Für manche Änderungen bleibt nur wenig Zeit

Wer versucht, die Änderungen des BDSG, die zu verschiedenen Terminen in Kraft treten, mit unterschiedlichen Farben zu markieren, erhält einen sehr bunten Gesetzestext. Zugleich illustriert der Gesetzestext, was der Begriff „politischer Kompromiss" für den Datenschutzbeauftragten bedeutet, der einen solchen „Fleckenteppich" in die Praxis umsetzen muss, zumal der Gesetzgeber den Unternehmen in einigen Bereichen für die Umsetzung der BDSG-Änderungen wenig Zeit gelassen hat. Es hilft jedoch nichts: Regelungen, die zum 1.9.2009 in Kraft treten, müssen zu diesem Zeitpunkt im Unternehmen umgesetzt sein.

„Baustelle" Nr. 1: Überprüfen Sie alle Verträge zur Auftragsdatenverarbeitung!

Die völlige Neufassung des § 11 BDSG macht detaillierte Vorgaben dazu, welche Punkte in einer Vereinbarung zur Auftragsdatenverarbeitung schriftlich geregelt sein müssen. Die Liste nennt zehn Punkte, die zwingend enthalten sein müssen, darunter

• Regelungen zur Berichtigung, Löschung und Sperrung von Daten (Nr. 4)
• Regelung der Pflichten des Auftraggebers, insbesondere die von ihm durchzuführenden Kontrollen (Nr. 5)
• Regelung der Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (Nr. 7)
• Regelung über mitzuteilende Verstöße des Auftragnehmers (Nr. 8).

Von daher: Verwenden Sie vorhandene Vertragsmuster nicht ungeprüft weiter! So gut wie kein Vertrag zur Auftragsdatenverarbeitung, der in der Praxis vorliegt, dürfte Regelungen zu allen Punkten enthalten, die das Gesetz jetzt vorschreibt.

Es ist deshalb gefährlich, nach dem 1.9.2009 noch neue Verträge nach den bisher verwendeten Vertragsmustern abzuschließen. Tut man dies trotzdem und vergisst dabei einen Punkt, kann das zu einem Bußgeldverfahren führen. Denn der ebenfalls neu gefasste Bußgeldtatbestand in § 43 Abs. 1 Nr. 2b BDSG bedroht jeden mit Bußgeld, der „entgegen § 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt".

Sorgen Sie also dafür, dass vorhandene Verträge nachverhandelt werden! Nicht ausdrücklich geregelt ist, wie man mit schon vorhandenen „Altverträgen" zu verfahren hat. Da das Gesetz für sie keine Übergangsregelungen vorsieht, müssen auch sie an sich ab 1.9.2009 den neuen Vorgaben entsprechen. Das kann jedoch mit der Pflicht kollidieren, vorhandene Verträge in der Form zu beachten, in der sie abgeschlossen wurden.

Eine pragmatische Lösung dürfte darin bestehen, vorhandene Verträge in nächster Zeit durch Zusatzvereinbarungen an die neue Rechtslage anzupassen. Dazu sind entsprechende Nachverhandlungen notwendig. Sofern das nicht mehr vor dem 1.9.2009 geschieht, droht zumindest kein Bußgeld. Denn Bußgeldtatbestände enthält das Gesetz nur für Fehler beim Neuabschluss von Verträgen.

Kritischer sieht es aus, wenn Altverträge zwar Vereinbarungen dazu enthalten, welche technischen und organisatorischen Datensicherungsmaßnahmen der Auftragnehmer einhalten muss, die Einhaltung dieser Vorgaben jedoch nicht kontrolliert wird. § 11 Abs. 2 Satz 4 BDSG legt ab 1. September 2009 fest, dass sich der Auftraggeber

• „vor Beginn der Datenverarbeitung" und
• „sodann regelmäßig"
• von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat.

Sollte also zwar schon länger ein Vertrag geschlossen sein, die Datenverarbeitung jedoch erst am oder nach dem 1.9.2009 beginnen, besteht die Pflicht zur Kontrolle vor Beginn der Datenverarbeitung auch bei einem „Altvertrag". Wird dagegen verstoßen, droht ein Bußgeld (siehe § 43 Abs. 1 Nr. 2b BDSG: „… sich nicht vor Beginn der Datenverarbeitung … überzeugt").

Hat die Datenverarbeitung dagegen schon vor dem 1.9.2009 begonnen und wird „nur" gegen die Pflicht verstoßen, „sodann regelmäßig" die Einhaltung der Maßnahmen zu kontrollieren, droht kein Bußgeld. Denn dafür sieht das Gesetz keinen Bußgeldtatbestand vor, gleichgültig, ob es um Alt- oder um Neuverträge geht. Wie die Öffentlichkeit auf bekannt gewordene Verstöße reagiert, ist eine andere Frage.

„Baustelle" Nr. 2: Setzen Sie die Neuerungen für die Aufklärung von Arbeitnehmer-Straftaten um!

§ 32 BDSG enthält erstmals eine Regelung für die Erhebung, Verarbeitung und Nutzung von Daten für Zwecke des Beschäftigungsverhältnisses. Während Satz 1 nur sehr allgemeine Bestimmungen für die Erhebung, Verarbeitung oder Nutzung von Daten für diesen Zweck enthält, macht Satz 2 ganz konkrete Vorgaben für den Umgang mit Beschäftigtendaten bei der Aufklärung von Straftaten. Danach ist eine Erhebung, Verarbeitung oder Nutzung von Beschäftigtendaten für diesen Zweck nur zulässig, wenn folgende fünf Voraussetzungen erfüllt sind:

• Es müssen tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat.
• Diese Anhaltspunkte müssen dokumentiert sein.
• Die Erhebung, Verarbeitung und Nutzung der Daten muss für die Aufklärung der Straftat erforderlich sein.
• Das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung darf nicht überwiegen.
• Art und Ausmaß der Maßnahmen dürfen im Hinblick auf den Anlass nicht unverhältnismäßig sein.

