Von vielen unbeachtet hat der Deutsche Bundestag in seiner letzten Sitzung am 3. Juli 2009 noch schnell eine Novelle zum Bundesdatenschutzgesetz BDSG auf den Weg gebracht. In einem Schnellschuss hat am 10. Juli 2009 dann auch der Bundesrat in einer Marathonsitzung mit 62 Gesetzesverabschiedungen diese BDSG-Novelle vor der Sommerpause verabschiedet.

Das Gesetz tritt in den wesentlichen Punkten bereits ohne Übergangsfristen am 1.9.2009 in Kraft!

Die jetzt gemachten Änderungen am BDSG bringen für die praktische Arbeit vieler Unternehmen, aber auch für den Kanzleialltag und vor allem für die Zusammenarbeit mit IT-Dienstleistern bei der sog. „Auftragsdatenverarbeitung“ erhebliche Konsequenzen mit sich.

Hier ein erster Überblick über die gesetzlichen Änderungen:

• Neben einer Änderung der Zulässigkeit der „personalisierten Werbung“ wurde in dieser BDSG-Novelle II auch der „Beschäftigtendatenschutz“ rechtlich zum Teil neu gestaltet.
   
• Gravierende Änderungen gab es vor allem aber bei der sog. „Auftragsdatenverarbeitung“ (hierzu gehört u.a. die Inanspruchnahme von RZ-Dienstleistungen, von IT-Fernwartung oder  ASP-Services) – siehe weiter unten.
   
• Hinzu kommen härtere Informationspflichten auf Unternehmen zu, wenn einmal  „Datenschutzpannen“ auftreten und die Aufsichtsbehörden erhalten erweiterte Kompetenzen.
   
• Die BDSG-Novelle II beinhaltet eine wesentliche Stärkung der Rechtsstellung des betrieblichen „Datenschutzbeauftragten“ durch einen einem Betriebsrat gleichgestellten Kündigungsschutz. Der betriebliche Datenschutzbeauftragte hat nun einen gesetzlich verbrieften Anspruch auf die umfassende Datenschutz-technische Fort- und Weiterbildung. Dies macht die Angebote von externen Datenschutzbeauftragten noch attraktiver – SPECTRUM empfiehlt hier den Verband „Kanzlei-Datenschutzbeauftragter e.V.“ www.kanzlei-dsb.de
• Die Bußgeldrahmen werden auf 50.000,00 Euro (für Verstöße gegen Verfahrensvorschriften) und 300.000,00 Euro (für Verstöße gegen materielle Schutzvorschriften) erweitert. Es gibt jetzt auch mehrere neue Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht. Eine unzureichend erteilte "Auftragsdatenverarbeitung" ist z.B. danach jetzt strafbar.
  
• Diese Regelungen aus der BDSG-Novelle II treten alle bereits kurzfristig am 1. September 2009 in Kraft - lediglich für die personalisierte Werbung gibt es noch eine Übergangsfrist.
  
• Bereits am 12. Juni 2009 hatte der Bundesrat die sog. BDSG-Novelle I verabschiedet, in der u.a. die Zulässigkeit der automatisierten Einzelentscheidungen, des sog. „Scorings“ (statistische Analysen und Punktebewertungen von Personen, z.B. über die Kreditwürdigkeit) und der Datenübermittlung an Auskunfteien neu geregelt wurden. Auch die Rechte des betroffenen Bürgers wurden erweitert. Diese BDSG-Novelle I tritt am 1. April 2010 in Kraft.
   
• Ebenfalls verabschiedet ist das Gesetz zur Umsetzung der „Verbraucherkreditrichtlinie“ (BDSG-Novelle III), die weitere umfassende Transparenzregelungen schafft und am 11.6.2010 in Kraft tritt.

Die meisten anderen vorher von der Regierung angekündigten Erweiterungen wurden jedoch nicht umgesetzt:

• Insbesondere das eigentliche Herzstück der lange diskutierten BDSG-Reform, das sog. „Listenprivileg“, das als Ursache für die diversen Datenschutzskandale des letzten Jahres galt, wurde nicht abgeschafft. Das bedeutet, dass die Verwendung personenbezogener Daten z.B. zur Werbung weiterhin ohne Einwilligung der Betroffenen erlaubt ist …. die Telemarketing-Branche freut sich wohl ….

• Im Gegensatz zu dem im Febr. 2009 noch von Innenminister Schäuble groß angekündigten und im Rahmen der Telekom-, Mehdorn-Bahn-AG- oder Lidl-Skandale viel zitierten „Arbeitnehmer-Datenschutz“ wurde nicht umgesetzt. Im geänderten  Bundesdatenschutzgesetz wurde lediglich zur Klarstellung die Zulässigkeit der Datenerhebung und  Datenverarbeitung von Beschäftigtendaten neu geregelt.

