Internetrecht

NDR deckt neuen Datenskandal auf – neues Gesetz soll Datenschutz verbessern

Ein Jahr nach den Datenskandalen in Großunternehmen wie Lidl, der Deutschen Bahn, Deutsche Telekom oder Deutsche Bank haben Journalisten des NDR einen erneuten Datenskandal aufgedeckt. Den Reportern des NDR war es gelungen innerhalb weniger Stunden im Internet tausende Datensätze zu einem Preis von 350 Euro von einem Händler aus Tunesien zu kaufen. Insgesamt bot der Händler mehr als 1,5 Millionen Kundenadressen an. Die Reporter gelangten so an Adressen, Geburtsdaten und Bankverbindungen. Diese sollen von Gewinnspielanbietern, Versicherungen oder Zeitschriftenverlagen stammen. Mit diesen Daten sei es auch schon zu Missbrauchsfällen gekommen. So berichtet der NDR, dass Glücksspielfirmen regelmäßig unerlaubt Geld von den Konten der Verbraucher abbuchten.

Bereits nach den eingangs erwähnten Datenskandalen hat der Gesetzgeber reagiert und eine Reform des Bundesdatenschutzgesetzes (BDSG) vorgenommen. Den erneuten Datenskandal nehmen wir zum Anlas, um die wichtigsten Neuerungen im Datenschutzrecht darzustellen.

Die Reform des Bundesdatenschutzgesetzes (BDSG) hat der Gesetzgeber in diesem Jahr beschlossen. In weiten Teilen tritt sie zum 01.09.2009 in Kraft.
Die Reform erfolgte in zwei Schritten. Am 12.05.2009 beschloss der Bundestag den ersten Schritt der Reform. Inhalt des ersten Teils ist die Tätigkeit von Auskunfteien und das sogenannte „Scoring“. Der zweite Teil der Reform wurde am 03.07.2009 im Bundestag und am 10.07.2009 im Bundesrat beschlossen. Auf die Verabschiedung eines Datenschuztauditgesetzes wurde entgegen anfänglicher Pläne verzichtet.

Die, bereits im Mai 2009 beschlossenen, Änderungen des BDSG betreffen das „Scoring“ und die Tätigkeit, also die Übermittlung an und durch Auskunfteien. „Scoring“ ist ein mathematisch-statistisches Verfahren, um das wahrscheinliche Zahlungsverhalten einer Person anhand verfügbarer Daten zu prognostizieren. Dieses Verfahren wird von Auskunfteien wie z.B. der Schufa durchgeführt. Kreditinstitute, Versandhändler und Mobilfunkanbieter nutzen die Ergebnisse dann zur Prüfung der Zahlungsfähigkeit der Kunden.

Übermittlung der Daten an Auskunfteien

§ 28a BDSG regelt nun, unter welchen Voraussetzungen Daten an Auskunfteien übermittelt werden dürfen. Ohne Einschränkungen ist die Meldung von titulierten und anerkannten Forderungen möglich. Unter besonderen Voraussetzungen ist die Mitteilung anderer Forderungen möglich. Dies ist dann der Fall, wenn ein Schuldner mindestens zweimal schriftlich gemahnt wurde und zwischen den beiden Mahnungen mindesten vier Wochen liegen, der Schuldner durch das Unternehmen über die Übermittlung unterrichtet wird und die Forderung vom Schuldner nicht bestritten wird. Ist ein Schuldner in Zahlungsverzug und kann der Gläubiger aus diesem Grund den Vertrag fristlos kündigen, so können diese Daten ebenfalls übermittelt werden, wenn der Gläubiger den Schuldner zuvor über die geplante Datenweitergabe informiert hat. Personenbezogene Daten über die Begründung, Durchführung und Beendigung von Kredit-, Giro- und Garantiegeschäften dürfen von Kreditinstituten an Auskunfteien gemeldet werden. Es sei denn, dass schutzwürdige Interessen der Kunden offensichtlich überwiegen. Unabhängig von dem Vorliegen einer Einwilligung, ist die Übermittlung von Daten aus Kreditanfragen unzulässig. Eine diesbezüglich erklärte Einwilligung ist unwirksam.

Durchführung des Scoring-Verfahrens und Aspruch auf Auskunft

Das „Scoring“ darf gem. § 28b BDSG erfolgen, um über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses zu entscheiden. Allerdings wird ein wissenschaftlich anerkanntes Verfahren und die Erforderlichkeit der genutzten Daten vorausgesetzt. Gem. § 34 BDSG hat der Konsument nun einen Anspruch gegen die verantwortlichen Stellen auf Mitteilung, welche Scoringwerte in den letzten sechs Monaten erhoben oder erstmals gespeichert wurden und zu welchem Ergebnis welche Daten führten. Die Auskunftspflicht trifft aber nicht nur die Stellen, die sich des „Scorings“ bedient haben, sondern auch die Auskunfteien.

