Aufgefrischt

Gerade noch rechtzeitig vor der Sommerpause und den anstehenden Bundestagswahlen verabschiedeten Bundestag und Bundesrat eine umfassende Novellierung des Bundesdatenschutzgesetzes (BDSG). Diesen Änderungen gingen zum Teil heftige Diskussionen voraus. Wieder einmal standen sich Datenschutzinteressen und die Interessen der Wirtschaft gegenüber.

Schwerpunkte des Gesetzespakets waren Einschränkungen beim Adresshandel und bei der Werbung sowie Markt- und Meinungsforschung, wenn der Betroffene nicht ausdrücklich eingewilligt hat. Außerdem schuf der Gesetzgeber erstmals eine Regelung zum Arbeitnehmerdatenschutz. Er reagierte damit auf die Datenskandale der letzten Monate, allen voran die massenhafte Überprüfung von Daten ihrer Arbeitnehmer durch die Deutsche Bahn.

Die Motivation des Gesetzgebers steht in der Beschlussvorlage gleich am Anfang: „In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Handels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten ist größtenteils nicht nachvollziehbar.“

Konkret geht es um § 28 Absatz 3 Satz 1 BDSG. Diese Vorschrift regelt die Übermittlung und Nutzung von personenbezogenen Daten für einen anderen Zweck als denjenigen, für den die personenbezogenen Daten ursprünglich erhoben wurden. Hierzu muss man wissen, dass im Datenschutzrecht der Grundsatz der Zweckbindung gilt. Wer beispielsweise in einem Onlineshop etwas bestellt, gibt seine personenbezogenen Daten wie Name, Anschrift und Bankverbindung zunächst nur zur Abwicklung der Bestellung an den Verkäufer weiter.

Listenprivileg versus Zweckbindung

§ 28 BDSG erlaubte bislang aber die Weiterverwendung dieser Daten für Zwecke der Werbung sowie der Markt- und Meinungsforschung, wenn es sich um „listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt (…) und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat“. Zudem durften nur bestimmte Daten wie Name, Anschrift oder Geburtsjahr verwendet werden.

Mit diesem sogenannten Listenprivileg waren dem Adress- und Datenhandel Tür und Tor weit geöffnet. Ein „schutzwürdiges Interesse“ des Betroffenen daran, dass Werbetreibende seine Daten nicht in dieser Weise verwenden, bestand nur selten beziehungsweise wurde von den Datenverarbeitern nur selten, wenn überhaupt angenommen. Auch mangelte es an jeglicher Trans parenz, denn woher sollte ein Betroffener erfahren, wie sein Name und seine Adresse an den Versender von Werbepost gelangt war?

Nach der Neuregelung ist die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung nur zulässig, „wenn der Betroffene einwilligt“ oder sich die Datennutzung auf bestimmte Daten beschränkt und die Datenverarbeitung für Zwecke der Werbung „erforderlich“ ist. Eine wichtige Einschränkung dabei ist, dass eine Werbung zunächst nur „für eigene Angebote der verantwortlichen Stelle“ erfolgen darf und die Daten entweder beim Betroffenen selbst oder aus „allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben“ worden sein müssen. Anderenfalls ist eine Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen unter seiner Geschäftsanschrift gestattet.

Schließlich ist die Werbung für steuerbegünstigte Spenden erlaubt. Eine Werbung für fremde Angebote darf nur erfolgen, wenn die „für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist“ oder „die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig“ hervorgeht.

Bloß keine Eile: Übergang bis 2012

Schnell wird sich für die Betroffenen in diesem Bereich aber nichts ändern, denn der Gesetzgeber hat den Werbetreibenden eine großzügige Übergangsfrist eingeräumt. Auf die alte Fassung des § 28 BDSG und damit die weitgehend großzügige Freigabe der Nutzung von personenbezogenen Daten für Werbezwecke dürfen sich Unternehmen bis zum 31. August 2012 berufen. Erst dann gilt die neue Rechtslage. Die Bundestag über die Neuregelung des § 28 BDSG bis zum 31. Dezember 2014 zu berichten. Wenn sie weiteren Bedarf an Gesetzesänderungen sehen sollte, soll sie einen entsprechenden Vorschlag unterbreiten.

