufgaben erforderlichen Auskünfte zu erteilen. (2)DievonderzuständigenBehördebeauftragtenPersonendürfenBetriebsgrundstückesowieGeschäfts-oderBetriebsräumederAuskunftspflichtigenwährendderGeschäfts-oderBetriebszeitbetretenunddortBesichtigungen vornehmenundgeschäftlicheunterlageneinsehenundprüfen,soweitdieszurdurchführungihreraufgabenerforderlich ist. (3)AuskunftspflichtigehabendieMaßnahmennach Absatz2zudulden,diezubesichtigendenBereicheselbst oderdurchanderesozubezeichnen,dassdiebesichtigung ordnungsgemäßvorgenommenwerdenkann,selbstoder durchanderedieerforderlichehilfebeibesichtigungenzu leistensowiediegeschäftlichenunterlagenzureinsichtnahme und Prüfung vorzulegen. (4)AuskunftspflichtigekönnendieAuskunftaufsolche Fragenverweigern,derenBeantwortungsieodereinenderin 383Absatz1Nummer1bis3derZivilprozessordnungbezeichnetenAngehörigenderGefahrstrafgerichtlicherVerfolgungodereinesVerfahrensnachdemGesetzüberOrdnungswidrigkeitenaussetzenwürde.Auskunftspflichtige sind darauf hinzuweisen. 9 Datenschutzauditsiegel, Verzeichnisse (5)DieAbsätze1bis4geltenentsprechendfürdieKontrollendernichtöffentlichenStellendurchdieKontrollstellen. (1)WereinDatenschutzkonzeptodereineinformationstechnischeEinrichtungmitdemDatenschutzauditsiegel kennzeichnenwill,hatdiesdembundesbeauftragtenvorder erstmaligenverwendungdessiegelsanzuzeigen.derbundesbeauftragtehateinverzeichnisderangezeigtendatenschutzkonzeptesowieinformationstechnischeneinrichtungenmitdenangabennachsatz3zuführenundzumzwecke derinformationderzuständigenbehördenundderbetroffenenaufseinerinternetseitesowieimelektronischenbundesanzeigerzuveröffentlichen.dasverzeichnismussfolgende Angaben enthalten: 1.denNamenunddieAnschriftoderdiedernichtöffentlichenStelledurchdieKontrollstellezugeordnetealphanumerische Identifikationsnummer, 2.denNamenunddieAnschriftoderdieKennnummerder Kontrollstelle, 3.dasangezeigteDatenschutzkonzeptsowiedieinformationstechnische Einrichtung. Weitere Angaben darf das Verzeichnis nicht enthalten. (2)DerBundesbeauftragtehateinVerzeichnisderzugelassenenKontrollstellenmitdenAngabennachSatz2zu führenundzumzweckederinformationderzuständigen BehördenundderBetroffenenaufseinerInternetseitesowie imelektronischenbundesanzeigerzuveröffentlichen.das VerzeichnisenthältdieNamen,AnschriftenundKennnummernderzugelassenenKontrollstellen.WeitereAngaben darf es nicht enthalten. 10 Gebühren und Auslagen (1)FürAmtshandlungennach 2Absatz1Satz2und Absatz2sowie 9Absatz1und2könnenzurDeckungdes VerwaltungsaufwandesGebührenundAuslagenerhoben werden.dasbundesministeriumdesinnernwirdermächtigt, imeinvernehmenmitdembundesministeriumderfinanzen durchrechtsverordnungohnezustimmungdesbundesrates diegebührenpflichtigentatbestände,diegebührensätzesowiedieauslagenerstattungzubestimmenunddabeifeste SätzeoderRahmensätzevorzusehen.InderRechtsverordnungkanndieErstattungvonAuslagenabweichendvom Verwaltungskostengesetz geregelt werden. (2)FürAmtshandlungenderzuständigenBehördennach 7Absatz1Satz1undAbsatz2könnenGebührenund Auslagen nach Maßgabe des Landesrechts erhoben werden. 11 Datenschutzauditausschuss BeimBundesbeauftragtenwirdeinDatenschutzauditausschussgebildet.ErerlässtRichtlinienzurVerbesserungdes Datenschutzes und der Datensicherheit, insbesondere durch 1.TransparenzderDatenerhebung,-verarbeitungund-nutzung, 2.DatenvermeidungundDatensparsamkeitnach 3ades Bundesdatenschutzgesetzes, 3.dieStärkungderorganisatorischenStellungdesBeauftragtenfürdenDatenschutznach 4fAbsatz1Satz1 des Bundesdatenschutzgesetzes, 4.technischeundorganisatorischeMaßnahmennach 9 des Bundesdatenschutzgesetzes. DerBundesbeauftragteveröffentlichtdieRichtlinienaufseiner Internetseite und im elektronischen Bundesanzeiger. (2)DerDatenschutzauditausschussunterrichtetdieÖffentlichkeitjährlichineinemBerichtüberseineTätigkeit underfahrungen,insbesondereüberpraktikabilitätunderforderlicheänderungenerlassenerrichtliniensowieden Bedarf für neue Richtlinien. 12 Mitglieder des Datenschutzauditausschusses (1) Mitglieder des Datenschutzauditausschusses sind 1. zwei Vertreter der Verwaltung des Bundes, 2.zweiVertreterdesBundesamtesfürSicherheitinderInformationstechnik, 3. zwei Vertreter des Bundesbeauftragten, 4. zwei Vertreter der Verwaltung der Länder, 5.vierVertretervonAufsichtsbehördenderLänderfürden Datenschutz im nichtöffentlichen Bereich, 6. sechs Vertreter von Unternehmen oder ihren Verbänden. SieunterliegenkeinenWeisungenundsindehrenamtlichtätig.Die 83und84desVerwaltungsverfahrensgesetzes sind anzuwenden. (2)DieMitgliederdesDatenschutzauditausschussesmüssenübergründlicheFachkenntnisseundmindestensdreijäh-
Deutscher Bundestag 16. Wahlperiode 11 Drucksache 16/12011 rigepraktischeerfahrungenaufdemgebietdesdatenschutzes verfügen. (3)DasBundesministeriumdesInnernberuftdieMitgliederdesDatenschutzauditausschussesundfürjedesMitglied einenstellvertreterfürdiedauervondreijahren,diemitgliedernachabsatz1satz1nummer3bis6aufvorschlag undjeweilsimeinvernehmenmitdembundesbeauftragten, denfürdendatenschutzzuständigenoberstenlandesbehörden,denaufsichtsbehördennach 38desBundesdatenschutzgesetzessowiedenBundesdachverbändenderWirtschaft. (4)ZuSitzungenisteinVertreterderBundesnetzagentur mitberatenderstimmehinzuzuziehen,soweitgegenstand dersitzungeinerichtlinieist,dienichtöffentlichestellen betrifft,dienach 115Absatz4Satz1desTelekommunikationsgesetzesoder 42Absatz3desPostgesetzesder Kontrolle des Bundesbeauftragten unterliegen. 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Datenschutzauditausschusses (1)DerDatenschutzauditausschussgibtsicheineGeschäftsordnung,diederGenehmigungdurchdasBundesministerium des Innern bedarf. (2)DerDatenschutzauditausschusswähltdenVorsitzendenundzweiStellvertreterausseinerMitte.Zuihnenmuss jeweilseinvertreterderunternehmenoderihrerorganisationen,deraufsichtsbehördenfürdendatenschutzundder Verwaltung gehören. (3) Der Datenschutzauditausschuss beschließt 1.inAngelegenheitennach 11Absatz1Satz2mitder MehrheitvonzweiDrittelndergesetzlichenMitglieder und 2.inAngelegenheitenderGeschäftsordnungmitderMehrheit der gesetzlichen Mitglieder. 