Der Datenschutzblog

Müssen Sie einen Datenschutzbeauftragten bestellen?

Häufig wissen Unternehmen nicht sicher, ob sie einen betrieblichen
Datenschutzbeauftragten bestellen müssen oder nicht. Falls Sie einen
Datenschutzbeauftragten bestellen müssen und dieser Verpflichtung nicht
nachkommen, drohen Ihnen massive Bußgelder. Deshalb sollten Sie unbedingt
klären, ob Sie zur Bestellung eines betrieblichen Datenschutzbeauftragten
verpflichtet sind oder nicht.
Sie können hierfür das Schema der Firma Great Oak Datenschutz e.K. verwenden und erhalten so schnell eine Antwort.

Zusätzliche Erläuterungen:

1. Zu den datenverarbeitenden Personen zählen alle Mitarbeiter, die Kunden-,
Interessenten-, Lieferanten- und / oder Personaldaten erfassen, nutzen,
auswerten, verändern, übertragen oder vernichten. Häufig übersehen werden
Reinigungskräfte, die papiergebundene Daten entsorgen, Haustechniker die
Festplatten und CDs vernichten, studentische Aushilfen, Auszubildende,
längerfristige Vertretungen, die Buchhalterin, die einmal im Monat kommt etc.
Sie alle zählen mit zu den datenverarbeitenden Personen.

2. Wenn Sie Daten verarbeiten die ein besonderes Risiko für die Rechte und die
Freiheit der Betroffenen aufweisen, müssen die Verfahren vor Einsatz von
einem Datenschutzbeauftragten geprüft werden. Dies ist bei Daten zur
Gesundheit, rassischen und ethnischen Herkunft, religiösen Überzeugung,
politische Meinung, zum Sexualleben und zur Gewerkschaftszugehörigkeit der
Fall. Beispiele für Verfahren die einer Vorabkontrollpflicht unterliegen sind u.a.
jede Form der Videoüberwachung, jede Form der Datenverarbeitung der oben
genannten Daten, Software oder Verfahren zur Bewertung der Persönlichkeit,
der Leistung, des Verhaltens oder der Fähigkeiten eines Betroffenen.

3. Die geschäftsmäßige Übermittlung von Daten bedeutet, dass Sie Daten in
irgendeiner Form mit Gewinnabsichten weitergeben. Hierzu zählt u.a. der
Verkauf oder die Vermietung von Datenbeständen an andere Personen,
Unternehmen oder Organisationen

Verfahrensübersicht Intern

Sie als Klinik sind verpflichtet dem Datenschutzbeauftragten zu Beginn seiner Tätigkeit eine vollständige Übersicht über alle Datenverarbeitungsverfahren zu überreichen. Dieses Verzeichnis kann durchaus mehrere hundert Seiten groß sein und die Erstellung mit erheblichem Aufwand verbunden sein. Es umfasst von jeder Datenverarbeitung, welche Daten erhoben werden, wer davon betroffen ist, wie mit den Daten verfahren wird und wann sie wieder gelöscht werden.

Sollten Sie einen externen Datenschutzbeauftragten suchen und Sie den Aufwand zur Erstellung nicht selber leisten möchten, achten Sie darauf, dass die Erstellung im Angebot aufgeführt ist, sonst kommen im Nachhinein erhebliche Mehrkosten auf Sie zu.

Verfahrensübersicht Öffentlich

Aus den Daten der internen Verfahrensübersicht wird die öffentliche Verfahrensübersicht erstellt, die jedem, der sie sehen möchte, unentgeltlich durch den Datenschutzbeauftragten zur Verfügung gestellt werden muss. Falls Sie auch diese nicht selber erstellen möchten, achten Sie darauf, dass die Erstellung im Angebot aufgeführt ist.

Auftragsdatenverarbeitung

Sollten Sie Daten von Dritten verarbeiten lassen oder Dritte Zugriff auf die IT in Ihrem Hause haben, müssen Sie einige erweiterte Vorgaben beachten. Beispiele für solche Fälle sind Schreibbüros, Archivierungsdienstleister, IT-Dienstleister, Datenauslagerung in Rechenzentren usw.

Beachten müssen Sie:

- Ein spezieller Auftragsdatenverarbeitungsvertrag muss geschlossen werden

- Der Auftragnehmer muss vor Beginn des Vertragsverhältnisses auf seinen Datenschutzstandard hin vor Ort kontrolliert werden

- Einmal jährlich muss die Kontrolle vor Ort wiederholt werden

- Alle Kontrollen sind zu protokollieren und diese Protokolle sind zu archivieren

Achtung! Klären Sie bei internen Datenschutzbeauftragten vor Bestellung die Reisebereitschaft ab. Bei externen Datenschutzbeauftragten sollten die Reisekosten pro Kilometer und die Übernahme solcher Kontrollen beim Auftragnehmer vor Ort im Angebot aufgeführt sein.