Anonymisierung personenbezogener Daten auch bei Marktforschung

Ein wichtiges Ziel der Reform ist die Datensicherheit. Diese soll durch Anonymisierung und Pseudonymisierung gewährleistet werden. Der Grundsatz der Datenvermeidung und Datensparsamkeit wurde in § 3a BDSG neu formuliert. Es gilt, personenbezogene Daten so wenig wie möglich zu erheben, verarbeiten und zu nutzen. Soweit es nach dem Verwendungszweck technisch möglich ist sind personenbezogenen Daten zu anonymisieren oder zu pseudonymisieren. Dies gilt nicht, wenn ein im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßiger Aufwand erforderlich ist. Die Pflicht zur Anonymisierung und Pseudonymisierung ist also die Regel.

Dies gilt gem. § 30a BDSG nun auch zum Zwecke der Markt- oder Meinungsforschung. Zu diesen Zwecken gespeicherte und erhobene Daten dürfen auch nur für diese Zwecke verarbeitet und/oder genutzt werden. Handelt es sich dabei um Daten aus nicht allgemein zugänglichen Quellen, dürfen diese nur für das konkrete Forschungsvorhaben verarbeitet oder genutzt werde. Für andere Zwecke dürfen diese Daten nur dann verwendet werden, wenn diese anonymisiert wurden. Insgesamt müssen personenbezogene Daten pseudonymisiert und sobald der Zweck der Markt- oder Meinungsforschung dies zulässt anonymisiert werden (§ 3 Abs. 6, 6a BDSG). Zu beachten ist, dass Verstöße gegen § 30a BDSG mit einem Bußgeld geahndet werden können. Die anonymisierten und/oder pseudonymisierten Daten verlieren so ihre Bedeutung für individuelle Werbemaßnahmen.

Betrieblicher Datenschutzbeauftragter

Die Reform stärkt die Stellung des betrieblichen Datenschutzbeauftragten. Gem. § 4f Abs. 1 BDSG benötigen Unternehmen, die sich mit Markt- oder Meinungsforschung oder mit der anonymisierten Übermittlung von Daten befassen, unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten. Dieser Datenschutzbeauftragte kann zum einen nicht ohne einen wichtigen Grund einfach abberufen werden und zum anderen kann er während seiner Amtszeit und ein Jahr danach nur aus wichtigem Grund entlassen werden. Er erhält also einen besonderen Kündigungsschutz, der ist vergleichbar ist mit dem eines Betriebsratsmitglieds, Gewässerschutz- oder Abfallbeauftragten. Durch die Neuregelung erhält der Datenschutzbeauftragte einen Anspruch auf Fort- und Weiterbildung. Die Kosten hat das Daten verarbeitenden Unternehmen zu tragen.

Verschärfung des Arbeinehmerdatenschutzes

Vor dem Hintergrund der bereits erwähnten Datenskandale wird der Arbeitnehmerdatenschutz durch die Einführung des neuen § 32 BDSG verschärft. Danach dürfen personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder gespeichert werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Die Gesetzesänderung wird sich gerade im Bereich „Compliance“, also organisatorische Maßnahmen zur Sicherstellung der Einhaltung sämtlicher rechtlichen Verbote und Gebote, auswirken. Zwar werden Maßnahmen im Rahmen von Complianceprogrammen weiterhin zulässig sein. Die Anforderungen an interne Kontrollen werden jedoch verschärft.
Zur Aufdeckung von Straftaten dürfen die Daten nur dann erhoben, verarbeitet oder genutzt werden, wenn für die Begehung einer Straftat im Beschäftigungsverhältnis dokumentierte Anhaltspunkte vorliegen. Dies jedoch nur, soweit schutzwürdige Interessen des Beschäftigten nicht überwiegen und die Maßnahme nicht unverhältnismäßig ist. Erforderlich sind demnach tatsächliche Anhaltspunkte für die Begehung einer Straftat. Bloße abstrakte Verdachtsmomente genügen dagegen nicht. Zudem muss sich der Verdacht auf die Begehung einer Straftat im Beschäftigungsverhältnis beziehen. Zwischen der Straftat und dem Arbeitsverhältnis muss also ein enger Zusammenhang bestehen. Die Erhebung, Verarbeitung oder Nutzung der Daten muss zur Aufdeckung der Straftat erforderlich sein.
Ob die Regelungen zum Arbeitnehmerdatenschutz gerade vor dem Hintergrund der Datenskandale den gewünschten Effekt mit sich bringen, bleibt abzuwarten. So wird zum Teil jetzt schon davon ausgegangen, dass auch in Zukunft zum Beispiel die Durchsicht von E-Mails oder die Überprüfung von IT-Nutzerprotokollen in Ausnahmefällen erlaubt sein wird.