14 Geschäftsstelle des Datenschutzauditausschusses DerDatenschutzauditausschusswirdbeiderDurchführungseinerAufgabendurcheineGeschäftsstelleunterstützt, diedenweisungendesvorsitzendendesdatenschutzauditausschusses unterliegt. 15 Rechtsaufsicht (1)DerDatenschutzauditausschussunterstehtderAufsichtdesBundesministeriumsdesInnern (Aufsichtsbehörde).DieAufsichterstrecktsichnuraufdieRechtmäßigkeit derausschusstätigkeit,insbesonderedarauf,dassdieaufgabe nach 11 Absatz 1 Satz 2 erfüllt wird. (2)DieAufsichtsbehördekannandenSitzungendesDatenschutzauditausschussesteilnehmen.IhristaufVerlangen daswortzuerteilen.siekannschriftlicheberichteunddie Vorlage von Akten verlangen. (3)Beschlüssenach 11Absatz1Satz2bedürfender GenehmigungdurchdieAufsichtsbehörde.DieAufsichtsbehördekannrechtswidrigeBeschlüssedesDatenschutzauditausschussesbeanstandenundnachvorherigerBeanstandung aufheben.wennderdatenschutzauditausschussbeschlüsse odersonstigehandlungenunterlässt,diezurerfüllungseinergesetzlichenaufgabenerforderlichsind,kanndieaufsichtsbehördeanordnen,dassinnerhalbeinerbestimmten FristdieerforderlichenMaßnahmengetroffenwerden.Die AufsichtsbehördehatdiegefordertenHandlungenimEinzelnenzubezeichnen.SiekannihreAnordnungselbst durchführenodervoneinemanderendurchführenlassen, wenndieanordnungvomdatenschutzauditausschussnicht befolgt worden ist. (4)WenndieAufsichtsmittelnachAbsatz3nichtausreichen,kanndieAufsichtsbehördedenDatenschutzauditausschussauflösen.SiehatnachEintrittderUnanfechtbarkeit derauflösungsanordnungunverzüglichneuemitgliedergemäß 12Absatz3zuberufen.Siebrauchtvorgeschlagene Personennichtzuberücksichtigen,diedemaufgelöstenDatenschutzauditausschuss angehört haben. 16 Verordnungsermächtigungen (1)DieLandesregierungenwerdenermächtigt,durch Rechtsverordnung 1.zugelasseneKontrollstellenmitAufgabennach 2Absatz1Satz1,ausgenommendieAufgabenach 4,zubeleihenodersieanderErfüllungderAufgabenzubeteiligen, 2.dieVoraussetzungenunddasVerfahrenderBeleihung und der Beteiligung zu regeln. DieLandesregierungenkönnendieErmächtigungdurch RechtsverordnungganzoderteilweiseaufandereBehörden des Landes übertragen. (2)DieBundesregierungwirdermächtigt,nachAnhörung desbundesbeauftragtendurchrechtsverordnungohnezustimmung des Bundesrates 1.zugelasseneKontrollstellenmitAufgabennach 2 Absatz1Satz2,ausgenommendieAufgabenach 4,zu beleihenodersieandererfüllungderaufgabenzubeteiligen, 2.dieVoraussetzungenunddasVerfahrenderBeleihung und der Beteiligung zu regeln. (3)DasBundesministeriumdesInnernwirdermächtigt, durchrechtsverordnungmitzustimmungdesbundesrates nähere Regelungen zu treffen über 1.dieEinzelheitenderVerwendungdesDatenschutzauditsiegels,umeineeinheitlicheKennzeichnungundeindeutigeErkennbarkeitderKennzeichnungderDatenschutzkonzepteundinformationstechnischenEinrichtungenzu gewährleisten, 2.dieVoraussetzungenunddasVerfahrenderZulassung nach 4Absatz1bis3sowiedieVoraussetzungenund dasverfahrenderentziehungderzulassungnach 4 Absatz4, 7 Absatz1 Satz3 und 4, 3.dieMindestanforderungenandieKontrollenunddieim Rahmen der Kontrollen vorgesehenen Vorkehrungen, 4. die Gestaltung des Datenschutzauditsiegels, 5. die Anzeige nach 9 Absatz 1 Satz 1.
Drucksache 16/12011 12 Deutscher Bundestag 16. Wahlperiode 17 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer 1.entgegen 6Absatz2einVerzeichnisnicht,nichtrichtig,nichtvollständigodernichtrechtzeitigübermittelt odereinendortgenanntenberichtnicht,nichtrichtig oder nicht rechtzeitig vorlegt, 2.entgegen 6Absatz3Satz2oderAbsatz4Satz1diezuständigeBehörde,einenichtöffentlicheStelleoderden Bundesbeauftragtennicht,nichtrichtig,nichtvollständig oder nicht rechtzeitig unterrichtet, 3.entgegen 6Absatz3Satz3eineMitteilungnicht,nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 4.entgegen 8Absatz1eineAuskunftnicht,nichtrichtig, nicht vollständig oder nicht rechtzeitig erteilt, 5. entgegen 8 Absatz 3 eine Maßnahme nicht duldet oder 6.entgegen 9Absatz1Satz1,auchinVerbindungmit einerrechtsverordnungnach 16Absatz3Nummer5, eineanzeigenicht,nichtrichtig,nichtvollständigoder nicht rechtzeitig erstattet. (2)Ordnungswidrighandelt,wervorsätzlichoderfahrlässigeinervollziehbarenAnordnungnach 7Absatz2Satz2 zuwiderhandelt. (3)DieOrdnungswidrigkeitkannindenFällendes Absatzes2miteinerGeldbußebiszudreihunderttausend Euro,indenübrigenFällenmiteinerGeldbußebiszufünfzigtausendEurogeahndetwerden.DieGeldbußesollden wirtschaftlichenvorteil,dendertäterausderordnungswidrigkeitgezogenhat,übersteigen.reichendieinsatz1genanntenbeträgehierfürnichtaus,könnensieüberschritten werden. 18 Strafvorschriften Wereinein 17Absatz2bezeichnetevorsätzlicheHandlunginderAbsichtbegeht,sichodereinenanderenzubereichernodereinenanderenzuschädigen,wirdmitFreiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 19 Einziehung IsteineOrdnungswidrigkeitnach 17Absatz1oder Absatz2odereineStraftatnach 18begangenworden,könnenGegenstände,aufdiesichdieStraftatoderdieOrdnungswidrigkeitbezieht,undGegenstände,diezuihrerBegehungoderVorbereitunggebrauchtwordenoderbestimmt gewesensind,eingezogenwerden. 23desGesetzesüber Ordnungswidrigkeitenund 74adesStrafgesetzbuchssind anzuwenden. 20 Übergangsvorschrift 1 ist erst ab dem 1. Juli 2010 anzuwenden. Artikel2 Änderung des Bundesdatenschutzgesetzes DasBundesdatenschutzgesetzinderFassungderBekanntmachungvom14.Januar2003 (BGBl.IS.66),zuletzt geändert durch das Gesetz vom, wird wie folgt geändert: 1. Die Inhaltsübersicht wird wie folgt geändert: a)nachderangabezu 9wirddieAngabe 9a Datenschutzaudit gestrichen. b) Die Angabe zu 28 wie folgt gefasst: 28Datenerhebungund-speicherungfüreigene Geschäftszwecke. c)nachderangabezu 42wirdfolgendeAngabeeingefügt: 42aInformationspflichtbeiunrechtmäßigerKenntniserlangung von Daten. d)nachderangabezu 46wirdfolgendeAngabeeingefügt: 47Übergangsregelung. 