Vorabkontrollen

Jede Datenverarbeitung von Gesundheitsdaten, die umgestaltet oder neu initiiert werden soll, bedarf einer sogenannten Vorabkontrolle durch den Datenschutzbeauftragten. Hierzu müssen Sie ihm alle notwendigen Unterlagen vor Beginn der Datenverarbeitung zur Verfügung stellen. Er wird diese dann auf Ihre Datenschutzkonformität prüfen.

Die Tätigkeit des betrieblichen Datenschutzbeauftragten gibt es schon seit vielen Jahren, jedoch war lange Zeit unklar, welche Ausbildung und Voraussetzungen ein Datenschutzbeauftragter mit sich bringen muss. Dieser Mangel ist am 24./25. November 2010 durch eine Sitzung aller deutschen Datenschutzaufsichtsbehörden (sog. Düsseldorfer Kreis) teilweise behoben worden.

Welche Fachkenntnisse müssen vorhanden sein?

Grundsätzlich sind alle Fachkenntnisse laut herrschender juristischer Meinung auf akademischen Niveau nachzuweisen. Das bedeutet, ein Jurist, Betriebswirt oder Techniker hat nicht die notwendigen Fachkenntnisse um die Voraussetzungen erfüllen zu können. Er müsste sich die beiden ihm jeweils fehlenden Fachrichtungen z.B. in Form eines Aufbaustudiums, aneignen. Es muss jedoch nicht in allen Fachrichtungen ein Abschluss erreicht werden, der Nachweis an ausreichend bestandenen Fachprüfungen an der jeweiligen Hochschule reicht aus.

Die Anforderungen im Detail nach dem Beschluss des Düsseldorfer Kreises:

Juristische Ebene

- Grundkenntnisse Verfassungsrecht mit Schwerpunkt Persönlichkeitsrecht

- Umfassende Kenntnisse Datenschutzrecht

- Umfassende Kenntnisse Spezialgesetze (z.B. SGB, Gesundheitsdatenschutzgesetz, TMG, Arbeitsrecht)

- Kenntnisse in juristischer Arbeitstechnik

Technische Ebene

- Kenntnisse der datenschutzrechtlichen und einschlägigen technischen Vorschriften und deren Umsetzungsmöglichkeiten

- Fachkenntnisse im Bereich physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und gängige Sicherheitsstandards

Betriebswirtschaftliche Ebene

- Grundkompetenz im Bereich Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management und Marketing

- Kenntnisse im Bereich der betriebswirtschaftlichen Prozessgestaltung (Aufbau- und Ablaufmanagement)

- Kenntnisse im praktischen Datenschutzmanagement sowie der Integration der Datenschutzvorgaben in die betrieblichen Abläufe

Des Weiteren bedarf es grundlegender didaktischer Fähigkeiten, um die Mitarbeiter im Bereich Datenschutz auszubilden und sensibilisieren zu können.

Was passiert, wenn ein Datenschutzbeauftragter nicht diesen Anforderungen entspricht?

Dann handelt es sich um eine sog. Scheinbestellung, diese wird von der jeweiligen Aufsichtsbehörde mit einem Bußgeld von bis zu 50.000 Euro geahndet. (§ 43 Abs. 3 BDSG) Dieses Bußgeld muss nicht der Datenschutzbeauftragte zahlen, sondern der Betrieb, der ihn bestellt hat.

Muss ein Datenschutzbeauftragter alle Anforderungen allein erfüllen oder kann auch ein Team an Experten diese zusammen aufbringen?

Ein Datenschutzbeauftragter, auch ein Externer, wird immer als Person bestellt, d.h. nur die eine bestellte Person hat die Befugnisse des Datenschutzbeauftragten, hieraus folgt, dass auch diese eine Person alle Anforderungen an die Fachkenntnisse erbringen muss. Selbstverständlich ist es aber erlaubt, zusätzlich weitere Experten bei Einzelfällen hinzuzuziehen.

Endlich hat Google ein Einsehen und passt seine Tracking-Software Google Analytics an die Forderungen der Datenschutzbeauftragten an. Mittels eines Scripts ist es nun möglich, Google Analytics so zu konfigurieren, dass die letzten beiden Oktette der IP-Adresse anonymisiert werden. So möchte Google die Zuordnung der Daten zu realen Personen verhindern und sie vom lästigen Makel der Personenbezogenheit frei halten.

Dies gelingt Google allerdings nicht vollständig, was ich mit den folgenden Überlegungen zeigen möchte.

