Datenschutz

Entwurf des Bundesdatenschutzgesetzes liegt (mir) vor

21.10.2008

Der (noch nicht öffentliche) Gesetz-Entwurf der Bundesregierung (STand: 13.10.08) für ein neues Bundesdatenschutzgesetz liegt mir vor. Es stehen einige Änderungen an, so im §28 – es gibt mit dem §44a BDSG aber auch eine Neuerung: Mit ihm wird eine Informationspflicht für Abhanden gekommene Daten eingeführt, wobei ich die entsprechende Bußgeldvorschrift bei einem Verstoß hiergegen noch suche.
Ausserdem wird endlich ein Datenschutzauditgesetz geschaffen, sowie die Bußgeldrahmen erhöht – wobei die gewählte Wortwahl fragwürdig ist.
Die Änderungen im BDSG sollen zum 1.7.09 in Kraft treten.

Den Text des Entwurfs samt Begründung gibt es hier als PDF. (Hinweis: Der Hinweis auf mein Blog am Anfang der Datei dient internen Zwecken, es ist deswegen kein selbst ausgedachter Entwurf, sondern der offizielle – es kamen Anfragen deswegen).

Der §28 BDSG soll in der neuen Fassung wie folgt aussehen:

a) Absatz 2 wird wie folgt neu gefasst:
“Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig:
1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nr. 2 oder Nr. 3,
2. soweit es erforderlich ist
a) zur Wahrung berechtigter Interessen eines Dritten oder
b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder
3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.”

b) Absatz 3 wird wie folgt neu gefasst:
“(3) Sollen personenbezogene Daten für Zwecke des Adresshandels, der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder genutzt werden, ist anzunehmen, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung überwiegt, es sei denn, dass
1. eine Verarbeitung oder Nutzung ausschließlich für Zwecke der Werbung für eigene Angebote oder der eigenen Markt- oder Meinungsforschung der verantwortliche Stelle erfolgen soll, die die Daten beim Betroffenen nach § 28 Abs. 1 Satz 1 Nr. 1 erhoben hat, oder
2. der Betroffene in die Verarbeitung oder Nutzung nach Maßgabe des Absatzes 3a eingewilligt hat, oder
3. eine Verarbeitung oder Nutzung für Zwecke der Spendenwerbung einer verantwortlichen Stelle, die ausschließlich und unmittelbar steuerbegünstigte Zwecke nach § 51 der Abgabenordnung verfolgt, erfolgen soll und wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, Berufs-, Branchen oder Geschäftsbezeichnung, Namen, Titel, akademische Grade, Anschrift und Geburtsjahr beschränken.”

c) Es werden folgende Absätze 3a und 3b eingefügt:
“(3a) Die Einwilligung bedarf der Schriftform. Sie kann auch elektronisch erklärt werden, wenn die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Eine zusammen mit anderen Erklärungen erteilte Einwilligung ist nur wirksam, wenn der Betroffene durch Ankreuzen, durch eine gesonderte Unterschrift oder ein anderes, ausschließlich auf die Einwilligung in die Weitergabe seiner Daten für Werbezwecke bezogenes Tun zweifelsfrei zum Ausdruck bringt, dass er die Einwilligung bewusst erteilt.
(3b) Im Falle des Absatzes 3 Nr. 2 darf die verantwortliche Stelle den Abschluss eines Vertrages nicht von der Einwilligung des Betroffenen abhängig machen, wenn dem Betroffenen ein anderer Zugang zu der vertraglichen Gegenleistung ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.”

Beim §43 (Bussgeldvorschriften) wird es obskur, da zuerst eine Obergrenze gegen wird – die aber nach freiem Ermessen überschritten werden darf:

§ 43 wird wie folgt geändert:
a) Absatz 2 Nr. 1 wird wie folgt geändert:
aa) Nach dem Wort “erhebt” wird das Wort “oder” durch ein Komma ersetzt.
bb) Nach dem Wort “verarbeitet” werden die Worte “oder nutzt” eingefügt.
b) Absatz 3 wird wie folgt geändert:
aa) Das Wort “fünfundzwanzigtausend” durch das Wort fünfzigtausend” und das Wort “zweihundertfünfzigtausend” durch das Wort “dreihunderttausend” er-setzt.
bb) Nach Satz 1 werden folgende Sätze 2 und 3 eingefügt:
“Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ord-nungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.”