2. Dem 4f Absatz 3 werden folgende Sätze angefügt: IstnachAbsatz1einBeauftragterfürdenDatenschutz zubestellen,soistdiekündigungdesarbeitsverhältnissesunzulässig,esseidenn,dasstatsachenvorliegen, welchedieverantwortlichestellezurkündigungaus wichtigemgrundohneeinhaltungeinerkündigungsfrist berechtigen.nachderabberufungalsbeauftragterfür dendatenschutzistdiekündigunginnerhalbeinesjahresnachderbeendigungderbestellungunzulässig,essei denn,dassdieverantwortlichestellezurkündigungaus wichtigemgrundohneeinhaltungeinerkündigungsfrist berechtigtist.zurerhaltungderzurerfüllungseiner AufgabenerforderlichenFachkundehatdieverantwortlicheStelledemBeauftragtenfürdenDatenschutzdie TeilnahmeanFort-undWeiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. 3. 9a wird aufgehoben. 4.In 12Absatz4wirddieAngabe 28Abs.1und3 Nr.1 durchdiewörter 28Absatz1und2Nummer2 Buchstabea ersetzt. 5. 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst: 28 Datenerhebung und -speicherung für eigene Geschäftszwecke. b)inabsatz1satz1nummer1werdendiewörter VertragsverhältnissesodervertragsähnlichenVertrauensverhältnisses durchdiewörter rechtsgeschäftlichenoderrechtsgeschäftsähnlichenschuldverhältnisses ersetzt. c) Absatz 2 wird wie folgt gefasst: (2)DieÜbermittlungoderNutzungfüreinenanderen Zweck ist zulässig 1.unterdenVoraussetzungendesAbsatzes1Satz1 Nummer2 oder Nummer3,
Deutscher Bundestag 16. Wahlperiode 13 Drucksache 16/12011 2. soweit es erforderlich ist a)zurwahrungberechtigterinteresseneinesdritten oder b)zurabwehrvongefahrenfürdiestaatliche oderöffentlichesicherheitoderzurverfolgung von Straftaten undkeingrundzuderannahmebesteht,dassder BetroffeneeinschutzwürdigesInteresseandem AusschlussderÜbermittlungoderNutzunghat, oder 3.wennesimInteresseeinerForschungseinrichtung zurdurchführungwissenschaftlicherforschung erforderlichist,daswissenschaftlicheinteressean derdurchführungdesforschungsvorhabensdas InteressedesBetroffenenandemAusschlussder Zweckänderungerheblichüberwiegtundder ZweckderForschungaufandereWeisenichtoder nurmitunverhältnismäßigemaufwanderreicht werden kann. d) Absatz 3 wird wie folgt gefasst: (3)DieVerarbeitungoderNutzungpersonenbezogenerDatenfürZweckedesAdresshandels,derWerbungoderderMarkt-oderMeinungsforschungistzulässig,soweitderBetroffenenachMaßgabedes Absatzes3aeingewilligthat.Darüberhinausistdie VerarbeitungoderNutzungpersonenbezogenerDaten zulässig,soweitessichumlistenmäßigodersonstzusammengefasstedatenüberangehörigeeinerpersonengruppehandelt,diesichaufdiezugehörigkeitdes BetroffenenzudieserPersonengruppe,seineBerufs-, Branchen-oderGeschäftsbezeichnung,seinenNamen,Titel,akademischenGrad,seineAnschriftund seingeburtsjahrbeschränken,unddieverarbeitung oder Nutzung 1.fürZweckederWerbungfüreigeneAngeboteoder dereigenenmarkt-odermeinungsforschungder verantwortlichenstelleerforderlichist,diediese DatenmitAusnahmederAngabezurGruppenzugehörigkeitbeimBetroffenennach 28Absatz1 Satz1 Nummer1 erhoben hat, 2.fürZweckederWerbungoderderMarkt-oder Meinungsforschunggegenüberfreiberuflichoder gewerblichtätigenunterderengeschäftsadresse erforderlich ist oder 3.fürZweckederSpendenwerbungeinerverantwortlichenStelleerforderlichist,wennSpenden andiesegemäß 10bAbsatz1und 34gdesEinkommensteuergesetzes steuerbegünstigt sind. FürZweckenachSatz2Nummer1darfdieverantwortlicheStellezudendortgenanntenDatenweitereDatenhinzuspeichern.DieNutzungpersonenbezogenerDatenfürZweckederWerbungoderder Markt-oderMeinungsforschungistzudemzulässig, soweitsiezusammenmitwerbungodermarkt-oder MeinungsforschungnachSatz2Nummer1odermit derdurchführungeinesrechtsgeschäftlichenoder rechtsgeschäftsähnlichenschuldverhältnissesnach Absatz1Satz1Nummer1erfolgt.EineVerarbeitung odernutzungnachdensätzen2bis4istnurzulässig, soweitschutzwürdigeinteressendesbetroffenen nichtentgegenstehen.nachdensätzen1bis3übermitteltedatendürfennurfürdenzweckverarbeitet odergenutztwerden,fürdensieübermitteltworden sind. e)nachabsatz3werdenfolgendeabsätze3aund3b eingefügt: (3a)WirddieEinwilligungnach 4aAbsatz1 Satz3inandererFormalsderSchriftformerteilt,hat dieverantwortlichestelledembetroffenendeninhalt dereinwilligungschriftlichzubestätigen,esseidenn, dassdieeinwilligungelektronischerklärtwirdund dieverantwortlichestellesicherstellt,dassdieeinwilligungprotokolliertwirdundderbetroffenederen InhaltjederzeitabrufenunddieEinwilligungjederzeit mitwirkungfürdiezukunftwiderrufenkann.eine zusammenmitanderenerklärungenerteilteeinwilligungistnurwirksam,wennderbetroffenedurchankreuzen,durcheinegesonderteunterschriftoder durcheinanderes,ausschließlichaufdieeinwilligung indieverarbeitungodernutzungderdatenfür ZweckedesAdresshandels,derWerbungoderder Markt-oderMeinungsforschungbezogenesTun zweifelsfreizumausdruckbringt,dasserdieeinwilligung bewusst erteilt. (3b)DieverantwortlicheStelledarfdenAbschluss einesvertragsnichtvoneinereinwilligungdesbetroffenennachabsatz3satz1abhängigmachen, wenndembetroffeneneinandererzugangzugleichwertigenvertraglichenleistungenohnedieeinwilligungnichtodernichtinzumutbarerweisemöglich ist. f) Absatz 4 wird wie folgt geändert: aa)insatz1werdendaswort Nutzung jeweils durchdaswort Verarbeitung unddaswort Übermittlung jeweilsdurchdaswort Nutzung ersetzt. bb)insatz2werdennachdemwort Ansprache die Wörter undindenfällendesabsatzes1satz1 Nummer1auchbeidesrechtsgeschäftlichenoderrechtsgeschäftsähnlichen Schuldverhältnisses eingefügt. cc) Satz 3 wird wie folgt geändert: aaa)nachdemwort Daten werdendiewörter im Rahmen der Zwecke eingefügt. bbb)daswort werden wirddurchdiewörter worden sind ersetzt. dd)folgender Satzwird angefügt: IndenFällendesAbsatzes1Satz1Nummer1 darffürdenwiderspruchkeinestrengereform verlangtwerdenalsfürdiedes rechtsgeschäftlichenoderrechtsgeschäftsähnlichen Schuldverhältnisses. g)inabsatz9satz4wirddieangabe Abs.3Nr.2 durchdiewörter Absatz2Nummer2Buchstabeb ersetzt.
