Betrieblicher Datenschutz – Anforderungen durch die 2. Novelle des Bundesdatenschutzgesetzes

Datenschutzprobleme und –skandale sind seit mehr als einem Jahr häufig wiederkehrende Themen in den Medien und der Presse. Personenbezogene Daten werden im Internet zum Verkauf angeboten, es findet eine unerlaubte Aufzeichnung von Mitarbeiterdaten statt …Autor: Dr. Haiko Timm, Februar 2010

Datenschutzprobleme und –skandale sind seit mehr als einem Jahr häufig wiederkehrende Themen in den Medien und der Presse. Personenbezogene Daten werden im Internet zum Verkauf angeboten, es findet eine unerlaubte Aufzeichnung von Mitarbeiterdaten statt oder die Rechtmäßigkeit des SWIFT-Verfahrens wird unter Datenschutzgesichtspunkten hinterfragt. Vielfältige Beispiele aus allen Branchen lassen sich hier ergänzen. Am 1. September des Jahres 2009 ist die zweite von drei Novellen des Bundesdatenschutzgesetzes sicher auch als Antwort auf die aufgetretenen Missstände in Kraft getreten. Weitere Änderungen werden gültig zum 1. April 2010, 11. Juni 2010 und 1. September 2012.

Die zweite Novelle beinhaltet zahlreiche Erweiterungen des Datenschutzes sowohl für den Kunden der Bank als auch für deren Mitarbeiter. Wichtige Aspekte für Volks- und Raiffeisenbanken werden nachfolgend (ohne den Anspruch auf Vollständigkeit) skizziert. Sie sind seit dem 1. September 2009 gültig.

Stärkung der Stellung des Datenschutzbeauftragten (§ 4f Absatz 3 BDSG)

Für den betrieblichen Datenschutzbeauftragten gibt es einen erweiterten Kündigungsschutz und nur in schwerwiegenden Fällen ist eine Kündigung durchsetzbar. Der Schutz bleibt nach der Ablösung des Datenschutzbeauftragten ein Jahr erhalten. Die Bank muss dem Datenschutzbeauftragten außerdem die Teilnahme an Aus- und Weiterbildungsmaßnahmen ermöglichen und die Kosten hierfür tragen.

Erweiterte Vertragsvorgaben für die Auftragsdatenverarbeitung (§ 11 BDSG)

Schriftliche Verträge müssen zukünftig nachfolgende Informationen enthalten. Ein einfacher Hinweis auf die generelle Einhaltung der Anforderungen des Bundesdatenschutzgesetzes ist nicht mehr ausreichend. Diese Sachverhalte sind ab jetzt darzustellen:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftragnehmer ist verpflichtet, technische und organisatorische Kontrollmaßnahmen vor und während der Datenverarbeitung durchzuführen und ebenso zu dokumentieren.

Regelung über die Zustimmung zu Werbezwecken (§ 28 Abs. 3 BDSG)

Für die Nutzung der Daten zu Werbezwecken ist von den Betroffenen eine schriftliche oder elektronische (angekreuztes Formularfeld) Einwilligung einzuholen. Es gilt demnach das Opt-In Verfahren. Der Paragraph enthält aber mit dem Hinweis auf das Listenprivileg gleichzeitig mehrere Hinweise (Eigenwerbung, berufbezogene Werbung, Spendenwerbung) wann eine Einwilligung wiederum nicht erforderlich ist.

Verbot der Kopplung (§ 28 Abs. 3b BDSG)

Der Abschluss eines Vertrages darf nicht an die Einwilligung der Daten zu Werbezwecken geknüpft werden. Das gilt, wenn ein alternativer Vertragsabschluß nicht und nur mit einem unverhältnismäßig hohem Aufwand möglich ist. Eine erzwungene Einwilligung ist somit unwirksam.

Erweiterte Regelungen zum Arbeitnehmerdatenschutz (§ 32 BDSG)

Als vorbereitender Schritt zu einem durch das Bundesinnenministerium angedachten Arbeitnehmerdatenschutzgesetz dürfen Daten von Arbeitnehmern nur erhoben, verarbeitet oder genutzt werden, wenn sie der Entscheidung der Einstellung der Person dienen oder für die Durchführung des Beschäftigungsverhältnisses (z.B. Aktivitäten der Personalabteilung) dienen. In Sonderfällen ist eine Datenverarbeitung zur Aufdeckung von Straftaten in engen Grenzen zulässig. Da ein konkreter Verdacht einer Straftat vorliegen muss, ist die umfängliche Verarbeitung von Daten im Sinne eines Gesamt-Screenings der Mitarbeiter nicht mit dem Gesetz vereinbar.

Informationspflichten bei Datenschutzpannen (§ 42a BDSG)

Wenn Daten unrechtmäßig in die Hände von Dritten gelangt sind, muss das durch die verantwortliche Stelle der Aufsichtbehörde und dem Betroffenen mitgeteilt werden, falls schwerwiegende Beeinträchtigungen zu erwarten sind. Die Benachrichtigung kann auch durch eine öffentliche Anzeige erfolgen, wenn durch die persönliche Benachrichtigung ein unverhältnismäßiger Aufwand entsteht.

Forderung von Verschlüsselungsverfahren (Anlage zu § 9 Satz 1 BDSG)

Als Ergänzung zu den in der Anlage formulierten acht Kontrollmaßnahmen wird als Maßnahme eine dem Stand der Technik entsprechende Verschlüsselungstechnik bei der Weitergabe von Daten sowie bei dem Zugang und Zugriff auf Daten verlangt. Dieser Aspekt wirft vor allem bei der Weitergabe von Daten per E-Mail und Internet für Verbundbanken Probleme auf, da im Moment noch keine stabilen Verfahren im Datenaustausch mit Kunden bestehen. Verschiedene technische Verfahren zur Verschlüsselung werden derzeit erprobt (z.B. DE-Mail).

Die erste Novelle tritt zum 1. April 2010 in Kraft. Für Banken sind dabei die Aspekte Übermittlung der Daten an Auskunfteien (§ 28a BDSG), Regelungen von Scoring-Verfahren (§ 28b BDSG), erweiterte Rechte für die Betroffenen hinsichtlich Auskunft, Löschung und Berichtigung der Daten (§ 34 und §35 BDSG) sowie neue Bußgeldvorschriften (§ 43 BDSG).

Dr. Haiko Timm