Eines der wichtigsten Argumente für den Einsatz von Google Analytics ist das sogenannte Conversion Tracking von geschalteten Google Adwords. (Erläuterung zu Adwords siehe unten)

Damit der Anzeigenkunde herausfinden kann, welche seiner geschalteten Suchwörter großen Umsatz bringen, hilft die adwordsinterne Statistik nicht viel, da diese nur Auskunft gibt, wie oft eine Suche zur Anzeige und einem Klick auf die Anzeige geführt hat. Mit dem sogannten Conversion Tracking bietet Google die Möglichkeit, Adwords und Analytics zu verbinden. So kann der Anzeigenkunde verfolgen, was derjenige, der eine Anzeige anklickt, nachfolgend auf der Webseite des Anzeigekunden macht. Beispielweise sieht man so, dass ein Kunde der die Anzeige „Wir bieten kostenlose Versicherungsvergleiche“ beim Suchbegriff „Autoversicherung“ angeklickt hat, den Versicherungsrechner auf der eigenen Homepage benutzt und nachfolgend über die eigene Seite eine Versicherung abgeschlossen hat. So kann der Anzeigenkunde sehen, welche Adwordsanzeigen zu Umsatz führen und welche nur zu Seitenbesuchen ohne Umsatz. Nun ist er in der Lage, seine Werbung optimal auszurichten. Dies ist der entscheidende Vorteil von Google Analytics zu anderen Trackingprodukten, die ja nicht auf die Daten von Adwords zugreifen können.

Und an dieser Stelle kommt der Datenschutz wieder ins Spiel. Auch wenn Google durch das Script nicht mehr die IP-Adresse direkt von Analytics bekommt, so wird sie aber bei der Google Suche und dem Klicken auf die Adwordsanzeige an Google übertragen. Und damit bei Google das Conversion Tracking funktioniert, muss Google die Daten von Adwords mit den Daten von Analytics verbinden, z.B. in Form einer Session-ID. Das wieder bedeutet, dass Google die IP von Analytics gar nicht mehr bracht, da sie ja bereits durch den Suchvorgang und den Adwordsklick bekannt sind. Die gewonnenen Daten aus  Analytics sind somit nach wie vor personenbezogen und ohne Einwilligung der Betroffenen erhoben, verarbeitet und ins Ausland übertragen worden.

Einen Vorteil hat die neue Funktion allerdings gebracht: Besucher, die die Seite direkt durch Eingabe der Adresse ansurfen, bleiben anonym.

Erläuterung zu Google Adwords

Mit Adwords hat Google ein Anzeigensystem geschaffen, das  Unternehmen ermöglicht, bezahlte Anzeigen neben den eigentlichen Suchergebnissen zu positionieren. Diese Anzeigeblöcke werden pro Klick abgerechnet, wobei jedoch der Preis pro Klick nicht von Google bestimmt wird, sondern von den Unternehmen. Hierzu legt der Anzeigenkunde im Administrationsbereich von Adwords fest, wie viel Geld er bereit ist, pro Klick auf eine Anzeige zu einem bestimmten Suchwort zu bezahlen, beispielweise für das Suchwort „Autoversicherung“ 2,30 Euro pro Klick. Wenn nun jemand bei Google nach dem Wort „Autoversicherung“ sucht, schaut Google nach, welche Anzeigekunden für das Suchwort einen Betrag eingetragen haben und zeigt deren Anzeige an. Bezahlen muss der Kunde jedoch nur bei Anklicken der Anzeige. Nun könnte man ja denken, dann sollte man nur wenige Cent pro Klick eintragen und schon bekommt man viel Werbung für wenig Geld. Um dies zu verhindern, werden die Anzeigen von Google nach Höhe der eingetragenen Geldbeträge sortiert  und beginnend mit dem höchsten absteigend angezeigt. Pro Suchergebnisseite werden 8 Anzeigen geschaltet, d.h. wenn man mit der Höhe des Betrages auf Rang 26 in der Liste steht, erscheint die Anzeige auf Seite 4. Da jedoch die meisten Nutzer der Googlesuche sich nur die erste Seite, höchstens noch die zweite Seite anschauen, findet niemand die Werbung auf Seite 4. Das bedeutet, um effektiv werben zu können, ist eine Platzierung auf der ersten Seite notwendig. Dies führt dazu, dass sich bei guten Suchwörtern die Unternehmen immer weiter  bei dem Betrag, den Sie bereit sind pro Klick zu bezahlen, überbieten. (z.B. kostet Datenschutz auf Seite eins derzeit 4,20 Euro pro Klick)

Am 01.04.2010 ist die Novelle I des Bundesdatenschutzgesetzes in Kraft getreten. Auch Sie bringt wieder zahlreiche Neuerungen mit, von denen besonders Verbraucher stark profitieren können.

Nachfolgend finden Sie die wichtigsten Neuerungen erläutert:

Auskunftspflichten

Die Auskunftspflicht nach § 34 BDSG ist weiterhin aktuell, wurde jedoch um einige Punkte erweitert. So müssen nun bei Fällen, die unter § 28 b BDSG fallen erweiterte Auskünfte erteilt werden. Diese hängen davon ab, um welche Stelle der Verarbeitung es geht. Bei der für die Entscheidung verantwortlichen Stelle (z.B. Hausbank) müssen zusätzlich zu den normalen Auskünften folgende Informationen zur Verfügung gestellt werden:

- die innerhalb der letzten sechs Monate vor Zugang des Auskunftsverlangens  erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte

- die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten

- das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form

Da die Novelle am 01.04.2010 in Kraft getreten ist, ist das erste Fälligkeitsdatum für den Ablauf der 6-monatigen Frist der 01.10.2010.