Drucksache 16/12011 14 Deutscher Bundestag 16. Wahlperiode 6. 29 wird wie folgt geändert: a) Absatz 1 wird wie folgt geändert: aa)insatz1wirdnachdemwort Markt- daswort und durch das Wort oder ersetzt. bb)insatz2werdendiewörter 28Abs.1Satz2 durchdiewörter 28Absatz1Satz1und Absatz 3 bis 3b ersetzt. b) Absatz 2 wird wie folgt geändert: aa) Satz 1 Nummer 1 wird wie folgt gefasst: 1.derDritte,demdieDatenübermitteltwerden,einberechtigtesInteresseanihrer Kenntnis glaubhaft dargelegt hat und. bb)insatz2werdendiewörter 28Abs.3Satz2 durch die Wörter 28 Absatz 3 bis 3b ersetzt. cc)insatz3wirdnachderangabe Nummer1 die Angabe Buchstabe a gestrichen. 7.In 33Absatz2Satz1Nummer8Buchstabebwerden diewörter 29Abs.2Nr.1Buchstabeb durchdie Wörter 29 Absatz2 Satz2 ersetzt. 8. Nach 42 wird folgender 42a eingefügt: 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten StellteinenichtöffentlicheStelleimSinnedes 2 Absatz4odereineöffentlicheStellenach 27Absatz1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1.besondereArtenpersonenbezogenerDaten ( 3 Absatz9), 2.personenbezogeneDaten,dieeinemBerufsgeheimnis unterliegen, 3.personenbezogeneDaten,diesichaufstrafbareHandlungenoderOrdnungswidrigkeitenoderdenVerdacht strafbarerhandlungenoderordnungswidrigkeiten beziehen, oder 4.personenbezogeneDatenzuBank-oderKreditkartenkonten unrechtmäßigübermitteltoderaufsonstigeweisedritten unrechtmäßigzurkenntnisgelangtsindunddrohen schwerwiegendebeeinträchtigungenfürdierechteoder schutzwürdigeninteressenderbetroffenen,hatsiedies nachdensätzen2bis5unverzüglichderzuständigen AufsichtsbehördesowiedenBetroffenenmitzuteilen. DieBenachrichtigungdesBetroffenenmussunverzüglicherfolgen,sobaldangemesseneMaßnahmenzur SicherungderDatenergriffenwordenodernichtunverzüglicherfolgtsindunddieStrafverfolgungnichtmehr gefährdetwird.diebenachrichtigungderbetroffenen musseinedarlegungderartderunrechtmäßigenkenntniserlangungundempfehlungenfürmaßnahmenzur MinderungmöglichernachteiligerFolgenenthalten.Die BenachrichtigungderzuständigenAufsichtsbehörde musszusätzlicheinedarlegungmöglichernachteiliger FolgenderunrechtmäßigenKenntniserlangungundder vonderstelledaraufhinergriffenenmaßnahmenenthalten.soweitdiebenachrichtigungderbetroffeneneinen unverhältnismäßigenaufwanderfordernwürde,insbesondereaufgrunddervielzahlderbetroffenenfälle,tritt anihrestelledieinformationderöffentlichkeitdurch Anzeigen,diemindestenseinehalbeSeiteumfassen,in mindestenszweibundesweiterscheinendentageszeitungen.einebenachrichtigung,diederbenachrichtigungspflichtigeerteilthat,darfineinemstrafverfahrenoderin einemverfahrennachdemgesetzüberordnungswidrigkeitengegenihnodereinenin 52Absatz1derStrafprozessordnungbezeichnetenAngehörigendesBenachrichtigungspflichtigennurmitZustimmungdesBenachrichtigungspflichtigen verwendet werden. 9. 43 wird wie folgt geändert: a) Absatz 1 wird wie folgt geändert: aa)nachnummer2werdenfolgendenummern2a und 2b eingefügt: 2a.entgegen 10Absatz4Satz3nichtgewährleistet,dassdieDatenübermittlung festgestellt und überprüft werden kann, 2b.entgegen 11Absatz2Satz2einenAuftragnicht,nichtrichtig,nichtvollständig odernichtindervorgeschriebenenweise erteilt,. bb)nachnummer3wirdfolgendenummer3aeingefügt: 3a.entgegen 28Absatz4Satz4einestrengere Form verlangt,. b) Absatz 2 wird wie folgt geändert: aa)innummer5werdendiewörter,indemersie andritteweitergibt undamendedaswort oder gestrichen. bb)folgende Nummer5a wird angefügt: 5a.entgegen 28Absatz4Satz1Datenfür ZweckederWerbungoderderMarkt-oder Meinungsforschungverarbeitetodernutzt,. cc)innummer6wirdderpunktamendedurchdas Wort oder ersetzt. dd)folgende Nummer7 wird angefügt: 7.entgegen 42aSatz1eineMitteilungnicht, nichtrichtig,nichtvollständigodernicht rechtzeitig macht. c) Absatz 3 wird wie folgt geändert: aa)daswort fünfundzwanzigtausend wirddurch daswort fünfzigtausend unddaswort zweihundertfünfzigtausend wirddurchdaswort dreihunderttausend ersetzt. bb) Nach Satz 1 werden folgende Sätze eingefügt: DieGeldbußesolldenwirtschaftlichenVorteil, dendertäterausderordnungswidrigkeitgezogenhat,übersteigen.reichendieinsatz1genanntenbeträgehierfürnichtaus,sokönnensie überschritten werden.
Deutscher Bundestag 16. Wahlperiode 15 Drucksache 16/12011 10. Nach 46 wird folgender 47 eingefügt: 47 Übergangsregelung FürdieVerarbeitungundNutzungvordem1.Juli 2009erhobenerDatenist 28inderbisdahingeltenden Fassung bis zum 1. Juli 2012 weiter anzuwenden. Artikel3 Änderung des Telemediengesetzes * DasTelemediengesetzvom26.Februar2007 (BGBl.I S. 179) wird wie folgt geändert: 1.In 11Absatz3werdendieWörter 12Abs.3, 15 Abs.8und 16Abs.2Nr.2und5 durchdiewörter 15 Absatz8 und 16 Absatz2 Nummer4 ersetzt. 2. 12 wird wie folgt geändert: a)absatz3 wird aufgehoben. b) Der bisherige Absatz 4 wird Absatz 3. 3. Nach 15 wird folgender 15a eingefügt: 15a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten StelltderDiensteanbieterfest,dassbeiihmgespeicherteBestands-oderNutzungsdatenunrechtmäßig übermitteltwordenoderaufsonstigeweisedrittenzur Kenntnisgelangtsind,unddrohenschwerwiegendeBeeinträchtigungenfürdieRechteoderschutzwürdigenInteressendesbetroffenenNutzers,gilt 42adesBundesdatenschutzgesetzes entsprechend. *DieVerpflichtungenausderRichtlinie98/34/EGdesEuropäischen ParlamentsunddesRatesvom22.Juni1998übereinInformationsverfahrenaufdemGebietderNormenundtechnischenVorschriften unddervorschriftenfürdiedienstederinformationsgesellschaft (ABl.L204vom21.7.1998,S.37),diezuletztdurchdieRichtlinie 2006/96/EGvom20.November2006 (ABl.L363vom20.12.2006, S. 82) geändert worden ist, sind beachtet worden. 4. 16 Absatz 2 wird wie folgt geändert: a)nummer2 wird aufgehoben. b)diebisherigennummern3bis6werdendienummern 2 bis 5. Artikel4 Änderung des Telekommunikationsgesetzes DasTelekommunikationsgesetzvom22.Juni2004 (BGBl.IS.1190),zuletztgeändertdurch,wirdwiefolgt geändert: 1. Dem 93 wird folgender Absatz 3 angefügt: (3)StelltderDiensteanbieterfest,dassbeiihmgespeicherteBestandsdatenoderVerkehrsdatenunrechtmäßigübermitteltwordenoderaufsonstigeWeiseDritten zurkenntnisgelangtsind,unddrohenschwerwiegende BeeinträchtigungenfürdieRechteoderschutzwürdigen InteressendesbetroffenenNutzers,gilt 42adesBundesdatenschutzgesetzes entsprechend. 2.In 95Absatz5werdennachdemWort Telekommunikationsdiensten diewörter ohnedieeinwilligung eingefügt. Artikel5 Bekanntmachungserlaubnis DasBundesministeriumdesInnernkanndenWortlautdes Bundesdatenschutzgesetzesindervom1.Juli2009angeltenden Fassung im Bundesgesetzblatt bekannt machen. Artikel6 Inkrafttreten (1)DiesesGesetztrittvorbehaltlichdesAbsatzes2am Tag nach der Verkündung in Kraft. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