Zum ersten Mal wagt sich der Gesetzgeber mit dem neuen § 32 BDSG auch an eine explizite Regelung für den Bereich der Datenverarbeitung durch Arbeitgeber. Er legt die „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ fest. Diese Regelungen treten bereits am 1. September 2009 in Kraft. Die Verarbeitung von personenbezogenen Daten ist danach erlaubt, wenn dies für die „Entscheidung über die Begründung eines Beschäftigungsverhältnisses“, also die Einstellung eines Mitarbeiters, oder für die Durchführung oder Beendigung eines solchen Beschäftigungsverhältnisses erforderlich ist.

Als Konsequenz aus den Datenaffären bei Deutscher Bahn, Lidl&Co. hat der Gesetzgeber die Datenverarbeitung im Zusammenhang mit der „Aufdeckung von Straftaten“ aufgenommen. Zu diesem Zweck dürfen Daten der Mitarbeiter nur erhoben werden, „wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat“, die Datenverarbeitung folglich erforderlich und nicht unverhältnismäßig ist.

Damit dürfte klar sein, dass es in Zukunft keinen verdachtsunabhängigen Abgleich etwa der Bankdaten von Mitarbeitern mit denen von Zulieferern und dergleichen mehr geben darf. Wohl mit Blick auf den Datenskandal bei der Deutschen Bahn hat der Gesetzgeber ausdrücklich klargestellt, dass diese Regelung sowohl für den automatisierten wie auch den nicht automatisierten Datenabgleich gilt. Die Existenz des neuen § 32 entbindet den Arbeitgeber nicht davon, im Bereich der Nutzung von Mitarbeiterdaten den Betriebs- oder Personalrat – wo erforderlich – einzubinden. Dessen Mitwirkungsrechte, so das Gesetz, bleiben unberührt.

Änderungen nicht weitreichend genug

Der Gesetzesänderung waren heftige inhaltliche Auseinandersetzungen vorausgegangen. Dies zeigt beispielsweise die Ablehnung eines Entschließungsantrags, den unter anderem die frühere Bundesjustizministerin Sabine Leutheusser-Schnarrenberger unterstützte. Dort heißt es: „Der Gesetzesentwurf (…) ist ein datenschutzrechtliches Minimum, das den politischen Herausforderungen im Bereich des Datenschutzes nur ansatzweise Rechnung trägt“. Bemängelt wird insbesondere, dass die ursprünglich vorgesehenen Regelungen zum Datenschutz-Audit selbst acht Jahre nach Einführung des § 9a BDSG, der solche Audits vorsieht, im Gesetzgebungsverfahren fallen gelassen wurden. Auch, dass nur „rudimentäre Regelungen“ im Bereich Arbeitnehmerdatenschutz verabschiedet wurden, kritisieren zahlreiche Datenschützer. Die Grünen sprechen gar von einer „homöopathischen Dosierung“ im Hinblick auf die Verbesserung des Datenschutzes durch diese Novelle.

Es trifft unzweifelhaft zu, dass der zunächst verfolgte Ansatz, auch im Bereich von Werbung sowie Markt- und Meinungsforschung ein klares Opt-in-Verfahren zu etablieren, gescheitert ist. Gerade das erwähnte Listenprivileg war anfangs zentraler Gegenstand der Kritik an den bisherigen Regelungen. Es ist aber in abgewandelter Form ebenso erhalten geblieben wie die Möglichkeit, weiterhin Werbung sowie Markt- und Meinungsforschung selbst dann zu betreiben, wenn im konkreten Fall keine ausdrückliche Einwilligung des Betroffenen vorliegt.

Beim Datenschutz der Telemedien hat sich nichts geändert. Für sie gilt weiterhin das Telemediengesetz als Spezialgesetz, das insofern dem Bundesdatenschutzgesetz vorgeht. Ihm zufolge ist eine andere Nutzung von personenbezogenen Daten als für die Abwicklung eines Vertrages zwischen Nutzer und Anbieter nur dann gestattet, wenn der Anbieter eine entsprechende Einwilligung erhalten hat oder ein Gesetz die Verarbeitung gestattet. Der dargestellte § 28 BDSG – in alter wie in neuer Fassung – reicht als gesetzliche Grundlage dafür nicht aus, weil es sich bei ihm nicht um eine Rechtsvorschrift handelt, die „sich ausdrücklich auf Telemedien bezieht“.