Externe Datenverarbeiter, die Daten zum Zwecke der Übermittlung erheben, verarbeiten oder speichern (z.B. Schufa, Ratingagenturen, Auskunfteien) haben nach § 34 Abs. 4 BDSG zusätzliche Informationspflichten. Diese sind:

- Auskunft über die in den letzten 12 Monaten vor dem Zugang der des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte, die Namen und letztbekannten Anschriften der Empfänger

- die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von dem Verarbeiter zur Berechnung angewandten Verfahren ergeben

- Auskunft über die zur Berechnung eingesetzten Datenarten

- Auskunft über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form

Allgemein gilt zudem nach § 34 Abs. 8 BDSG, dass die Auskunft unentgeltlich einmal pro Jahr dem Betroffenen auf Anfrage zukommen zu lassen ist. Für weitere Auskünfte in einem Jahr darf eine Gebühr erhoben werden, die jedoch die unmittelbar durch die Anfrage entstandenen Kosten nicht übersteigen darf. Keine Gebühr darf zudem erhoben werden, wenn besondere Umstände die Annahme stützen, dass die Daten unrichtig sind.

Neuregelung des Scoring

Das Scoring, ein mathematisches-statistisches Verfahren zur Ermittlung, ob eine bestimmte Person ein bestimmtes Verhalten zeigen (z.B. den Kredit nicht zurück zahlen) wird, wird durch die Neufassung des § 28 b BDSG geregelt. Anzuwenden ist § 28 b BDSG sowohl bei externen Scorings (z.B. Auskunfteien) als auch bei internen Scorings (Unternehmensscoring), die personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erheben, verarbeiten oder nutzen.

Nach § 28 b BDSG ist ein Scoring zulässig wenn

1. Ein wissenschaftlich nachvollziehbares Verfahren zum Einsatz kommt, dass für den gewünschten Zweck auch geeignet ist,
2. Entweder bei externen Auskunfteien die zulässige Übermittlung der Daten nach § 29 BDSG  gegeben ist oder bei allen anderen Fällen die Vorrausetzungen des § 28 BDSG erfüllt sind,
3. für die Berechung nicht ausschließlich Anschriftdaten des Betroffen verwendet werden oder die weiteren verwendeten Daten nur einen verschwindend geringen Einfluss auf das Ergebnis haben (z.B. Bonität nach Wohnviertel bestimmen)
4. und im Falle der Nutzung der Anschriftdaten der Betroffene unterrichtet wurde, wobei die Unterrichtung zu dokumentieren ist.

Datenübermittlung an Auskunfteien

Da die Auskunfteien davon leben, dass Dritte ihnen Daten übermitteln, die sie dann auswerten und weiterverkaufen, ist auch hier die gesetzliche Regelung überarbeitet worden. Die Zulässigkeit und Durchführung werden in § 28 a BDSG bestimmt. Unterschieden wird in § 28 a BDSG zwischen personenbezogenen Forderungsdaten (Zahlungsausfälle) an Auskunfteien in Abs. 1 und der Übermittlung von Kreditdaten an Auskunfteien durch Banken in Abs. 2.

Die Übermittlung von Forderungsausfällen ist grundsätzlich nur nach Eintritt der Fälligkeit zulässig. Des Weiteren muss zur Übermittlung die Wahrung eines berechtigten Interesses der verantwortlichen Stelle selbst oder eines Dritten gegeben sein. Und zusätzlich einer der nachfolgenden Fälle vorliegen:

- Forderung durch rechtskräftiges oder vorläufig vollstreckbares Urteil bestätigt bzw. Vorliegen eines Schuldtitels

- Zum Prüfungstermin nicht durch den Schuldner bestrittene Forderung nach § 178 InsO

- Anerkennung der Forderung durch den Betroffenen

- Der Betroffene wurde zwei Mal nach Eintritt der Fälligkeit gemahnt. Die erste Mahnung und die Übermittlung haben Abstand von mindestens vier Wochen und der Betroffenen wurde mit oder nach der ersten Mahnung aber noch vor Übermittlung über die geplante Übermittlung informiert. Zudem darf der Betroffene die Forderung nicht bestritten haben.

- das der Forderung zugrunde liegende Vertragsverhältnis darf auf Grund von Zahlungsrückständen fristlos gekündigt werden und die verantwortliche Stelle hat den Betroffenen über die bevorstehende Übermittlung unterrichtet.

Zur Übermittlung von Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses muss ein Bankgeschäft nach § 1 Abs. 1 S. 2 Nr. 2, ,8 oder 9 Kreditwesengesetz vorliegen. Eine Übermittlung ist zudem nur zulässig, wenn schützenswürdige Interessen des Betroffen die Interessen der Auskunfteien an den Daten nicht überwiegen.