Drucksache 16/12011 16 Deutscher Bundestag 16. Wahlperiode A. Allgemeiner Teil I. Ziel und Inhalt des Entwurfs InderjüngerenVergangenheitsindzunehmendFälledesunberechtigtenHandelsmitpersonenbezogenenDatenbekannt geworden.dieherkunftderdatenistgrößtenteilsnicht nachvollziehbar.derbisherigeerlaubnistatbestanddes 28 Absatz3Satz1Nummer3desBundesdatenschutzgesetzes hatsichdabeifürdieherstellungdernotwendigentransparenzalsbesondersnachteiligerwiesen.danachdürfenbestimmtepersonenbezogenedaten,wennsielistenmäßig odersonstzusammengefasstsind,fürzweckederwerbung oderdermarkt-odermeinungsforschung,ohneeinwilligungderbetroffenenübermitteltodergenutztwerden.die praktischeanwendungdieservorschrifthatdazugeführt, dasspersonenbezogenedatenderbürgerinnenundbürger weitläufigzumerwerboderzurnutzungangebotenwerden, ohneinjedemfalldieindervorschriftangelegtenanforderungenzubeachten.personenbezogenedatenwerdenohne BeachtungderZweckbindungverarbeitetundmitweiteren Datenverknüpftundweiterübermittelt.Zudemhatsichdas VerhältnisderBürgerinnenundBürgerzurWerbungund Markt-oderMeinungsforschungseitderEinführungder VorschriftimBundesdatenschutzgesetzvon1977gewandelt.DiegezielteAnsprachezumZweckederWerbungoder Markt-oderMeinungsforschungwirdvondenBürgerinnen undbürgernzunehmendalsbelastungempfundenundist mitdemwunschnachmehrselbstbestimmungverbunden. ZudemhabendieöffentlichbekanntgewordenenVorkommnissedeutlichgemacht,dassfüreineeffektivereDurchsetzungderbestehendengesetzlichenRegelungenzumDatenschutzdieStellungderbetrieblichenBeauftragtenfürden DatenschutzgestärktwerdenmussunddieBußgeldtatbeständeerweitertwerdenmüssen,umzueinemwirksamen VorgehenderAufsichtsbehördenbeizutragen.DievorgeschlagenenÄnderungenresultiereninweitenBereichenaus denerfahrungenderländerimbereichderaufsichtspraxis. DieRegelungenzurNeugestaltungdes 28Absatz3des BundesdatenschutzgesetzesfindenunabhängigvonderUnternehmensgrößeAnwendung,jedochzieleninsbesondere dievorgeschlagenengesetzlichenerlaubnistatbeständein 28Absatz3Satz2Nummer2undSatz4aufeineEntlastung spezialisierter kleinerer und mittlerer Unternehmen. DasDatenschutzauditgesetzbietetUnternehmendieMöglichkeit,sichauffreiwilligerBasiseinemDatenschutzaudit zuunterziehenundhierfürineinkontrollsystemeinbeziehenzulassen.erfüllteindatenschutzkonzeptodereine informationstechnischeeinrichtungvoneinemdatenschutzauditausschussbeimbundesbeauftragtenfürdendatenschutzunddieinformationsfreiheitfestgelegterichtlinien zurverbesserungdesdatenschutzesundderdatensicherheit undlassendieunternehmendiesineinemformalisierten VerfahrendurchKontrollstellenregelmäßigüberprüfen, könnensiedasdatenschutzkonzeptoderdieinformationstechnischeeinrichtungmiteinemdatenschutzauditsiegelkennzeichnen.aufdieseweisekönnenunternehmen einenvorteilgegenüberwettbewerbernerzielen,diesich keinemdatenschutzauditunterziehen.verbraucherkönnen gekennzeichnetedatenschutzkonzepteoderinformationstechnischeeinrichtungenandemdatenschutzauditsiegel erkennenundbeiderentscheidungzwischenmehrerenanbieternberücksichtigen.anstrengungen,dieüberdiegesetzlichenanforderungeninbezugaufdendatenschutzhinausgehen,könnenfürunternehmeneinenwirtschaftlichen Mehrwertdarstellen.ZugleichwirdbeidenVerbrauchern BewusstseinfürdieDatenschutzrelevanzeinesProduktes oder einer Dienstleistung geschaffen und gefördert. II.Gesetzgebungskompetenz DieGesetzgebungskompetenzdesBundesfolgtfürRegelungendesDatenschutzesalsAnnexausderKompetenzfür die geregelte Sachmaterie. EinemDatenschutzauditnachArtikel1könnensichprivate Unternehmenunddiesengleichgestellteöffentlich-rechtlicheWettbewerbsunternehmenunterziehen.Betroffene SachmaterieistdaherganzüberwiegenddasRechtderWirtschaft (Artikel74Absatz1Nummer11desGrundgesetzes). DieBerechtigungdesBundeszurInanspruchnahmederGesetzgebungskompetenzergibtsichausArtikel72Absatz2 Grundgesetz.EinebundesgesetzlicheRegelungüberein DatenschutzauditistzurWahrungderWirtschaftseinheitim BundesgebietimgesamtstaatlichenInteresseerforderlich. EineunterschiedlicheRegelungdieserMateriedurchden LandesgesetzgeberoderseinUntätigbleibenwürdezuerheblichenNachteilenfürdieGesamtwirtschaftführen,die sowohliminteressedesbundesalsauchderländernicht hingenommenwerdenkönnen.insbesonderewärezubefürchten,dassunterschiedlichelandesrechtlichebehandlungengleicherlebenssachverhalteerheblichewettbewerbsverzerrungenundstörendeschrankenfürdieländerübergreifendewirtschaftstätigkeitzurfolgehätten.dieswäre etwaderfall,wenndatenschutzauditsiegelindenländern anhandunterschiedlicherverfahrenvergebenwürden.die landesrechtlichunterschiedlicheausgestaltungdeskontrollverfahrensunddesverfahrensfürdiezulassungder KontrollstellenwürdeabweichendeMaßstäbebeiderPrüfungundBewertungnachsichziehen.Unternehmen,die länderübergreifendoderbundesweitagieren,müsstensich fürgleichbleibendeauditgegenständeunterschiedlichen VerfahrenundKontrollendurchwechselndePersonenunterziehenmitderGefahrabweichenderErgebnisse.Ineinem LandauditierteundmiteinemDatenschutzauditsiegelgekennzeichneteDatenschutzkonzepteoderinformationstechnischeEinrichtungenunterlägenindeneinzelnenLändern unterschiedlichenbedingungen.dieswürdedieverwendbarkeitfürdiebetroffenenunternehmennachhaltigbeeinträchtigen.unterschiedlichelandesregelungenzumdatenschutzauditverfahrenwürdenzueinergesamtstaatlichbedenklichenverlagerungderwirtschaftlichenaktivitätenin wenigerkontrollintensiveländerführen.unterlägeeindatenschutzkonzeptodereineinformationstechnischeeinrichtunginländernverschärftenkontrollmaßnahmen,kämees unterumständendortnichtzumeinsatz.dieshätteauch FolgenfürVerbraucherinnenundVerbraucher,dieinsolchen LändernaufauditierteVerfahrenundProduktenichtzurück-
Deutscher Bundestag 16. Wahlperiode 17 Drucksache 16/12011 greifenkönnten.auchunterschiedlichelandesregelungen inbezugaufdenkreisderindiekontrolleneinbezogenen AuditgegenständebergenGefahrenfürdieSicherheitund VerlässlichkeitdesgesamtenKontrollverfahrens.EinlandesrechtlichunterschiedlichesKontrollniveauwäredenVerbraucherinnenundVerbrauchernauchnichtzuvermitteln. DasVertrauenderVerbraucherinDatenschutzauditsiegel wäreinsgesamterschüttert.auchfürdiefestlegungdervon denkontrollstellenzuerfüllendenaufzeichnungs-undmeldepflichtenisteinebundesgesetzlicheregelungimgesamtstaatlicheninteressenotwendig.imfallelandesrechtlichunterschiedlichgeregelterpflichtenderkontrollstellenbestündediegefahr,dassdiefürdieaufklärungvonverstößen wichtigengegenseitigenunterrichtungen,diegeradeauch einschnellestätigwerdenderzuständigenbehördenermöglichensollen,insleereliefen.nurdurcheinebundesgesetzlicheregelungkannsichergestelltwerden,dassfürden WirtschaftsstandortDeutschlandeinheitlicherechtliche RahmenbedingungenimHinblickaufdieVerwendungdes Datenschutzauditsiegelsgegebensind.SinndesDatenschutzauditsiegelsistesgerade,durchseineeinheitliche AusgestaltungdieVerbraucherinnenundVerbraucherüber diezurverbesserungdesdatenschutzesbeitragendegestaltungzuinformierenundhinsichtlichdiesergestaltungfür dasgesamtebundesgebieteinheitlichestandardszusetzen. EinebundesgesetzlicheRegelungistfernererforderlich,um einheitlicherechtlicherahmenbedingungenimhinblickauf denschutzderverbraucherinnenundverbraucherdurch Sanktionen bei Verstößen zu