Der §44a lautet wie folgt:

Ҥ44a
Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
Stellt eine nicht-öffentliche Stelle im Sinne des § 2 Abs. 4 oder nach § 27 Abs. 1 Satz 1 Nr. 2 gleichgestellte öffentliche Stelle fest, dass
1. besondere Arten personenbezogener Daten (§ 3 Abs. 9),
2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen,
3. Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen,
4. Daten zu Bank- oder Kreditkartenkonten oder
5. Bestandsdaten nach § 3 Nr. 3 des Telekommunikationsgesetzes oder Verkehrsdaten nach § 3 Nr. 30 des Telekommunikationsgesetzes,
6. Bestandsdaten nach § 14 des Telemediengesetzes oder Nutzungsdaten nach § 15 des Telemediengesetzes,
aus ihrem Verfügungsbereich unrechtmäßig übermittelt oder auf sonstige Weise Dritten zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der vom Betreiber daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information an die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Druckseite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen.”

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

15 Kommentare zu diesem Beitrag:

Malte S.

Also ob die Bußgeldvorschrift in dieser Form bestimmt genug ist, wage ich noch zu bezweifeln. Außer natürlich man ließt § 43 Abs. 3 S.2,3 BDSG n.F. so, dass die Beträge aus Satz 1 nicht überschritten werden dürfen. Dann aber ist es mE schon wieder Unsinn.
Warum nicht ein Äquivalent von § 816 BGB für Datenmißbrauch einführen? Mit einer Gewinnvermutung zu Gunsten der Geschädigten versteht sich. Wenn sich erstmal herumgesprochen hat, dass man damit Geld machen kann, dann könnte das durchaus effektiver sein, als eine eh schon überlastete und minimal ausgestattete Behörde weiter mit Arbeit zu überschwemmen.

Thomas

Hallo,

in der Antwort der Bundesregierung ist der „§ 44a Informationspflicht" nicht mehr enthalten.
Sicher das Dir die richtige Fassung vorliegt?

Hier: http://dip21.bundestag.de/dip21/btd/16/105/1610529.pdf finde ich nicht von dem Abschnitt (oder es ist noch zu früh).

Übrigens sind die Protokolle der Plenarsitzung auch ganz interessant: (ab Seite 49) http://www.bundestag.de/bic/plenarprotokolle/pp_pdf/16184.pdf

Grüße
Thomas

Thomas

ich ergänze meine vorherige Ausführung:

Gerade lese ich in den Plenarprotokollen, dass die erwähnte "Informationspflicht bei Verstößen" abgelehnt wurde.

"...Wir kommen zur Beschlussempfehlung des Innenausschusses zu dem Antrag der Fraktion Bündnis 90/Die Grünen mit dem Titel "Informationspflicht für Unternehmen
bei Datenschutzpannen einführen". Der Ausschuss empfiehlt in seiner Beschlussempfehlung auf Drucksache 16/6764, den Antrag der Fraktion Bündnis 90/Die Grünen auf Drucksache 16/1887 abzulehnen.
Wer stimmt für die Beschlussempfehlung?
Gegenstimmen?
Enthaltungen?
Damit ist die Beschlussempfehlung mit den Stimmen der Koalition und der FDP gegen die Stimmen der Antragsteller und der Fraktion Die Linke angenommen."

http://www.bundestag.de/bic/plenarprotokolle/pp_pdf/16184.pdf (Seite 66)

"Sicher das Dir die richtige Fassung vorliegt?"

Ja ich bin sicher, die Quelle ist zuverlässig. Es trug das gestrige Datum, andere Links können also durchaus veraltet sein.

Ich habe übrigen bewusst keine Kommentare dazu abgegeben: Ich komme heute und morgen nicht dazu (bin unterwegs). Wollte es aber schon allgemein zur Verfügung stellen weil ich weiss, dass viele darauf warten.

"Gerade lese ich in den Plenarprotokollen, dass die erwähnte “Informationspflicht bei Verstößen” abgelehnt wurde."