Einwilligung in die Datenverarbeiung nicht mehr in AGB

Die Reform bezieht auch wichtige Entwicklungen in der Rechtsprechung mit ein. Insbesondere werden die Anforderungen, die der Bundesgerichtshof in seinem sog. „Payback-Urteil“ v. 16.07.2008, (Az.: VIII ZR 348/06) zu der Einwilligung aufgestellt hat, umgesetzt. Danach dürfen Einwilligungen in die Datenverarbeitung nicht mehr in Allgemeinen Geschäftsbedingungen versteckt werden. Vielmehr müssen die Regelungen zu der Einwilligung deutlich von den anderen Regelungen getrennt werden, sei es auch durch eine hervorgehobene Gestaltung.
Die verschärften Anforderungen betreffen auch die Einwilligung zur Verwendung der Daten zu Werbezwecken durch den Betroffenen. Die Verwendung personenbezogener Daten bedarf grundsätzlich der Einwilligung, wobei auch Ausnahmen vorgesehen sind. Unterschieden wird dabei zwischen Eigenwerbung und Fremdwerbung.
Ein Unternehmen, das für eigene Waren und Dienstleistungen gegenüber eigenen Kunden wirbt, braucht keine Einwilligung des Adressaten, wenn das Unternehmen die Daten selbst erhoben hat. Dies gilt nun auch für die sog. Beipackwerbung. Darunter versteht man fremde Werbung, die im Zusammenhang mit der eigenen Werbung steht und gemeinsam mit dieser verteilt wird. Einzige Bedingung ist, dass der Adressat erfährt, wer die Stelle ist, die die Werbung verschickt hat. Ebenfalls ist berufsbezogene Werbung sowie für Spendenwerbung, insbesondere gemeinnütziger Organisationen von dem Einwilligungserfordernis ausgenommen.

Das Listenprivileg

Änderungen ergeben sich auch in dem Bereich der Werbung mit fremden Daten. Im Rahmen des sogenannten Listenprivilegs dürfen bestimmte listenartig zusammengefasste Daten wie z.B. Name, Titel, akademischer Grad, Anschrift, Geburtsjahr, Berufs-/Branchenbezeichnung, Zugehörigkeit zu einer bestimmten Personengruppe auch ohne Einwilligung für Werbezwecke verwendet und übermittelt werden. Nach anfänglichen Überlegungen, das Listenprivileg abzuschaffen, ist es mit Einschränkungen erhalten geblieben. Nicht unter das Listenprivileg fallen das Geburtsdatum, die Telefonnummer oder die E-Mailadresse.
Nunmehr ist es auch erforderlich, dass für den Adressat der Werbung die Daten nutzende Stelle erkennbar ist. Er muss also wissen können, woher seine Daten stammen.
Gleichzeitig muss der Adressat auf sein Widerspruchsrecht hingewiesen werden, um in Zukunft leichter gegenüber der Daten übermittelnden Stelle und dem Empfänger den Widerspruch zu erklären. Durch den Widerspruch sind die Daten sodann für die Verwendung und Übermittlung zu Werbezwecken gesperrt. Zudem bestehen für die Daten übermittelnde Stelle und den Empfänger der Daten eine Speicher- und Auskunftspflicht. Beide Stellen müssen für die Dauer von zwei Jahren nach der Übermittlung die Herkunft und den Empfänger der Daten speichern und dem Adressaten bzw. Betroffenen bei Verlangen Auskunft darüber erteilen.
Die Erfordernisse der ausdrücklichen Einwilligung gilt auch für die Verarbeitung der Daten zum Zweck des Adresshandels und der Markt- oder Meinungsforschung. Neu eingeführt wurde eine Regelung über mündlich erteilte Einwilligungen. Gem. § 28 Abs. 3a BDSG muss nach einer mündlichen Einwilligung dem Betroffenen eine schriftliche Bestätigung der Einwilligung geschickt werden. Diese Regelung bezieht sich jedoch nur auf den § 28 BDSG und erstreckt sich nicht auf das gesamte BDSG.