Eine Übermittlung bei Girokontoverträgen ohne Überziehungsmöglichkeit ist nicht zulässig. Eine Übermittlung von Verhaltensweisen des Betroffenen ist generell immer verboten. Dies kann auch nicht durch eine Einwilligung durch den Betroffenen zulässig gemacht werden.

Nachträgliche Änderungen an einer der übermittelten Tatsachen hat die verantwortliche Stelle innerhalb eines Monats  der Auskunftei mitzuteilen. Diese hat der verantwortlichen Stelle die Löschung der alten Tatsachen zu bestätigen.  Diese Pflicht gilt sowohl für negative als auch positive Änderungen.

Automatisierte Einzelentscheidungen

Die Neuregelung des § 6 a BDSG unterstreicht in Abs. 1 durch zusätzliche Erläuterung wann eine rein automatisierte Verarbeitung vorliegt, dass grundsätzlich alle automatisierten Einzelentscheidungen, die rechtliche Folgen haben oder den Betroffenen erheblich beeinträchtigen,  verboten sind. Mit der automatisierten Einzelentscheidung ist gemeint, dass Daten automatisiert durch Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden. Sobald ein menschlicher Entscheidungsträger ins Spiel kommt, liegt jedoch nach der Legaldefinition keine automatisierte Einzelentscheidung vor.

Ein zum Schein eingesetzter Entscheider zählt hier jedoch nicht.  Der Entscheider muss zur Änderung der Entscheidung sowohl befugt, als auch durch die Datengrundlage und Technik zur Entscheidungsänderung in der Lage sein.

In der Praxis sollte der Sachbearbeiter die erforderliche Ausbildung besitzen, einen Zugriff auf alle relevanten Daten haben und durch die Stellendefinition zur Entscheidung befugt sein.

Es gibt jedoch Ausnahmen, die eine solche Verarbeitung zulassen. Diese sind in § 6 a Abs. 2 BDSG geregelt.  Dies sind zum einen Entscheidungen die im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses getroffen wurden und positiv für den Betroffenen entschieden wurden. Und zum anderen, wenn die berechtigten Interessen des Betroffenen gewahrt wurden und dieser über das Vorliegen einer automatisierten Entscheidung nach Abs. 1 informiert wurde.

Zusätzlich müssen dem Betroffenen auf Verlangen die relevanten Informationen und Verfahren, die zu der Entscheidung geführt haben, vorgelegt und erläutert werden.

Der Abs. 3 des § 6 a BDSG hat sich nicht geändert. Nach wie vor hat der Betroffene durch ihn ein erweitertes Auskunftsrecht nach §§ 19 und 34 BDSG, dass um den logischen Aufbau der automatisierten Verfahren erweitert ist.

Neue Bußgeldtatbestände

Mit den Neuregelungen kamen auch einige neue Bußgeldtatbestände hinzu. Diese sind in § 43 BDSG zu finden.

Bis zu 50.000 Euro sind fällig bei:

- unterbliebene, unrichtige, unvollständige oder verspätete Übermittlung von geänderten Tatsachen aus § 28 a BDSG an die Auskunftei

- allgemeine Verletzung nach Auskunftspflichten aus § 34 BDSG

- Verletzung der speziellen Auskunftspflicht nach § 34 BDSG (Scoring)

- Keine oder nicht rechtzeitige Verweisung des Betroffenen an die den Wahrscheinlichkeitswert berechnende Stelle durch die verantwortliche Stelle

- Fehlende, falsche, nicht vollständige oder nicht rechtzeitige Unterrichtung nach § 29 Abs. 7 BDSG

Bis zu 300.000 Euro oder bis zur Höhe des wirtschaftlichen Vorteils (Gewinnabschöpfung) sind fällig bei:

- unzulässiger Übermittlung an eine Auskunftei

Alle Angabe und Beschreibungen sind ohne Gewähr auf Vollständigkeit und Richtigkeit!

Mit dem 01.04.2010 hat sich im Bereich Datenschutz einiges zum Vorteil der Verbraucher getan. Diese möchte ich Ihnen an dieser Stelle kurz vorstellen.

Anfragen bei Schufa oder anderen Auskunfteien (Gewerbliche Händler und Auswerter von Personendaten)

Die Gesetzesänderungen geben Ihnen das Recht, einmal im Jahr kostenlos eine Auskunft über Ihre Daten von der Schufa oder anderen Auskunfteien zu bekommen. Sie brauchen lediglich das Formular auszufüllen und hinzu schicken, um einen Einblick in die dort gespeicherten Daten von Ihnen zu bekommen. Zudem muss der Datenverarbeiter Ihnen in allgemein verständlicher Form erklären, wie die Werte (sog. Scorings) zustande kommen.