Werde ich mir natürlich später ansehen, aber: Das muss nicht unbedingt was mit dem Entwurf zu tun haben. Ggfs. wurde ein Entwurf der Grünen abgelehnt, während ein anderer Entwurf (des Ministeriums) noch zur Diskussion gestellt wird.
Aber wieder: ich bin unterwegs und kann zur Zeit nichts prüfen!

Nachtrag: Ich habe kurz reingesehen in die Links und es scheint mir so, dass der Grünen-Antrag abgelehnt wurde. Hier geht es meines Wissens aber um einen Referenten-Entwurf des Ministeriums, der ist (mangels Öffentlichkeit) bisher auch noch nicht in der Diskussion.

Hallo,

konnte eben nochmal nachfragen: Es ist der aktuelle Gesetzes-Entwurf, Stand 13.10.08.

Heise berichtet jetzt auch:
http://www.heise.de/newsticker/Innenministerium-legt-Entwurf-zur-Bekaempfung-von-Datenmissbrauch-vor--/meldung/117691

Sebastian Wangnick

Sind denn nun Nutzer von Addressdaten nachweispflichtig, dass die Einwilligung zur Nutzung erteilt wurde?

@Malte:
Ein Kommentator (der Kommentar wurde nicht freigeschaltet von mir) macht zu Recht darauf aufmerksam, dass in §17 IV OWiG die gleiche Regelung zu finden ist. Insofern kann man sicherlich die Rechtsprechung zum OWiG Analog anwenden.

Wesentlich sind hier das OLG Karlruhe in NJW 74, 1883 sowie das OLG Hamburg in NJW 71, 1000. Die dort entwickelten Grundsätze gelten bis heute fort, dort ist auch nachzulesen, warum die Vorschrift nicht verfassungswidrig sein soll. Ein gutes Fazit findet man im Göhler, der den Gesetzestext wie folgt zusammenfasst: "Das Höchstmaß der Geldbuße darf nicht höher sein als Vorteil zzgl. Höchstmaß der Geldbuße". So existiert eine ungeschriebene Limitierung, die Probleme mit der Verhältnismäßigkeit behebt.

An den anonymen Kommentator: Du hast mit deinem unqualifizierten Post gezeigt, dass du gerade keine Ahnung zu haben scheinst, denn der §17 IV OWiG alleine ist eben kein Grund die Verfassungsmäßigkeit anzunehmen. Erst die Rechtsprechung dazu (auf die du dich nicht beziehst und die du nicht zu kennen scheinst) führt ungeschriebene (!) Grenzen ein die zu Berücksichtigen sind. Nur wenn man das begrioffen hat, versteht man nämlich, warum in Rn.10 zu §3 beim Göhler zu finden ist "Eine Bußgelddrohung in unbeschränkter Höhe ist bislang im Bundes- und Landesrecht nicht vorgesehen; sie wäre verfassungsrechtlich bedenklich". Ich muss aber der Fairness halber auf BVerfGE 35, 202, 204 hinweisen - was aber keine Entscheidung zum Thema darstellt.

Drücke dich gewählter aus und deine Kommentare werden freigeschaltet. Solange du derart rumpolterst wirst du deine Kommentare hier nicht finden - ganz besonders wenn man merkt, dass du außer dem Gesetzestext nichts gelesen hast. Kommt hier ganz schlecht an.

Prof. Dr.Herb

Die Gewinnabschöpfungsregel in § 17 Abs. 4 OWiG gilt bereits jetzt (vgl. RN 115 zu § 43 BDSG bei Bergmann/Möhrle/Herb, Datenschutzrecht, Boorberg-Verlag), weshalb die Wiederholung desselben Wortlauts in § 43 Abs. 3 des Entwurfs überflüssig ist. Das Problem sind die Praxis und die Gerichte.

Ebenso im GOla/Schomerus sowie Simitis - wenn man den §2 OWiG ("Dieses Gesetz gilt für Ordnungswidrigkeiten nach Bundesrecht und nach Landesrecht.") liest, bleibt ja auch die Frage, warum es keine Anwendung findet bzw. so diskutiert wird, als gäbe es diese Möglichkeit bisher nicht.

Fakt ist aber: Es geschah bisher (faktisch) nicht, also ist der doppelte Paragraph vielleicht gar nicht so falsch - wenn auch aus terminologischer Sicht fragwürdig.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot