Das neue Datenschutzgesetz: Was Personen schützt, bremst Unternehmen aus

Die Änderungen des Bundesdatenschutzgesetzes traten am 1. September 2009 in Kraft. Obwohl es aufgrund massiver und berechtigter Einwände seitens der Wirtschaft in einer entschärften Version verabschiedet wurde, führt es zu erheblichen Belastungen für Unternehmer.

Die Nutzung und Übermittlung personenbezogener Daten spielt dank wachsender Mobilität und Globalisierung eine zunehmend größere Rolle. Dabei geht es nicht nur um den konkreten Abschluss gewinnbringender Geschäfte. Vielmehr hängen von der Erfassung personenbezogener Daten vor allem Werbestrategien ab. Die Kombination verschiedener Datenkomplexe kann aufschlussreiche Persönlichkeitsprofile abbilden und bezieht sich nicht nur auf Mitarbeiterdaten. Was für die Unternehmen oft ein Segen ist, kann für die Betroffenen ein Fluch sein, gerade wenn es um den personenbezogenen Datenschutz geht.

Einschränkung des Listenprivilegs
Vor dem Hintergrund eines steigenden Konkurrenzdrucks und gerade in Zeiten einer schwer vorhersehbaren Auftragslage, zeigt sich das Direktmarketing - im Unterschied zu Massenwerbung – als Mittel der Wahl in einem optimalen Kosten-Nutzen-Verhältnis. Aufgrund der Personalisierung von postalen Werbeschreiben kann diese gezielt gesetzt werden und so genau die Personen ansprechen, die als potenzielle Kunden in Frage kommen. Bisher haben Direktwerber für diese Form der Kundenansprache listenmäßig zusammengefasste Daten verwendet. Wenn die betroffenen Personen nicht widersprochen haben, stand dem nichts im Wege. Durch die Neufassung des Gesetzes wurde dieses Vorgehen empfindlich gestört.

Künftig dürfen personenbezogene Daten für Zwecke der Werbung nur noch mit Einwilligung des Betroffenen verwendet werden. Allerdings haben die Widerstände der Wirtschaftsvertreter bewirkt, dass das Gesetz hiervon weiterhin einige Ausnahmen zulässt. So dürfen listenmäßig zusammengefasste Daten auch ohne Zustimmung weitergegeben werden. Damit verbunden ist allerdings eine zweijährige Dokumentationspflicht, sowohl auf Seiten des Empfängers als auch des Übermittlers, woher die Daten ursprünglich stammen. Außerdem müssen Betroffene über diese gespeicherten Daten und deren Herkunft informiert werden, das heißt, es muss eindeutig aus der dem Einzelnen zugesandten Werbung hervorgehen, wer die Daten erstmals gespeichert hat, damit ein Widerspruch gegen die Nutzung der Daten leichter möglich ist.

Die Eigenwerbung mit eigenen Kundendaten, die im Rahmen einer Vertragsbeziehung erhoben wurden, ist davon nicht betroffen. Darüber hinaus gibt es weitere Ausnahmen, etwa bei der Bewerbung von fremden Angeboten, die die Verarbeitung bestimmter personenbezogener Daten weiterhin zulassen.  

Weitere Vorschriften
Die Sicherheit von Daten soll innerhalb der Unternehmen durch Vorschriften zur Verschlüsselung verbessert werden. Dazu kommt eine verschärfte Pflicht zur Anonymisierung und Verwendung von Pseudonymen, die sich nicht auf die Gestaltung von Datenverarbeitungssystemen beschränkt, sondern bei jeder Verwendung personenbezogener Daten zutrifft.

Im Falle von Missbrauchverdacht oder Datenverlusten sind unter Umständen die Aufsichtsbehörden und die Kunden zu informieren. Wenn diese Informationspflicht in der Praxis greift, können hohe Kosten auf die Unternehmen zukommen.

Präziser als vorher fallen nun die Dokumentations- und Überwachungspflichten des Auftraggebers bei der Datenverarbeitung durch Drittfirmen und Detekteien aus. Verträge über die Verarbeitung von personenbezogenen Daten durch andere Stellen müssen künftig den Umgang mit diesen Informationen genau regeln. Zur Einhaltung dieser Pflichten wurden neue Bußgeldtatbestände geschaffen und der Bußgeldrahmen erhöht. Hinzu kommen weiter gehende Eingriffsbefugnisse der Aufsichtsbehörden.

Arbeitnehmerdatenschutz
Die Stellung des betrieblichen Datenschutzbeauftragten stärken weit reichende Kündigungsschutzvorschriften, ferner wird ihm ein Anspruch auf bezahlte Weiterbildung eingeräumt. Der Schutz gegen Abberufung bleibt erhalten. Personenbezogene Daten von Arbeitnehmern dürfen nur erhoben werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder dessen Durchführung oder Beendigung erforderlich ist. Dabei stuft der Gesetzgeber die Verwendung von personenbezogenen Daten zur Aufklärung von Straftaten nur unter besonderen Voraussetzungen als erforderlich ein. Die eigenständige Aufklärung von Straftaten durch Unternehmer soll durch die Einführung des § 32 BDSG (Bundesdatenschutzgesetz) unterbunden werden.

Jenseits dieser Problematik stellt sich die Frage nach dem Umgang mit persönlichen Daten im E-Mail- und Internetverkehr und wie sich Unternehmer vor möglichen Sanktionen am besten schützen.

Übergangsregeln
Das neue Bundesdatenschutzgesetz ist seit dem 1. September 2009 in Kraft. Übergangsregeln gibt es teilweise bis 2012, vor allem für das Listenprinzip. Das Auskunftsrecht des Betroffenen und die ergänzenden Bußgeldvorschriften gelten ab dem 1. April 2010. Aufgrund der weit reichenden Folgen sollten sich Unternehmen so früh wie möglich um die Einhaltung dieser Vorschriften bemühen.

Sabine Sobola, Rechtsanwältin, Paluka Sobola & Partner

Wirtschaft konkret, Oktober 2009