Deutscher Bundestag – 16. Wahlperiode
– 21 –
brauch bis dahin nur den Datenschutzaufsichtsbehörden
bekannt, deren wiederholte Hinweise und Warnungen ungehört verhallten, rückte das Thema plötzlich in die
Schlagzeilen und sensibilisierte viele Menschen dafür,
wie gefährdet auch ihre Privatsphäre und ihre personenbezogenen Daten sind.
Auf Initiative des Bundesministers des Innern trafen sich
daraufhin am 4. September 2008 die Spitzenvertreter der
Aufsichtsbehörden der Länder für den nicht-öffentlichen
Bereich mit den Bundesministern bzw. -ministerinnen des
Innern, der Justiz, für Ernährung, Landwirtschaft und
Verbraucherschutz und dem Staatssekretär des Ministeriums für Wirtschaft und Technologie zu einem Gespräch,
an dem auch ich teilgenommen habe. Hierbei verständigten sich die beteiligten Bundesressorts und die Aufsichtsbehörden der Länder in großer Übereinstimmung auf
einen Maßnahmekatalog, der insbesondere folgende Eckpunkte zur Änderung der gesetzlichen Grundlagen enthielt:
– Daten sollen für Werbezwecke nur noch nach Einwilligung des Betroffenen weitergegeben werden
– Einführung eines gesetzlichen Koppelungsverbots für
marktbeherrschende Unternehmen
– Erweiterung der Bußgeldtatbestände für Datenschutzverstöße
– Schaffung einer Möglichkeit, unrechtmäßig erworbene Gewinne aus illegaler Datenverwendung abschöpfen zu können.
Zusätzlich ergingen Prüfaufträge zu folgenden Punkten:
– Stärkung der betrieblichen Datenschutzbeauftragten,
– Einführung einer Kennzeichnungspflicht für die Herkunft personenbezogener Daten,
– Einführung einer Informationspflicht bei Datenschutzpannen.
Weiter kündigte der Bundesminister des Innern die Vorlage eines Datenschutzauditgesetzes an.
Parallel dazu wurde unter der Leitung des Vorsitzenden
der Ständigen Konferenz der Innenminister und -senatoren der Länder, dem brandenburgischen Innenminister,
eine länderoffene Arbeitsgruppe gebildet, die einerseits
prüfen sollte, welche Verbesserungsmöglichkeiten es hinsichtlich des Vollzugs der Datenschutzkontrolle im nichtöffentlichen Bereich gebe, und andererseits Vorschläge
zur Änderung des BDSG erarbeiten sollte. Hieran nahm
neben den Vertretern von zwölf Länderaufsichtsbehörden
auch der BfDI teil. Die Arbeitsgruppe hat Mitte
Oktober 2008 ihren abschließenden Bericht vorgelegt,
der eine Vielzahl von Vorschlägen zur Änderung des
BDSG und weitere Maßnahmen enthielt.
Auch die Konferenz der Datenschutzbeauftragten des
Bundes und der Länder beteiligte sich an der Diskussion
und verabschiedete am 16. September 2008 eine Entschließung, die die Konsequenzen auflistet, die aus den
Skandalen zu ziehen sind (vgl. Kasten zu Nr. 2.2).
2.3
Drucksache 16/12600
Datenschutz in der Privatwirtschaft –
zwei Gesetzesnovellen sollen die Rechte
der Betroffenen stärken
Im Berichtszeitraum rückte der Datenschutz in der Privatwirtschaft in den Fokus. Gleich zwei Gesetzentwürfe
sollen hier für mehr Transparenz und besseren Schutz
personenbezogener Daten sorgen.
Entsprechend den Ergebnissen des Spitzentreffens hat das
Bundesministerium des Innern im September 2008 einen
ersten Diskussionsentwurf zur Änderung des BDSG vorgelegt. Während Artikel 1 des Entwurfs das angekündigte
Datenschutzauditgesetz enthält (vgl. hierzu Nr. 2.4), sieht
Artikel 2 als wichtigste Regelungen die grundsätzliche
Abschaffung des sog. „Listenprivilegs“ in § 28 Absatz 3
Nummer 3 und ein Verbot für marktbeherrschende Unternehmen vor, Vertragsabschlüsse an die Einwilligung des
Vertragspartners in die Weitergabe seiner personenbezogenen Daten zu Werbezwecken zu koppeln (Koppelungsverbot). Außerdem sollten die Bußgeldtatbestände für
Datenschutzverstöße erweitert und der Bußgeldrahmen
erhöht werden, verbunden mit der Möglichkeit, zur Abschöpfung unrechtmäßig erworbener Gewinne aus illegaler Datenverarbeitung im Einzelfall den Bußgeldrahmen
auch überschreiten zu können. Von den erteilten Prüfaufträgen wurde die Stärkung der betrieblichen Datenschutzbeauftragten durch die Einführung eines besonderen
Kündigungsschutzes und die Einführung einer Informationspflicht bei Datenschutzpannen berücksichtigt, wenn
auch unter einschränkenden Bedingungen (vgl. zur inhaltlichen Bewertung auch Nr. 3.4.5). Einzig die Pflicht, die
Herkunft personenbezogener Daten zu kennzeichnen, fand
keinen Eingang in den Entwurf, möglicherweise auch deshalb, weil Unsicherheit über die technische Realisierbarkeit dieses Vorschlags bestand (vgl. auch Nr. 8.5).
Dieses Gesetzgebungsvorhaben fand zwar viel Zuspruch
in der Öffentlichkeit, stieß aber auch auf heftige Kritik
der betroffenen wirtschaftlichen Kreise, die in teils drastischen Stellungnahmen auf ihrer Ansicht nach zu erwartende Auswirkungen auf Unternehmen und Arbeitsplätze
hinwiesen. Die Proteste waren so heftig, dass ein Abrücken von diesem Vorhaben nicht mehr ausgeschlossen
werden konnte.
Zur Unterstützung des am 4. September 2008 auf dem
Spitzentreffen gefundenen Konsenses bekräftigte die
Konferenz der Datenschutzbeauftragten des Bundes und
der Länder auf ihrer Sitzung am 6./7. November 2008 in
zwei Entschließungen die Notwendigkeit, Adress- und
Datenhandel künftig nur auf der Grundlage einer Einwilligung der Betroffenen zuzulassen (vgl. Kasten a zu
Nr. 2.3), und die Erforderlichkeit, durch eine umfassende
Informationspflicht bei Datenschutzpannen mehr Transparenz zu schaffen (vgl. Kasten b zu Nr. 2.3).
Trotz des heftigen Lobbydrucks beschloss die Bundesregierung am 10. Dezember den Entwurf eines Gesetzes
zur Regelung des Datenschutzaudits und zur Änderung
datenschutzrechtlicher Vorschriften (Bundesratsdrucksache 4/09), der trotz zahlreicher Änderungen und Ergänzungen in Einzelpunkten im Kern dem ursprünglichen
BfDI 22. Tätigkeitsbericht 2007-2008