Wenn Sie mehr als eine Auskunft im Jahr haben möchten, darf der Datenverarbeiter dafür eine Gebühr verlangen, die aber nur so hoch sein darf, wie die Kosten, die ihm durch die Anfrage durch Sie entstehen wirklich sind. Diese sind erfahrungsgemäß normalerweise zwischen 5 und 25 Euro hoch.

Wenn Sie jedoch den begründeten Verdacht haben, dass der Datenverarbeiter falsche Daten von Ihnen speichert, muss die Auskunft kostenlos sein. Ein Beispiel hierfür wäre, wenn eine Bank Ihren Antrag auf eine Kreditkarte mit Begründung ablehnt, dass Sie zu viele Kredite hätten, obwohl Sie keinen Kredit aufgenommen haben und Sie jeden vergangen Kredit ordnungsgemäß zurückgezahlt haben.

Automatisierte Entscheidungen

Mit zunehmender Digitalisierung unserer Welt kann man als Händler oder Bank leicht in die Versuchung kommen, Anfragen automatisiert durch einen Rechner entscheiden zu lassen. Auf einmal entscheidet nicht mehr Ihr Bankberater, ob Sie einen Hausbaukredit bekommen, sondern nur noch das Bankprogramm. Damit solche Verfahren nicht überhand nehmen oder Sie als Verbraucher stark benachteiligt werden, hat der Gesetzgeber hier einige Regeln für Unternehmen erlassen.

Die automatisierten Entscheidungen sind grundsätzlich verboten, aber es gibt Ausnahmen, wo sie dennoch erlaubt sind.

1. Bei positiven  Entscheidungen, d.h. eine Bank kann Ihre Anfrage automatisch prüfen lassen. Wenn das Ergebnis für Sie positiv ist, darf sie die Entscheidung ungeprüft übernehmen. Wenn sie hingegen negativ für Sie ist, muss sie noch von einem entscheidungsbefugten Mitarbeiter ausführlich geprüft werden.
2. Wenn Sie darüber informiert wurden, dass die Entscheidung ausschließlich durch ein Programm getroffen wurde, das Programm sie nicht ungerechtfertigt benachteiligt und sie auf Verlangen die Gründe für die Entscheidung mitgeteilt und erläutert bekommen.

Übermittlung von fälligen Forderungen

Eine wichtige Einnahmequelle der Datenhändler sind Informationen über die Wahrscheinlicht, dass Sie Ihre Rechnung bezahlen bzw. nicht bezahlen. Dazu müssen Ihre Zahlungsgewohnheiten den Händlern erstmal bekannt werden. Dies geschieht durch die Übermittlung Ihres Zahlungsverhaltens von Onlineshops, Versandkatalogen, Geschäften usw. an die Auskunfteien.

Eine solche Übermittlung ist auch nach der Gesetzesänderung zulässig, allerdings nur in sehr engen Grenzen und lediglich für Forderungen (also z.B. nicht Ihre zähen Feilschversuche oder eine nachträgliche Minderung des Kaufpreises weil die Ware defekt war)

Folgende Vorraussetzungen müssen immer erfüllt sein:

1. Obwohl eine Rechnung fällig ist, haben Sie sie nicht bezahlt.
2. Dritte (also anderen Händler etc.) müssen ein berechtigtes Interesse an dieser Information haben. Dies ist beispielsweise nicht der Fall, wenn Sie in der Kneipe einmalig 5 Euro geschuldet haben, weil Sie vergessen haben diese zu bezahlen.

Zu den beiden oberen Bedingungen muss noch eine der nachfolgenden Bedingungen erfüllt sein:

- Sie sind rechtskräftig oder vorläufig vollstreckbar zur Zahlung verurteilt worden.

- ein Schuldtitel gegen Sie liegt vor

- die Forderung wurde nach der Insolvenzordnung festgestellt und Sie haben sie nicht rechtzeitig gültig bestritten

- Sie haben die Forderung (Rechnung) ausdrücklich anerkannt (z.B. haben Sie den Händler angeschrieben und ihm mitgeteilt, dass Sie die Summe X zur Zeit nicht zahlen können, sich aber bemühen das Geld schnell aufzutreiben)

- der Vertrag gestattet die fristlose Kündigung bei Zahlungsrückständen und Sie wurden über die geplante Übermittlung unterrichtet (Achtung: Unterrichtet heißt nur, dass sie Bescheid bekommen, auf Ihre Zustimmung kommt es hierbei nicht an.) Dies ist häufig bei Handyverträgen der Fall.

- Sie wurden bereits zwei Mal nach Eintritt der Zahlungsfälligkeit gemahnt, zwischen der ersten Mahnung und dem Datum der Übermittlung liegen mindestens vier Wochen, Sie wurden vor der Übermittlung über die geplante Übermittlung in Kenntnis gesetzt und Sie haben die Rechtmäßigkeit der Rechnung nicht bestritten.