gewährleisten. BetroffeneSachmateriendesArtikels2sindvorwiegenddas BürgerlicheRecht (Artikel74Absatz1Nummer1des Grundgesetzes),dasRechtderWirtschaft (Artikel74 Absatz1Nummer11desGrundgesetzes)unddasArbeitsrecht (Artikel74Absatz1Nummer12desGrundgesetzes). SoweitdiekonkurrierendeGesetzgebungskompetenzdes BundesgemäßArtikel74Absatz1Nummer11desGrundgesetzesinAnspruchgenommenwird,bestehtdieErforderlichkeiteinerbundesgesetzlichenRegelunggemäßArtikel72Absatz2desGrundgesetzes.Einebundeseinheitliche RegelungdergesetzlichenErlaubnistatbeständefürdieVerarbeitungundNutzungpersonenbezogenerDatenzumZweckedesAdresshandelsundderWerbung,Markt-oder Meinungsforschung,desKündigungsschutzesderBeauftragtenfürdenDatenschutzundeinerInformationspflicht vonunternehmenbeieinerunbefugtenkenntniserlangung sensiblerdatendurchdritteistzurwahrungderwirtschaftseinheitimbundesgebietimgesamtstaatlicheninteresseerforderlich.eineunterschiedlicheoderausbleibende RegelungdieserMateriendurchdenLandesgesetzgeber würdezuerheblichennachteilenfürdiegesamtwirtschaft führen,diesowohliminteressedesbundesalsauchderländernichthingenommenwerdenkann.insbesonderewärezu befürchten,dassunterschiedlichelandesrechtlichebehandlungengleicherlebenssachverhalteerheblichewettbewerbsverzerrungenundstörendeschrankenfürdieländerübergreifendewirtschaftstätigkeitzurfolgehätten.bei unterschiedlichenregelungendurchdieländerbestünde diegefahr,dasseinigeunternehmenweiterhinpersonenbezogenedatenohneeinwilligungderbetroffenenzumzweckederwerbung,markt-odermeinungsforschungfürdritte verarbeitenundnutzenkönnen,einenbeauftragtenfürden DatenschutzausGründen,dienichtaufseinAmtbezogen sind,kündigenkönnenoderbeieinerunbefugtenkenntniserlangungsensiblerdatendurchdrittedieaufsichtsbehördenunddiebetroffenennichtbenachrichtigenmüssen.anderenunternehmeninanderenländernbliebediese Möglichkeitverwehrtbzw.siewärenzurBenachrichtigung verpflichtet,obwohlessichumdiegleichenpersonenbezogenendatenhandelt,diegleichenbetrieblichenvoraussetzungenbestehenoderdieselbeunbefugtekenntniserlangungsensiblerdatendurchdritteerfolgtist.esentstünden fürletzteregravierendewettbewerbsverzerrendeänderungen,denendieerstgenanntenunternehmennichtausgesetzt wären.zudemkönnendiebestehendenregelungendes BundesdatenschutzgesetzesnurdurcheinBundesgesetzgeändert werden. BetroffeneSachmateriederArtikel3und4istdasRechtder Wirtschaft (Artikel74Absatz1Nummer11desGrundgesetzes).EsbestehtdieErforderlichkeiteinerbundesgesetzlichenRegelunggemäßArtikel72Absatz2Grundgesetz. EinebundeseinheitlicheRegelungderInformationspflicht beiunbefugterkenntniserlangungsensiblerdatenunddes KopplungsverbotsimTelemedien-undTelekommunikationsgesetzistzurWahrungderWirtschaftseinheitimBundesgebietimgesamtstaatlichenInteresseerforderlich.Die bestehendenregelungendestelemedien-undtelekommunikationsgesetzeskönnennurdurcheinbundesgesetzgeändertwerden.eineausbleibenderegelungwürdezuerheblichennachteilenfürdiegesamtwirtschaftführen,dieim InteressedesBundesnichthingenommenwerdenkönnen. Insbesonderewärezubefürchten,dassdieunterschiedliche BehandlunggleicherLebenssachverhaltezuerheblichen Wettbewerbsverzerrungenführt.Unternehmen,diedem Telemedien-oderTelekommunikationsgesetzunterliegen, müsstenbeieinerunbefugtenkenntniserlangungsensibler DatendurchDrittedieAufsichtsbehördenunddieBetroffenennichtbenachrichtigenundunterlägeneinemgegenüber derregelungimbundesdatenschutzgesetzeingeschränktem Kopplungsverbot.AndereUnternehmenbliebenzurBenachrichtigungverpflichtet,obwohlessichumvergleichbar sensiblepersonenbezogenedatenhandelt,unddürfteningeringeremumfangkopplungenvornehmen.esentstünden fürdiesedadurchgravierendewettbewerbsverzerrendeänderungen,denendieunternehmen,diedemtelemedienodertelekommunikationsgesetzunterliegen,nichtausgesetzt wären. III. Vereinbarkeit mit dem Recht der Europäischen Union DerGesetzentwurfistmitdemRechtderEuropäischen Unionvereinbar.ErstehtinsbesonderenichtimWiderspruch zudenregelungenderrichtlinie95/46/eg (EG-Datenschutzrichtlinie). BeieinemDatenschutzauditnachdemGesetzentwurfwerdenDatenschutzkonzepteoderinformationstechnischeEinrichtungenanhandvonRichtlinienzurVerbesserungdes DatenschutzesundderDatensicherheitüberprüft,dieüber dievorschriftenhinausgehen,diedievorgabendereg- Datenschutzrichtlinieenthält.DerGesetzentwurffördert dahermittelbardietatsächlichedurchsetzungdieserregelungen.
Drucksache 16/12011 18 Deutscher Bundestag 16. Wahlperiode DieStärkungderUnabhängigkeitdesBeauftragtenfürden DatenschutzdurcheinenerweitertenKündigungsschutzund dieermöglichungderfortbildungförderndievorgabein Artikel18Absatz2Spiegelstrich3derRichtlinie.Danach sehendiemitgliedstaateneine unabhängigeüberwachung deranwendungderzurumsetzungderrichtlinieerlassenen einzelstaatlichenbestimmungendurchdenbeauftragtenfür dendatenschutzvor.diestärkungdereinwilligungunddie BeschränkungdergesetzlichenErlaubniszurVerarbeitung undnutzungpersonenbezogenerdatenzunichtausschließlicheigenenzweckenderwerbung,markt-odermeinungsforschungstehtimeinklangmitdenregelungenderrichtlinieundwirdinsbesonderedenausartikel2buchstabeh, Artikel7BuchstabeaundArtikel14Satz1Buchstabebder Richtlinie abzuleitenden Zielen gerecht. IV. Finanzielle Auswirkungen auf die öffentlichen Haushalte DasGesetzbewirktkeineHaushaltsausgabenohneVollzugsaufwand. InBezugaufdasDatenschutzauditgesetzentstehtbeidenzuständigenBehördenderLänderVollzugsaufwand.Siehaben diezugelassenenkontrollstellen,diedaskontrollverfahren durchführen,zuüberwachenundverstößedembundesbeauftragtenfürdendatenschutzunddieinformationsfreiheitmitzuteilen.bestimmtehoheitlichemaßnahmensind ihnenvorbehalten.diekostenfürdieeinzelnenamtshandlungenderzuständigenbehördenkönnenvombundundden LänderndurchKostenordnungenaufdieAntragstellerabgewälzt werden. VollzugsaufwandentstehtdurchdieBildungeinesDatenschutzauditausschussesmitVertreternausBund,Ländern undderwirtschaftnebstgeschäftsstellebeimbundesbeauftragtenfürdendatenschutzunddieinformationsfreiheit. Die Tätigkeit der Vertreter erfolgt ehrenamtlich. WeitererVollzugsaufwandentstehtbeimBundesbeauftragtenfürdenDatenschutzunddieInformationsfreiheitin einemteilbereichdurchdieüberwachungderkontrollstellen;fernerdurchdiezulassungunddieentziehungderzulassunggegenüberdenkontrollstellenunddieführung einesregistersderangezeigtendatenschutzkonzepteund informationstechnischeneinrichtungensowiederzugelassenen Kontrollstellen. FürdenVollzugsaufwandbeimBundesbeauftragtenfürden DatenschutzunddieInformationsfreiheitkönneninAbhängigkeitvonderZahlderKontrollstellenbiszu15zusätzliche StellensowiejährlichHaushaltsmittelinHöhevonrd. 1,2Mio.EurofürPersonal-undSachausgabenbenötigt werden.