Wer versucht, die Änderungen des BDSG, die zu verschiedenen Terminen in Kraft treten, mit unterschiedlichen Farben zu markieren, erhält einen sehr bunten Gesetzestext. Zugleich illustriert der Gesetzestext, was der Begriff „politischer Kompromiss" für den Datenschutzbeauftragten bedeutet, der einen solchen „Fleckenteppich" in die Praxis umsetzen muss, zumal der Gesetzgeber den Unternehmen in einigen Bereichen für die Umsetzung der BDSG-Änderungen wenig Zeit gelassen hat. Es hilft jedoch nichts: Regelungen, die zum 1.9.2009 in Kraft treten, müssen zu diesem Zeitpunkt im Unternehmen umgesetzt sein.
„Baustelle" Nr. 1: Überprüfen Sie alle Verträge zur Auftragsdatenverarbeitung!
Die völlige Neufassung des § 11 BDSG macht detaillierte Vorgaben dazu, welche Punkte in einer Vereinbarung zur Auftragsdatenverarbeitung schriftlich geregelt sein müssen. Die Liste nennt zehn Punkte, die zwingend enthalten sein müssen, darunter
Von daher: Verwenden Sie vorhandene Vertragsmuster nicht ungeprüft weiter! So gut wie kein Vertrag zur Auftragsdatenverarbeitung, der in der Praxis vorliegt, dürfte Regelungen zu allen Punkten enthalten, die das Gesetz jetzt vorschreibt.
Es ist deshalb gefährlich, nach dem 1.9.2009 noch neue Verträge nach den bisher verwendeten Vertragsmustern abzuschließen. Tut man dies trotzdem und vergisst dabei einen Punkt, kann das zu einem Bußgeldverfahren führen. Denn der ebenfalls neu gefasste Bußgeldtatbestand in § 43 Abs. 1 Nr. 2b BDSG bedroht jeden mit Bußgeld, der „entgegen § 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt".
Sorgen Sie also dafür, dass vorhandene Verträge nachverhandelt werden! Nicht ausdrücklich geregelt ist, wie man mit schon vorhandenen „Altverträgen" zu verfahren hat. Da das Gesetz für sie keine Übergangsregelungen vorsieht, müssen auch sie an sich ab 1.9.2009 den neuen Vorgaben entsprechen. Das kann jedoch mit der Pflicht kollidieren, vorhandene Verträge in der Form zu beachten, in der sie abgeschlossen wurden.
Eine pragmatische Lösung dürfte darin bestehen, vorhandene Verträge in nächster Zeit durch Zusatzvereinbarungen an die neue Rechtslage anzupassen. Dazu sind entsprechende Nachverhandlungen notwendig. Sofern das nicht mehr vor dem 1.9.2009 geschieht, droht zumindest kein Bußgeld. Denn Bußgeldtatbestände enthält das Gesetz nur für Fehler beim Neuabschluss von Verträgen.
Kritischer sieht es aus, wenn Altverträge zwar Vereinbarungen dazu enthalten, welche technischen und organisatorischen Datensicherungsmaßnahmen der Auftragnehmer einhalten muss, die Einhaltung dieser Vorgaben jedoch nicht kontrolliert wird. § 11 Abs. 2 Satz 4 BDSG legt ab 1. September 2009 fest, dass sich der Auftraggeber
Sollte also zwar schon länger ein Vertrag geschlossen sein, die Datenverarbeitung jedoch erst am oder nach dem 1.9.2009 beginnen, besteht die Pflicht zur Kontrolle vor Beginn der Datenverarbeitung auch bei einem „Altvertrag". Wird dagegen verstoßen, droht ein Bußgeld (siehe § 43 Abs. 1 Nr. 2b BDSG: „… sich nicht vor Beginn der Datenverarbeitung … überzeugt").
Hat die Datenverarbeitung dagegen schon vor dem 1.9.2009 begonnen und wird „nur" gegen die Pflicht verstoßen, „sodann regelmäßig" die Einhaltung der Maßnahmen zu kontrollieren, droht kein Bußgeld. Denn dafür sieht das Gesetz keinen Bußgeldtatbestand vor, gleichgültig, ob es um Alt- oder um Neuverträge geht. Wie die Öffentlichkeit auf bekannt gewordene Verstöße reagiert, ist eine andere Frage.
„Baustelle" Nr. 2: Setzen Sie die Neuerungen für die Aufklärung von Arbeitnehmer-Straftaten um!
§ 32 BDSG enthält erstmals eine Regelung für die Erhebung, Verarbeitung und Nutzung von Daten für Zwecke des Beschäftigungsverhältnisses. Während Satz 1 nur sehr allgemeine Bestimmungen für die Erhebung, Verarbeitung oder Nutzung von Daten für diesen Zweck enthält, macht Satz 2 ganz konkrete Vorgaben für den Umgang mit Beschäftigtendaten bei der Aufklärung von Straftaten. Danach ist eine Erhebung, Verarbeitung oder Nutzung von Beschäftigtendaten für diesen Zweck nur zulässig, wenn folgende fünf Voraussetzungen erfüllt sind:
Fordern Sie die Überarbeitung vorhandener Regelungen im Unternehmen! In vielen Unternehmen bestehen für solche Konstellationen Betriebsvereinbarungen, interne Handlungsanweisungen für Vorgesetzte oder „Compliance-Regelungen".
Man kann davon ausgehen, dass sie den neuen Vorgaben oft nicht oder jedenfalls nicht vollständig genügen. Der Datenschutzbeauftragte muss auf dieses Problem hinweisen und eine Überarbeitung fordern.
Wird eine Straftat aufgeklärt, dabei jedoch gegen die neuen Regelungen verstoßen, droht zwar kein Bußgeld. Zu erwarten ist aber, dass die Arbeitsgerichte Beweise, die unter Verstoß gegen die neuen Regelungen gewonnen wurden, nicht zulassen. Dann ist es wahrscheinlich, dass der Prozess, etwa eine Kündigungsschutzklage, verloren geht.
„Baustelle" Nr. 3: Besprechen Sie die Gefahren des Datenschutzprangers!
Der neue § 42a BDSG enthält eine „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten". Sie besteht unter bestimmten Voraussetzungen sowohl gegenüber den Betroffenen (auch in Form von Zeitungsanzeigen!) als auch gegenüber der zuständigen Aufsichtsbehörde.
Relevant wird diese Pflicht dann, wenn gespeicherte Daten unrechtmäßig übermittelt werden, die sich beziehen auf
Wer meint, dies im konkreten Bedarfsfall kurzfristig regeln zu können, täuscht sich! Das Vorgehen muss in ein Konzept der Öffentlichkeitsarbeit/Unternehmenskommunikation eingebettet sein. Insbesondere wenn die Medien einen Vorfall schon registriert haben, bleibt unter Umständen nur eine sehr kurze Reaktionszeit.
„Baustelle" Nr. 4: Lassen Sie Datenbestände für die Werbung zum Stichtag aufspalten!
Die neuen Regelungen für die Verwendung von Daten für Werbezwecke in § 28 Abs. 2 BDSG sind von einzigartiger Kompliziertheit. Ihre Anwendung im Detail wird deshalb nicht immer rechtzeitig zum 1.9.2009 möglich sein. Das hat auch der Gesetzgeber erkannt und in § 47 eine Übergangsfrist geschaffen. Sie lässt die Anwendung der bisher geltenden Regelungen des „alten" § 28 bis 31.8.2012 zu – allerdings nur für Daten, die vor dem 1.9.2009 erhoben oder gespeichert wurden.
Ferner ist zu beachten, dass § 28 anders als bisher der Sache nach ganz klar danach unterscheidet, ob Werbung mit eigenen (Kunden-)Daten des Unternehmens betrieben wird oder aber Werbung mit fremden (in der Regel „gekauften") Daten. Daraus folgen zwei Handlungsanweisungen, die schon ab 1.9.2009 umgesetzt werden müssen, damit
Diese Handlungsempfehlungen lauten konkret: