Innenministerium legt Entwurf zur Bekämpfung von Datenmissbrauch vor

Anfang September verständigten sich Bund und Länder beim Datenschutzgipfel auf Vorschläge zur Eingrenzung des florierenden Handels mit Kundendaten im Internet. Das Bundesinnenministerium hat diese mit einer Ergänzung jetzt in Form eines Referentenentwurfs zu einer weiteren Änderung des Bundesdatenschutzgesetzes (BDSG) gefasst. Den größten Teil des Vorhabens nimmt eine überarbeitete Regelung des früheren Ansatzes des Innenressorts für ein bundesweites Datenschutzaudit ein. Damit soll Datenschutz als Wettbewerbsfaktor gefasst und ein Gütesiegel für Firmen mit besonderen Vorkehrungen zur Sicherung personenbezogener Informationen etabliert werden. Zudem sollen Unternehmen künftig die Einwilligung von Kunden zur Übermittlung auch von Adress- und Bestandsdaten einholen müssen. Neu hinzufügen will das Ministerium eine Informationspflicht bei Datenpannen.

Laut der Begründung des Entwurfs (PDF-Datei), den das Haus Wolfgang Schäubles an Interessensverbände und Datenschützer versandt hat und der bereits in einem Datenschutz-Blog online nachzulesen ist, hat sich die bisherige Erlaubnis zur Weitergabe von Adressdaten nebst Geburtsdatum oder Titeln in Paragraph 28 BDSG "als besonders nachteilig" erwiesen. Die praktische Anwendung dieser Regelung habe dazu geführt, dass personenbezogene Daten der Bürger "weitläufig zum Erwerb oder zur Nutzung angeboten" sowie ohne Zweckbindung verarbeitet und mit weiteren Informationen verknüpft würden. Dabei werde gleichzeitig "die gezielte Ansprache zum Zwecke der Werbung oder Markt- oder Meinungsforschung" zunehmend als Belastung empfunden.

Künftig müssen Verbraucher daher dem Papier nach ihr Einverständnis zu Datentransfers, Adresshandel und Direktmarketing gemäß dem Opt-in-Prinzip schriftlich oder elektronisch erklären. Dabei soll sicherzustellen sein, dass die Einwilligung protokolliert wird und der Betroffene den Inhalt davon jederzeit abrufen und für die Zukunft widerrufen kann. Zudem plant das Innenministerium die Einführung eines "Kopplungsverbots": Eine Firma darf demnach den Abschluss eines Vertrags nicht vom Plazet des Betroffenen abhängigen machen, wenn ihm ein anderer Zugang zu dem Geschäft ohne die abgeforderte Einwilligung nicht oder in nicht zumutbarer Weise möglich ist. Ausnahmsweise ist vorgesehen, dass ein Unternehmen personenbezogene Daten für eigene Werbezwecke oder Marktforschung verwenden darf.

"Moderat" erhöhen will das Innenministerium die Geldstrafen bei Verstößen gegen das Datenschutzgesetz. Bei "einfachen" Verstößen gegen Verfahrensvorschriften wie einer rechtswidrigen Nutzung personenbezogener Informationen oder der Nichtbeachtung von Meldepflichten gegenüber den Aufsichtsbehörden soll der Bußgeldrahmen von 25.000 auf 50.000 Euro verdoppelt werden. Für Verstöße gegen materielle Auflagen etwa durch das unbefugte öffentliche Zugänglichmachen persönlicher Daten schlägt das Innenressort eine Anhebung von maximal 250.000 auf 300.000 Euro vor. Ergänzend soll eine Möglichkeit zur Gewinnabschöpfung dazu treten. Damit werde sichergestellt, dass einem Täter aus der Ordnungswidrigkeit kein wirtschaftlicher Vorteil bleibe und keine Anreize für weitere Verstöße geboten würden.

Der Vorschlag für einen neuen Paragraph 44a enthält die vielfach geforderten Bestimmungen für eine Informationspflicht bei Datenlecks nach Vorbild entsprechender Vorschriften in den USA. Öffentliche oder private Stellen sollen demnach unverzüglich bei den Betroffenen sowie der zuständigen Aufsichtsbehörde Alarm schlagen, wenn personenbezogene Daten aus ihrem Verfügungsbereich "unrechtmäßig übermittelt oder auf sonstige Weise Dritten zur Kenntnis gelangt sind" sowie daraus "schwerwiegende Beeinträchtigungen" von Schutzrechten oder -interessen drohen. Die Klausel bezieht sich aber nur auf besonders sensible Informationen wie solche, die einem Berufs- oder Amtsgeheimnis unterliegen, sich auf strafbare Handlungen oder Ordnungswidrigkeiten erstrecken sowie Konto- oder Bestandsdaten und Verkehrs- beziehungsweise Nutzungsdaten gemäß Telekommunikations- und Telemediengesetz. Stelle die Benachrichtigung der Betroffenen einen "unverhältnismäßigen Aufwand" dar, sei die Öffentlichkeit in großen Anzeigen in mindestens zwei bundesweiten Tageszeitungen zu informieren.

Beim Datenschutzaudit, das in einem neuen Artikel 2 BDSG geregelt werden soll, betont die Begründung, dass sich einem solchen Prüfverfahren freiwillig private Firmen und diesen gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen unterziehen könnten. Verwaltungsbehörden sollten schon aufgrund bestehender Möglichkeiten zur Zertifizierung auf Landesebene außen vor bleiben. Sie könnten aber ihr Interesse am Datenschutz dadurch signalisieren, dass sie mit einem Gütesiegel ausgezeichnete Produkte einsetzen würden. Für die Prüfung soll ein Kontrollsystem unter Federführung des Bundesdatenschutzbeauftragten sowie eines dort angesiedelten gesonderten Datenschutzaudit-Ausschusses errichtet werden. Erfülle ein Datenschutzkonzept oder eine technische Einrichtung die von diesem festgelegten Richtlinien zur Verbesserung des Datenschutzes und der -sicherheit, dürfe dafür ein Kennzeichen geführt werden. Ein zentrales Verzeichnis der geprüften Verfahren oder Systeme soll ausschließen, dass mit dem Gütesiegel Schindluder getrieben wird.

Der Entwurf will auch die Stellung von betrieblichen Datenschutzbeauftragten durch einen besseren Kündigungsschutz sowie erweiterte Möglichkeiten für Fortbildungen stärken. Inkrafttreten soll der Artikel zum Audit gleich nach Verkündung der Novelle, damit sich der Ausschuss und die Kontrollinstanzen rechtzeitig formieren können. Für die weiteren Bestimmungen ist der Stichtag 1. Juli 2009 vorgesehen. Es soll eine Übergangsvorschrift von einem Jahr geben, damit sich die Wirtschaft auf die neuen Anforderungen bei der Erhebung personenbezogener Daten umstellen kann. Zu trennen ist das Vorhaben von der bereits im Bundestag beratenen anderen BDSG-Änderung, die sich auf die Regulierung von Auskunfteien und Anbietern von Scoring zur Bonitätsprüfung bezieht.

Siehe dazu auch:

• Kriminalbeamte fordern neuen Bundesdatenschutzbeauftragten
• Nach Daten-Pannen: "Chefsache Datenschutz"
• Heftiger Schlagabtausch über "Datenschutz total" im Bundestag
• Datenschutzbeauftragter vergleicht Finanzkrise mit drohender Datenschutzkrise
• Wirtschaft und Abgeordnete enttäuscht vom Datenschutzgipfel
• Datenschutzgipfel einigt sich auf striktere Regelungen für Kundendaten

(Stefan Krempl) / (jk)