überdieausbringungundfinanzierungdieser Personal-undSachausgabenistimHaushaltsaufstellungsverfahren 2010 zu entscheiden. V.Kosten KostenfürdieWirtschaftentstehen,soweitnachAblaufder ÜbergangsvorschriftkünftigeineEinwilligungderBetroffeneneinzuholenist,umderenpersonenbezogeneDatenfür ZweckederWerbung,Markt-oderMeinungsforschungzu verarbeitenundzunutzen.fernerkönnenkostenfürdie Wirtschaftentstehen,soweitdiesekünftigverpflichtetsind, beiunrechtmäßigerkenntniserlangungbestimmterdaten durchdrittedieaufsichtsbehördenunddiebetroffenen bzw. ersatzweise die Öffentlichkeit zu benachrichtigen. KostenfürdieWirtschaftkönnennachMaßgabevonggf. vondenländernunddembundzuerlassendenkostenordnungenentstehen,durchdiediekostenfürdieeinzelnen AuditverfahrenaufdieAntragstellerabgewälztwerdenkönnen.DesWeiterenwirddieDurchführungdesAudits (SammelnundZurverfügungstellenvonInformationen,ggf.erforderlicheNachbesserungenamGegenstanddesAudits) KostenbeidenkontrolliertenStellenverursachen.DieHöhe dieserkostenlässtsichzumgegenwärtigenzeitpunktnicht näherbeziffern,dadiekonkreteausgestaltungdesverfahrenseinernochzuerlassendenrechtsverordnungvorbehaltenistunddierichtlinienzurverbesserungdesdatenschutzesundderdatensicherheitalsmaßstabderprüfungvon einemnochzuerrichtendendatenschutzauditausschusszu beschließensind.kostenentstehenbeidenstellen,diesich beimbundesbeauftragtenfürdendatenschutzunddieinformationsfreiheitalskontrollstellenzulassenundimrahmen deskontrollsystemsgegenangemessenevergütungkontrollendurchführenunddabeivondenzuständigenbehörden der Länder überwacht werden. ZusätzlicheKostenfürBürgerinnenundBürgersindnichtzu erwarten. ZusätzlicheKostenfürdieVerwaltungentstehennicht.AuswirkungenaufEinzelpreiseunddasallgemeinePreisniveau, insbesondereaufdasverbraucherpreisniveau,sindnichtzu erwarten. VI.Auswirkungen 1. Bürokratiebelastungen für die Wirtschaft FürdieWirtschaftwerden15Informationspflichtenneueingeführt und eine Informationspflicht geändert. GeändertwirddieInformationspflichtin 28Absatz3des Bundesdatenschutzgesetzes.HierwirdpartielldiegesetzlicheErlaubnismitderMöglichkeitdesWiderspruchs ( 28 Absatz4Satz1desBundesdatenschutzgesetzes)umgestellt aufeineeinwilligung.damitentfälltindiesenfällendie HinweispflichtbeiderVerwendungderDatenzuGunsteneinerEinwilligungvonihrerWeitergabe.DurchdieseÄnderungentstehenBürokratiekostenvon9,65Mio.Euro.Der BetragerrechnetsichbeieinerFallzahlvon30Millionen Kundenbeziehungen,indenenderVertragspartnerdiese Einwilligunganstrebt (insbesondereverträgeimversandhandel 13,5Millionen,Telekommunikation 13,5Millionen,übrigeGebiete 3MillionenFälle),einerBearbeitungszeitvoneinerMinuteproFallundeinemStundensatzvon 19,30Euro.DieBearbeitungszeitdürfteinderVielzahlder FällebeieinerelektronischenAbwicklungdeutlichgeringer sein.dieangenommeneminutebeinhaltetdaherauchaufwandzurschulungvonmitarbeiternundzurumstellung von Webseiten. DurchdieübrigenneueingeführtenInformationspflichten entstehen insgesamt Bürokratiekosten von 493 761 Euro. DurchdieÄnderungdes 28Absatz4Satz2desBundesdatenschutzgesetzeswerdennichtöffentlicheStellenverpflichtet,BetroffeneüberdieverantwortlicheStelleunddas
Deutscher Bundestag 16. Wahlperiode 19 Drucksache 16/12011 WiderspruchsrechtindenFällendes 28Absatz1Satz1 Nummer1auchbeidesrechtsgeschäftlichen oderrechtsgeschäftsähnlichenschuldverhältnisseszuunterrichten. 42adesBundesdatenschutzgesetzesverpflichtet nichtöffentlichestellen,dieaufsichtsbehördeunddiebetroffenenunverzüglichzubenachrichtigen,wennbestimmte sensibledatenunrechtmäßigdrittenzurkenntnisgelangt sindundschwerwiegendebeeinträchtigungenfürdierechte oderschutzwürdigeninteressenderbetroffenendrohen.soweitdiebenachrichtigungderbetroffeneneinenunverhältnismäßigenaufwanderfordernwürde,insbesondereaufgrunddervielzahlderbetroffenenfälle,trittanihrestelle dieinformationandieöffentlichkeitdurchanzeigen,die mindestenseinehalbezeitungsseiteumfassen,inmindestens zwei bundesweit erscheinenden Tageszeitungen. DasDatenschutzauditgesetzenthältfürdieWirtschaftfolgende neue Informationspflichten: EineKontrollstellehatihreZulassungzubeantragen ( 4 Absatz1)undkanndieseaufeinzelneLänderbeschränken ( 4Absatz2Satz2).AufAntragderKontrollstellekann ihreineausnahmevondereinbeziehungvoneinemdatenschutzkonzeptodereinerinformationstechnischeneinrichtunginihrekontrollengewährtwerden ( 6Absatz1 Satz2).JährlichhatdieKontrollstelledenzuständigen BehördeneinVerzeichnisdernichtöffentlichenStellen,die am31.dezemberdesvorjahresihrerkontrolleunterstandenundbiszum31.märzjedesjahreseinenberichtüber ihretätigkeitimvorjahrvorzulegen ( 6Absatz2).Die KontrollstellenerteileneinanderdiefüreineordnungsgemäßeDurchführungdiesesGesetzesnotwendigenAuskünfte ( 6Absatz3Satz1).StellteineKontrollstelleUnregelmäßigkeitenoderVerstößefest,unterrichtetsieunverzüglichdiezuständigeBehörde ( 6Absatz3Satz2). SoweiteineKontrollstelleimRahmendervonihrdurchgeführtenKontrollenTatsachenfeststellt,dieeinenhinreichendenVerdachtaufVerstößederinSatz2genanntenArt begründen,dereinenichtvonderkontrollstellekontrolliertenichtöffentlichestellebetrifft,teiltdiekontrollstelle dietatsachenunverzüglichderkontrollstellemit,deren KontrollediebetroffenenichtöffentlicheStelleuntersteht ( 6Absatz3Satz3).DieKontrollstelleunterrichtetdievon ihrkontrolliertennichtöffentlichenstellen,diezuständigen BehördensowiedenBundesbeauftragtenfürdenDatenschutzunddieInformationsfreiheit,bevorsieihreTätigkeit einstellt,oderimfalleeinesantragsauferöffnungdes Insolvenzverfahrens ( 6Absatz4Satz1).DienichtöffentlichenStellensowiedieKontrollstellenhabendenzuständigenBehördenaufVerlangenAuskünftezuerteilen ( 8 Absatz1).AufihrAussageverweigerungsrechtsindsiehinzuweisen ( 8Absatz4Satz2).VordererstmaligenVerwendungdesDatenschutzauditsiegelsistdasDatenschutzkonzeptoderdieinformationstechnischeEinrichtungdem BundesbeauftragtenfürdenDatenschutzunddieInformationsfreiheit anzuzeigen ( 9 Absatz 1 Satz 1). DieSummederzuerwartendenBelastungenfürdieWirtschaft beträgt insgesamt 10,14 Mio. Euro. DiefürdieWirtschaftentstehendenKostensindhinnehmbar,weildasDatenschutzauditfreiwilligistundesdieUnternehmendahervoneinerWirtschaftlichkeitsbetrachtung abhängigmachenkönnen,obsiesicheinemauditmitden damitggf.einhergehendenbürokratiekostenunterziehen. SoferneinUnternehmensichentscheidet,alsKontrollstelle Kontrollendurchzuführen,erfolgtdiesgegenangemessene Vergütung.DiedurchdieBenennungderVertreterfürden DatenschutzauditausschussunddasErzieleneinesEinvernehmensüberderenPersonverursachtenKostenfallennicht insgewichtundwerdendurchdiemitwirkungandererarbeitungdesprüfmaßstabsdesdatenschutzauditverfahrens aufgewogen. 2. Bürokratiebelastungen für die Bürgerinnen und Bürger FürdieBürgerinnenundBürgerwirdkeineInformationspflicht neu eingeführt, geändert oder abgeschafft. 