• Zu begrüßen ist es, dass die im Vorfeld lange diskutierte Einführung eines Datenschutzsiegels im Rahmen eines Datenschutzauditgesetz (BDSAuditG) auf zukünftige Gesetzesänderungen vertagt wurde.

Gravierende Auswirkung für alle Steuerberater und IT-Unternehmen:

Die neuen Richtlinien zur Auftragsdatenverarbeitung

Eine wichtige, im ursprünglich diskutierten Gesetzesentwurf nicht vorgesehene Änderung betrifft jetzt die so genannte neu eingeführte „Dienstleisterkontrolle“ und es ergeben sich hier für Steuerberater und IT-Firmen (auch für die Zusammenarbeit der Berufsträger mit der DATEV) neue Konsequenzen. Schon nach der alten Gesetzeslage mussten Unternehmen, die Daten einem Dritten zugänglich machen, durch Kontrollen und vertragliche Regelungen mit ihren Dienstleistern einen gesetzeskonformen Umgang des Dienstleisters mit ihren Daten gewährleisten.

Die entsprechende Vorschrift des § 11 BDSG zur  sog. „Auftragsdatenverarbeitung“ ist jetzt deutlich verschärft worden, so dass der Gesetzgeber jetzt sogar den wesentlichen Inhalt eines Dienstleistervertrages im Gesetz vorschreibt. Die Unternehmen müssen dabei die Verträge mit ihren Dienstleistern einer besonderen datenschutzrechtlichen Überprüfung unterziehen und gegebenenfalls diese um die gesetzlichen Anforderungen ergänzen.

Aufträge zur sog. Auftragsdatenverarbeitung (Outsourcing von EDV-Dienstleistungen wie externe Datenhaltung und –verarbeitung, IT-Fernwartung, ASP-Services, Online-Backup-Services, RZ-Services usw.) sind jetzt mit 10 gesetzlichen Vorgaben schriftlich zu konkretisieren. Der Auftraggeber muss den Dienstleister vor und während der Durchführung des Auftrages kontrollieren. Es ist sogar vorgeschrieben, dass die Ergebnisse dieser Kontrollen jeweils schriftlich dokumentiert werden müssen.

Hier ein Auszug aus dem neuen Gesetzestext:

㤠11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1.    der Gegenstand und die Dauer des Auftrags,

2.    der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3.    die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4.    die Berichtigung, Löschung und Sperrung von Daten

5.    die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6.    die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7.    die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8.    mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9.    der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.“

Zu diesen BDSG-Novellen gibt es natürlich zur Zeit noch keinerlei juristische Kommentierungen und Empfehlungen. Auch seitens der Steuerberaterkammern gibt es zu diesen BDSG-Novellen noch keine Hinweise oder Empfehlungen. Man wird hier sicherlich noch eine gewisse Zeit verschiedene Meinungsbilder vernehmen und muss dann wohl erst einmal auf gerichtliche Grundsatzentscheidungen warten. Trotzdem wird das Gesetz am 1.9.2009 in Kraft treten und wir alle müssen uns hieran halten. Auch seitens der DATEV – ja anerkanntermaßen einer der größten Auftragsdatenverarbeiter der Republik und damit betroffen – ist bisher keine Verlautbarung bekannt geworden. Außer einem Anstieg der Werbeaktivitäten von teuren Datenschutz-Seminar-Veranstaltern zu diesen BDSG-Novellen ist es absolut ruhig am Markt – obwohl die Konsequenzen aus diesen Gesetzesänderungen ja nicht zu vernachlässigen sind.

Hier eine der ersten Stellungnahmen von Thomas Spaeing, Vorstandsvorsitzender im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.: „Als großen Wurf kann man die aktuellen Änderungen im Bundesdatenschutzgesetz nicht bezeichnen. Vor allem die Chance zu mehr Klarheit wurde vertan“. Dennoch sind die neuen Regelungen für die betrieblichen Datenschutzbeauftragten landauf und landab von Bedeutung: „Durch das kurzfristige Inkrafttreten der meisten Paragrafen zum 1.September 2009 gibt es akuten Handlungsbedarf in den Unternehmen: Vorhandene Verträge zur Verarbeitung personenbezogener Daten durch Dienstleister müssen an die neuen, konkreteren Anforderungen angepasst werden, um nur ein Beispiel zu nennen.“

Veröffentlicht am: 18.01.2010