Gerade der letzte Punkt ist wichtig, da unseriöse Unternehmen versuchen den Kunden schnell zur Zahlung zu bewegen, indem Sie ihm drohen, dass sie, wenn er nicht sofort bei Fälligkeit der Rechnung zahlt, die Daten an die Schufa übermitteln würden. Lassen Sie sich nicht einschüchtern!

Übermittlung von Kreditdaten

Fast jeder kennt den Vorgang: Sie eröffnen ein Konto, beantragen eine Kreditkarte oder einen Kredit  und das Erste was Sie vorgelegt bekommen ist die Einwilligung zur Schufa-Anfrage. Doch irgendwie müssen die Daten ja auch dorthin kommen. Hierfür hat der Gesetzgeber den rechtlichen Rahmen ebenfalls neu abgesteckt.

Übermittelt werden dürfen Daten zur Begründung, ordnungsgemäßen Durchführung und Beendigungen von Kreditverhältnissen, Garantiegeschäften und Girogeschäften.  Eine gesonderte Einwilligung ist für die Übermittlung nicht notwendig.

Bloße Konditionsanfragen (z.B. um Kredite zu vergleichen) dürfen nicht übermittelt werden. Auch Informationen zu Girokonten ohne Überziehungsmöglichkeit dürfen nicht übermittelt werden.

Falls sich an Ihren Rahmenbedingungen etwas ändert, sowohl im positiven wie auch negativen Sinne, muss die Bank dies der Schufa innerhalb eines Monats mitteilen.

Benachteiligungsverbot

Bisher war es teilweise üblich, dass jedes Mal, wenn Sie eine Anfrage nach Ihren Daten bei einem Datenbewerter wie der Schufa getätigt haben, Ihr Wert etwas schlechter wurde. Dies wurde damit begründet, dass nur Leute die ein schlechtes Gewissen haben, solche Anfragen starten und folglich bei diesen auch ein höheres Kreditausfallrisiko besteht.

Diese Form der Benachteiligung ist nun explizit verboten. Auch sog. Querulanten-Dateien sind nicht zulässig. Also nehmen Sie Ihre Rechte war und schauen Sie den Datenhändlern auf die Finger.

Wie gehen Sie vor bei Problemen oder dem Verdacht eines Datenmissbrauchs?

1. Wenden Sie sich an den Datenschutzbeauftragten des fraglichen Unternehmens. Häufig finden Sie hier einen hilfsbereiten Ansprechpartner. Fragen Sie bei der Telefonzentrale nach oder schauen Sie auf der Homepages des Unternehmens nach seinem Namen und den Kontaktmöglichkeiten. Schildern Sie ihm den Fall sehr ausführlich, da er nur so die Chance hat, den Sachverhalt aufzuklären.
2. Wenn der Datenschutzbeauftragte des Unternehmens Ihnen nicht weiterhelfen konnte oder wollte, können Sie sich auch an die jeweilige Landesbehörde wenden und dort um Hilfe bitten. Eine Anfrage an die Behörde dauert allerdings ein wenig, so können durchaus schon mal 12 Wochen bis zu einer Antwort vergehen. Also haben Sie etwas Geduld.
3. Sie können sich zudem an einen Datenschutzdienstleister oder fachlich auf Datenschutz versierten Anwalt wenden.

Seit dem 01.09.09 ist die zweite Novelle des Bundesdatenschutzgesetzes in Kraft. Sie wartet mit zahlreichen Neuerungen und Verbesserungen im Datenschutz auf. Nachfolgend möchte ich einige der Neuerungen und deren Auswirkungen vorstellen.

Auftragsdatenverarbeitung

Häufig kommt es gerade in kleinen und mittelständischen Unternehmen sowie in Gesundheitseinrichtungen zur Auftragsdatenverarbeitung. Diese war bisher meist durch Verträge geregelt, in denen zum Thema Datenschutz höchstens ein Satz  wie etwa „Wir verpflichten uns das BDSG einzuhalten“ zu lesen war.

Diese Zeit ist nun vorbei, die Neufassung des § 11 regelt zum einen die Punkte, die im Vertrag aufgeführt sein müssen und zum anderen die Pflicht des Auftraggebers zu Kontrollen der Einhaltung beim Auftragnehmer. Die vertraglich zu beschreibenden Sachverhalte sind:

1.  der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber hat die Kontrollen vor Beginn und regelmäßig während der Datenverarbeitung durchzuführen und zu protokollieren.

Arbeitnehmerdatenschutz

Nach den letzten Datenschutzskandalen hat der Arbeitnehmerdatenschutz wörtlichen Einzug in das BDSG gehalten. Die Zulässigkeit der Erhebung von Arbeitnehmerdaten wird in § 32 geregelt. Personenbezogene Daten von Beschäftigten dürfen nur noch für die Zwecke des Beschäftigungsverhältnisses erhoben werden, wenn diese für Begründung, Durchführung oder Beendigung des solchen Verhältnisses notwendig sind. Die Erhebung von Daten zur Aufdeckung von Straftaten ist nur noch zulässig bei konkretem Verdacht und dann auch nur auf die betroffene Person bezogen. Ein Massenscreening ist somit nicht mehr zulässig. Die genau Auflistung, wer als Beschäftigter zählt, finden Sie in § 3 Abs. 11.