Neben den Vorschriften etwa bezüglich der Pflicht zur Vorratsdatenspeicherung darf ein Anbieter Bestandsdaten nur für die Durchführung des Vertragsverhältnisses verwenden. Bei Nutzungsdaten, also den Daten, die Angaben über eine konkrete Verbindung und dergleichen enthalten, ist das Gesetz noch strenger. Diese dürfen nur zu Abrechnungszwecken verwendet werden.

Den Anbietern von Telemedien ist es folglich gesetzlich gar nicht gestattet, ohne Einwilligung des Betroffenen Werbung zu betreiben. Ihnen hilft die Gesetzesnovelle nicht – schadet aber auch nicht. Sie werden weiterhin Einwilligungen von ihren Nutzern für Werbung in Form von Postsendungen, Newslettern oder für andere Zwecke einholen müssen.

Theoretisch verboten, aber …

Dass viele diese gesetzlichen Vorgaben missachten, ist ein bekanntes Phänomen. Aktuelles Beispiel ist das Vorgehen der Verbraucherzentrale Bundesver band (vzbv) gegen die Verarbeitung personenbezogener Daten durch soziale Netzwerke wie XING, wer-kennt-wen, Face book, MySpace und Lokalisten. Ihnen wird vorgeworfen, dass sie keine wirksame Einwilligung ihrer Mitglieder für die Nutzung derer personenbezogener Daten haben. Oft sind Einwilligungen nur in allgemeinen Geschäftsbedingungen oder Datenschutzerklärungen enthalten, was nach den Vorgaben des Gesetzes nicht genügt.

In diesem Zusammenhang ist auch das Wettbewerbsrecht zu beachten. Nach § 7 Absatz 2 des Gesetzes gegen den unlauteren Wettbewerb sind Werbeanrufe und E-Mails ohne ausdrückliche Einwilligung des Empfängers verboten, weil es sich um eine „unzumutbare Belästigung“ handelt. Brisant daran ist, dass Konkurrenten, aber auch Verbraucherschutzvereine, dagegen mit Abmahnung, einstweiliger Verfügung und Klage vorgehen können, was immer mit finanziellem und zeitlichem Aufwand verbunden ist.

Weitere BDSG-Änderungen betreffen das Verbot, einen betrieblichen Datenschutzbeauftragten – außer aus wichtigem Grund – kündigen zu dürfen. Es endet ein Jahr nach Abberufung als Datenschutzbeauftragter. Neu ist auch die Pflicht für alle datenspeichernden Stellen, die Aufsichtsbehörden und die Betroffenen zu informieren, wenn vertrauliche Daten, Daten, die einem Berufsgeheimnis unterliegen, oder Bank- und Kreditkartendaten unrechtmäßig übermittelt oder zur Kenntnis gelangt sind und die Interessen der Betroffenen schwerwiegend beeinträchtigt werden. Eine ähnliche Pflicht trifft nun ausdrücklich auch Telemedien- und Telekommunikationsanbieter.

Fazit

Ursprünglich wollte die Bundesregierung den Einfluss der Bürger auf die Art und Weise der Verwendung ihrer personenbezogenen Daten stärken. Der jetzt verabschiedete Kompromiss wird diesem Ziel nur in Ansätzen gerecht. Datenschützer und Bürgerrechtler sind enttäuscht. Lange Übergangsfristen und die nur geringen Korrekturen an der bisherigen Gesetzeslage werden kaum dazu führen, dass sich für die Betroffenen spürbar etwas ändert.

Leider blieb auch das Ziel auf der Strecke, endlich die Vorschrift zum Datenschutzaudit mit Leben zu füllen. Wie Kritiker zu Recht anmerken, hätte es dafür in den vergangenen Jahren ausreichend Vorbereitungszeit gegeben. Offenbar fanden die Verantwortlichen im Vorfeld des Bundestagswahlkampfs nicht mehr zu einem sinnvollen Kompromiss. Immerhin gibt es erstmals eine ausdrücklich auf den Arbeitnehmerdatenschutz zugeschnittene Vorschrift. Dadurch wird in diesem Rechtsbereich etwas mehr Rechtssicherheit geschaffen. Wie praxistauglich die Regelung ist, muss sie nun beweisen.

Tobias Haar, LL.M., ist Syndikusanwalt und Rechtsanwalt mit Schwerpunkt IT-Recht. (gs)