„Erzwungene“ Einwilligung ist unwirksam

Eine weitere wichtige Neuerung ist das sog. Koppelungsverbot in § 28 Abs. 3b BDSG. Der Abschluss eines Vertrages darf danach nicht von der Einwilligung des Betroffenen in die Verwendung seiner Daten zum Zwecke der Werbung abhängig sein. Ist für den Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne Einwilligung nicht zumutbar, ist eine solche „erzwungene“ Einwilligung unwirksam. Davon sind dann hauptsächlich marktbeherrschende Unternehmen betroffen.

Informationspflicht bei Datenschutzverstößen

Durch die Reform des BDSG wurden neue Informationspflichten gegenüber der Aufsichtsbehörde und den Betroffenen bei Datenschutzverstößen festgelegt. Diese Pflicht besteht dann, wenn besonders schutzwürdigen Daten unrechtmäßig übermittelt wurden oder Dritten auf sonstige Weise zur Kenntnis gelangten und schwere Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des Betroffenen drohen (§ 42a BDSG). Zu den besonders schutzwürdigen Daten zählen Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben, personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht auf solche Handlungen beziehen und personenbezogene Daten zu Bank- oder Kreditkartenkonten.
Über einen Datenschutzverstoß ist unverzüglich nach Kenntnis zu informieren. Das Unternehmen ist aber berechtigt zunächst angemessene Maßnahmen zur Datensicherung zu treffen.

Änderungen ergeben sich auch in dem Bereich der Auftragsdatenverarbeitung. § 11 BDSG sieht zusätzlich zu dem bisher schon schriftlich zu erteilenden Auftrag Pflichtinhalte vor. Die Pflichtinhalte sehen eine Abbildung der wesentlichen Details des Umgangs mit personenbezogenen Daten vor. Insbesondere müssen Umfang, Art und Zweck des Umgangs mit den Daten, die zu treffenden technischen und organisatorischen Maßnahmen, die Kontrollpflichten des Auftragnehmers, die Kontrollrechte des Auftraggebers etc. angegeben werden. Bereits nach der alten Regelung war der Auftraggeber verpflichtet, sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Diese Pflicht besteht nun schon vor Beginn der Datenverarbeitung und anschließend regelmäßig. Die Ergebnisse sind zu dokumentieren. Verstöße gegen die Auftragserteilung und die Prüfungspflichten des Auftragsgebers sind bußgeldbewährt.

Erhöhung der Bußgelder

Im Wege der Reform wurden die Bußgelder für Datenschutzverstöße deutlich erhöht. Bei leichteren Verstößen wurde der Bußgeldrahmen von 25.000 Euro auf 50.000 Euro verdoppelt. Bei schweren Verstößen erfolgte eine Erhöhung von bis zu 300.000 Euro. Nunmehr besteht zudem die Möglichkeit der Gewinnabschöpfung. Zu den leichteren Verstößen zählen dabei u. a. Verstöße gegen bestimmte Auskunftsrechte von Betroffenen. Der Verstoß gegen das Koppelungsverbot oder die Nutzung der Daten für Werbung, Markt- oder Meinungsforschung trotz des Widerspruchs des Betroffenen stellen schwere Ordnungswidrigkeiten dar.

Ein Großteil der Änderungen des BDSG treten am 01.09.2009 in Kraft. Das Gesetz sieht aber auch Übergangsvorschriften von einem bis drei Jahren vor. So treten die Regelungen für Auskunfteien und zum „Scoring“ und die Regelungen zu Auskünften an Betroffene und zu Speicherpflichten zum 01.04.2010 in Kraft. Bei den Regelungen des § 28 BDSG wird eine Abstufung vorgenommen. Für neu erhobene oder gespeicherte Daten gelten die Regelungen ab dem 01.09.2009, für bereits vorhandene Daten zum Zwecke der Markt- oder Meinungsforschung ab dem 31.08.2010 und zum Zwecke der Werbung ab dem 31.08.2012.

Die Stärkung des Datenschutzes und somit auch des Verbraucherschutzes ist auf eine, guten Weg. Ob die Reform aber tatsächlich zu einer Stärkung des Datenschutzes führen wird und auch den illegalen Datenhandel aus dem Ausland verhindern wird, bleibt abzuwarten.

Sollten Sie noch weiterführende rechtliche Fragen haben und eine Einzelberatung wünschen, dann stehen Ihnen die Rechtsanwälte Christian Solmecke und Otto Freiherr Grote von der Kanzlei Wilde & Beuger gerne unter der Telefonnummer 0221 951 563 0 oder per E-Mail an info@wbs-law.de zur Verfügung.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)