3. Bürokratiebelastungen für die Verwaltung FürdieVerwaltungwerdenzwölfInformationspflichtenneu eingeführtundkeineinformationspflichtengeändertoder abgeschafft. Diese Informationspflichten sind im Einzelnen: 7Absatz1Satz2 Datenschutzauditgesetz 7Absatz1Satz3 Nummer1 Datenschutzauditgesetz 7Absatz1Satz3 Nummer2 Datenschutzauditgesetz 7Absatz1Satz4 Datenschutzauditgesetz 8Absatz4Satz2 Datenschutzauditgesetz 9Absatz1Satz2 Datenschutzauditgesetz 9Absatz1Satz2 Datenschutzauditgesetz 9Absatz2Satz1 Datenschutzauditgesetz 9Absatz2Satz1 Datenschutzauditgesetz 11 Absatz1 Satz3 Datenschutzauditgesetz 15 Absatz2 Satz3 Datenschutzauditgesetz 15 Absatz3 Satz1 Datenschutzauditgesetz Auskunftserteilung der zuständigen Behörden untereinander Mitteilungspflicht der zuständigen Behörde zur Anregung der Entziehung der Zulassung oder Änderung von Auflagen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Mitteilungspflicht an die zuständige Behörde des Landes Mitteilungspflicht der zuständigen Behörde zur Anregung eines Verfahrens der Entziehung der Zulassung oder Änderung von Auflagen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Hinweispflicht gegenüber dem Auskunftspflichtigen Führung eines Verzeichnisses für Datenschutzkonzepte durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Veröffentlichungspflicht im Internet und im elektronischen Bundesanzeiger Führung eines Verzeichnisses der zugelassenen Kontrollstellen Veröffentlichungspflicht im Internet und im elektronischen Bundesanzeiger Veröffentlichungspflicht der maßgeblichenrichtlinieniminternetund im elektronischen Bundesanzeiger Berichtspflicht an die Aufsichtsbehörde Pflicht der Genehmigung durch die Aufsichtsbehörde
Drucksache 16/12011 20 Deutscher Bundestag 16. Wahlperiode DieInformationspflichtenfürdieVerwaltungsindfürdie sinnvollegestaltungdesdatenschutzauditverfahrensunerlässlich.siesindauchhinnehmbar,weildiestärkungdes DatenschutzesunddieFörderungderWirtschaft,diedasGesetzbewirkt,dennachteiligenEffektderBürokratiekosten überwiegen. VII.Auswirkungen von gleichstellungspolitischer Bedeutung AuswirkungenvongleichstellungspolitischerBedeutung sind nicht zu erwarten. Zu Artikel1 Zu 1 (Datenschutzaudit) B.Besonderer Teil DieDurchführungdesDatenschutzauditsistfreiwillig. DurchdasWort können wirddiesausgedrückt.esobliegt jedemunternehmenzuentscheiden,obdenmitderdurchführungdesdatenschutzauditsverbundenenkostenund MüheneinadäquaterwirtschaftlicherMehrwertausderVerwendungdesDatenschutzauditsiegelsimRechts-undGeschäftsverkehr gegenübersteht. AdressatdesDatenschutzauditssindAnbietervonDatenverarbeitungsanlagenund-programmenfürdievonihnenangebotenenDatenverarbeitungsanlagenund-programmeund verantwortlichestellennach 3Absatz7desBundesdatenschutzgesetzeshinsichtlichihrerDatenschutzkonzepte.Anbieterstellenanderen,auchunentgeltlich,eineDatenverarbeitungsanlageodereinDatenverarbeitungsprogrammoder beideszurverfügung,seiesalsherstelleroderinanderer FormamVermarktungsprozessBeteiligter.Datenverarbeitungsanlage (Hardware)undDatenverarbeitungsprogramm (Software)bildenzusammeneinDatenverarbeitungssystem. Siesindgesondertaufgeführt,umzuverdeutlichen,dass auchnureinedatenverarbeitungsanlageodernureindatenverarbeitungsprogrammauditgegenstandseinkann.eine DatenverarbeitungsanlageisteinGerätodereineBaueinheit zurverarbeitungvondaten.derbegrifffindetsichbereits verschiedentlichimbundesdatenschutzgesetz,z.b.in 1 Absatz2Nummer3, 3Absatz2Satz1, 11Absatz5, 14Absatz4, 18Absatz2Satz1, 27Absatz1Satz1, 31undNummer1derAnlagezu 9Satz1undanderen Bundesgesetzen,z.B.in 9Absatz1Satz2desAntiterrordateiengesetzes, 9Absatz2Satz21desAusländerzentralregistergesetzesoder 11Absatz6Satz2desBundeskriminalamtsgesetzes.Datenverarbeitungsprogrammesteuern dieautomatisierteverarbeitungpersonenbezogenerdaten. AuchdieserBegrifffindetsichneben 9abereitsverschiedentlichimBundesdatenschutzgesetz,z.B.in 4gAbsatz1 Satz4Nummer1, 24Absatz4Satz2Nummer1und 38 Absatz4Satz2sowieinanderenBundesgesetzen,z.B.in 4Absatz2Nummer3desAußenwirtschaftsgesetzes (der das Synonym Software verwendet). EinemDatenschutzauditkönnensichAnbietervonDatenverarbeitungsanlagenund-programmenundverantwortlicheStellenunterziehen,sofernsie nichtöffentlichestelle imsinnedes 2Absatz4desBundesdatenschutzgesetzes sind.dieeinschränkungbeziehtsichsowohlaufdieanbieter von Datenverarbeitungsanlagen und -programmen als auchaufdieverantwortlichenstellen.ohnedieeingrenzungkämenauchöffentlichestelleninfrage,dieuntereinandernichtimwettbewerbstehenundbeidenendie BürgerinnenundBürgernurindenseltenstenFällenein Wahlrechthätten,eineauditiertegegenübereinernicht auditiertenstellezubevorzugen.dasziel,miteinembundesweiten,gesetzlichendatenschutzauditwirtschaftliche AnreizezurVerbesserungdesDatenschutzesundderDatensicherheitanzubieten,umhiermitnachaußenimWettbewerbzuwerbenundsicheinenMarktvorteilzuverschaffen, würdeinsoweitverfehlt.soweiteineöffentlichestelle anderezweckeverfolgt,etwaeineerhöhteakzeptanzder BürgerinnenundBürgerbeiderInanspruchnahmeeiner E-Government-Anwendung,wirddiesbereitsausreichend dadurchgewährleistet,dassmiteinemdatenschutzauditsiegelgekennzeichnetedatenschutzkonzepteundinformationstechnischeeinrichtungeneingesetztwerdenkönnen. DarüberhinausbestehenUmsetzungsschwierigkeiten,da vorliegendnurregelungenfüröffentlichestellendesbundesgetroffenwerdenkönnten.ausreichendistdaher,dass esweiterhinfüröffentlichestellenmöglichbleibt,auflandesebeneeindatenschutzauditeinzuführen,wieesz.b.in derfreienhansestadtbremenoderschleswig-holsteingeschehen ist. GegenstandderPrüfungundBewertungkönnenDatenschutzkonzeptesowieinformationstechnischeEinrichtungensein.EinDatenschutzkonzeptisteinegeordneteDarstellung,aufwelcheWeisedieAnforderungendesDatenschutzesundderDatensicherheiterfülltwerden.Bezugspunktfür eindatenschutzkonzeptistentwedereineverantwortliche StelleodereinabgrenzbarerTeilbereichhiervon (z.b.die IT-Abteilung,diePersonalabteilung,dasArchiv).BezugspunktkannaucheinVerfahrenautomatisierterVerarbeitung odereinabgrenzbarerteilbereichhiervonsein.bestandteil desdatenschutzkonzeptssindinsbesonderederinhaltder Meldepflichtnach 4eSatz1desBundesdatenschutzgesetzes,gegebenenfallsdieNennungdesBeauftragtenfürden DatenschutzsowieAngabenzudenverwendeteninformationstechnischenEinrichtungen.BestandteilderDarstellung sinddiegetroffenenbzw.geplantentechnischenundorganisatorischenmaßnahmennach 9desBundesdatenschutzgesetzes,dienachderAnlagezu 9Satz1desBundesdatenschutzgesetzesauchdieAusgestaltungderinnerbetrieblichenOrganisationumfassen.Bestandteilistauchein Sicherheitskonzept,daseineAnalysederbestehendenRisikenenthält,eineSchutzzweckbeschreibung,dieBeschreibungderMaßnahmenzurtechnischenundorganisatorischen SicherheitunddieverbleibendenRisiken.EineinformationstechnischeEinrichtungisteineHardwareoderSoftware, mitdereineverantwortlichestellediepersonenbezogenen Daten automatisiert verarbeitet. DieUnternehmenkönnendenGegenstanddesAuditsselbst bestimmenundz.b.aufabgrenzbareteilbereichebeschränken.nichtnurdiedurchführungdesauditsüberhaupt,sondernauchseinumfangunterliegenauchwegenderdamit verbundenenkosten-nutzen-abwägungderdispositionsfreiheitderunternehmen.dieüberprüfungeinesgesamten UnternehmensimRahmeneinesDatenschutzauditswirdin allerregeleinezugroßekomplexitätfüreinekontrolleaufweisenundistallenfallsbeisehrkleinenunternehmenvorstellbar,beidenenpersonenbezogenedatennurzueinem