Kündigungsschutz für Datenschutzbeauftragte

Endlich hält auch der Kündigungsschutz Einzug in das BDSG. In § 4f Abs. 3 wird dem betrieblichen DSB ein Kündigungsschutz gewährt, der bis Ablauf eines Jahres nach seiner Abberufung als DSB gültig ist. Eine Kündung ist in dieser Zeit nur bei Tatsachen zulässig, die eine fristlose Kündigung rechtfertigen.

Fortbildungen Datenschutzbeauftragte

Im gleichen Absatz (§ 4f Abs. 3) wird bestimmt, dass der betriebliche DSB zur Erhaltung seiner Fachkunde das Recht hat, an Fort- und Weiterbildungsveranstaltungen teilzunehmen. Die Kosten hierfür hat der Arbeitgeber zu tragen.

Daten für Marketingzwecke und Adresshandel

Nach wie vor ist das Listenprivileg gültig, d.h. Listendaten dürfen weiterhin für Eigenwerbung, berufsbezogene und Spendenwerbung genutzt werden. Die Übermittlung ist zulässig, wenn Herkunft und Empfänger gespeichert werden (s. Auskunftsansprüche). Betroffene haben das Recht der werblichen Verwendung ihrer Daten zu widersprechen.

Auskunftsansprüche

Sowohl § 33 (Benachrichtigung) als auch § 34 (Auskunft) sind geändert worden. Im Bezug auf die Benachrichtigungspflicht ist die Ausnahme, dass bei allgemein zugänglichen Quellen und einem unverhältnismäßig hohem Aufwand für die Benachrichtigung der Einsatz für Markt- und Meinungsforschung ohne Benachrichtigung zulässig ist.

§ 34 ist umfangreicher überarbeitet und tritt teilweise erst mit der Novelle 1 im April 2010 in Kraft. Die bereit jetzt gültigen Änderungen betreffen die Speicherpflicht über die Herkunft der Daten, die in § 28 (Scoringwerte etc.) beschrieben sind. So hat die übermittelnde Stelle die Herkunft und den Empfänger der Daten für zwei Jahre zu speichern und dem Betroffenen auf Anfrage Auskunft hierüber zu erteilen.

Pflicht zur Selbstanzeige

Bisher konnte man der Aufsichtsbehörde Verstöße gegen die Datenschutzbestimmungen melden, musste dies aber nicht. Nun besteht bei zu unrecht gespeicherten oder genutzten Daten die Pflicht, sowohl die Aufsichtsbehörde als auch die Betroffenen unverzüglich zu informieren (§ 42a).

Wenn der Aufwand der Benachrichtigung der Betroffenen zu hoch ist, muss in zwei bundesweit erscheinenden Tageszeitungen Anzeigenschaltungen zum Sachverhalt erfolgen.  Auch der Umfang der Benachrichtigung ist definiert.  Den Betroffenen muss das Unternehmen eine Beschreibung der Art der unrechtmäßigen Kenntniserlangungen und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen zukommen lassen. Die Meldung an die Behörde muss zusätzlich noch mögliche nachteilige Folgen und die Maßnahmen zur Beseitigung des Missstandes enthalten. Bei Verstößen kommt das neue Bußgeld in Höhe bis 300.000 Euro oder in Höhe des wirtschaftlichen Vorteils zum Tragen.

Generelle Datensparsamkeit

In der Neufassung des § 3a wird nun für alle Erhebungen, Verarbeitungen und Nutzungen die Pflicht zur Datensparsamkeit und Anonymisierung festgelegt. So müssen alle Daten anonymisiert werden, wenn nicht hierzu ein unverhältnismäßig hoher Aufwand nötig ist und dies der Einsatzzweck der Daten zulässt. Zudem muss bei der Auswahl und Herstellung von Softwareprodukten darauf geachtet werden, dass diese so wenig personenbezogene Daten benutzen wie möglich.

Erweiterung der Behördenbefugnisse

Durch die Erweiterung des § 38 haben die Aufsichtsbehörden nun nicht nur die Befugnis technische oder organisatorische Mängel zu beseitigen, sondern sie dürfen nun generell die Beseitigung von Datenschutzverstößen anordnen und bei Nicht-Abschaffung Bußgelder verhängen.

Ausblick

In wenigen Monaten, am 01.04.2010, tritt die erste Novelle des Bundesdatenschutzgesetzes in Kraft und mit ihr halten weitere Verbesserungen zum Datenschutz Einzug in das Gesetz. Auch diese Änderungen werden Sie hier zu gegebener Zeit nachlesen können.

Alle Angabe und Beschreibungen sind ohne Gewähr auf Vollständigkeit und Richtigkeit!