Fordern Sie die Überarbeitung vorhandener Regelungen im Unternehmen! In vielen Unternehmen bestehen für solche Konstellationen Betriebsvereinbarungen, interne Handlungsanweisungen für Vorgesetzte oder „Compliance-Regelungen".
Man kann davon ausgehen, dass sie den neuen Vorgaben oft nicht oder jedenfalls nicht vollständig genügen. Der Datenschutzbeauftragte muss auf dieses Problem hinweisen und eine Überarbeitung fordern.

Wird eine Straftat aufgeklärt, dabei jedoch gegen die neuen Regelungen verstoßen, droht zwar kein Bußgeld. Zu erwarten ist aber, dass die Arbeitsgerichte Beweise, die unter Verstoß gegen die neuen Regelungen gewonnen wurden, nicht zulassen. Dann ist es wahrscheinlich, dass der Prozess, etwa eine Kündigungsschutzklage, verloren geht.

„Baustelle" Nr. 3: Besprechen Sie die Gefahren des Datenschutzprangers!

Der neue § 42a BDSG enthält eine „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten". Sie besteht unter bestimmten Voraussetzungen sowohl gegenüber den Betroffenen (auch in Form von Zeitungsanzeigen!) als auch gegenüber der zuständigen Aufsichtsbehörde.

Relevant wird diese Pflicht dann, wenn gespeicherte Daten unrechtmäßig übermittelt werden, die sich beziehen auf

• besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG),
• personenbezogene Daten, die einem Berufsgeheimnis unterliegen (etwa der ärztlichen Schweigepflicht),
• personenbezogene Daten mit Bezug zu strafbaren Handlungen oder Ordnungswidrigkeiten,
• personenbezogene Daten zu Bank- oder Kreditkartenkonten.
  Drängen Sie deshalb auf Verfahrensregelungen im Unternehmen! Zumindest ein Teil dieser Datenarten ist in jedem Unternehmen gespeichert. Die neue, sehr umfangreiche Regelung wirft viele Detailfragen auf. Unternehmensintern muss seitens der Unternehmensleitung vor allem geklärt werden,
• welche der maßgeblichen Datenarten gespeichert sind,
  
• wer bei entsprechenden Fällen für den Kontakt mit der Aufsichtsbehörde zuständig ist und wer dabei intern zu beteiligen ist,
• wie bei entsprechenden Ereignissen die Öffentlichkeitsarbeit gesteuert wird.

Wer meint, dies im konkreten Bedarfsfall kurzfristig regeln zu können, täuscht sich! Das Vorgehen muss in ein Konzept der Öffentlichkeitsarbeit/Unternehmenskommunikation eingebettet sein. Insbesondere wenn die Medien einen Vorfall schon registriert haben, bleibt unter Umständen nur eine sehr kurze Reaktionszeit.

„Baustelle" Nr. 4: Lassen Sie Datenbestände für die Werbung zum Stichtag aufspalten!

Die neuen Regelungen für die Verwendung von Daten für Werbezwecke in § 28 Abs. 2 BDSG sind von einzigartiger Kompliziertheit. Ihre Anwendung im Detail wird deshalb nicht immer rechtzeitig zum 1.9.2009 möglich sein. Das hat auch der Gesetzgeber erkannt und in § 47 eine Übergangsfrist geschaffen. Sie lässt die Anwendung der bisher geltenden Regelungen des „alten" § 28 bis 31.8.2012 zu – allerdings nur für Daten, die vor dem 1.9.2009 erhoben oder gespeichert wurden.

Ferner ist zu beachten, dass § 28 anders als bisher der Sache nach ganz klar danach unterscheidet, ob Werbung mit eigenen (Kunden-)Daten des Unternehmens betrieben wird oder aber Werbung mit fremden (in der Regel „gekauften") Daten. Daraus folgen zwei Handlungsanweisungen, die schon ab 1.9.2009 umgesetzt werden müssen, damit

• sich das Unternehmen auf die Übergangsvorschrift berufen kann und somit
• auf Datenbestände, die nach dem 1.9.2009 neu entstehen, der neue § 28 korrekt angewandt werden kann.

Diese Handlungsempfehlungen lauten konkret:

• Bestehen Sie darauf, dass vor dem 1.9.2009 erhobene und gespeicherte Daten einerseits und ab diesem Datum erhobene und gespeicherte Daten andererseits stets klar auseinandergehalten werden können (Bildung von zwei logisch getrennten Datenbeständen!). Ansonsten kommt das Unternehmen für den „Altbestand" nicht mehr in den Genuss der Übergangsregelung bis 31.8.2012. Vielmehr ist dann der gesamte vorhandene Datenbestand den neuen Regelungen unterworfen.
• Bestehen Sie darauf, dass für ab dem 1.9.2009 neu erhobene oder gespeicherte Daten keine „Mischung" von eigenen und fremden Daten erfolgt! Für beide Arten von Daten gelten künftig unterschiedliche Regeln. Wird das nicht beachtet, dürfen die Daten entweder überhaupt nicht genutzt werden, oder sie unterliegen insgesamt den deutlich aufwendigeren Vorschriften für Daten aus Fremdquellen. Das gilt auch innerhalb von Konzernen und zwischen „befreundeten" Unternehmen!