SlideShare ist ein Scribd-Unternehmen logo

1612011[1]

G
gullkilla
1 von 56
Downloaden Sie, um offline zu lesen
Deutscher Bundestag Drucksache 16/12011 16. Wahlperiode 18. 02. 2009 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften A. Problem und Ziel Den Aufwendungen von Unternehmen für einen über das gesetzlich vorge- schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquater wirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere- geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin- det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu- gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 des Bundesdatenschutzgesetzes erfüllt werden. In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han- dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten ist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel- lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danach dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu- sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs- forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden. Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe- zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu- dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt- und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be- troffenen möchten über die Verwendung personenbezogener Daten für diese Zwecke selbst entscheiden können. B. Lösung Unternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlich geregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz- konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn- zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab- ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mit Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli- nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un- ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- und Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben. Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer- bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
Drucksache 16/12011 –2– Deutscher Bundestag – 16. Wahlperiode beschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei- nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit dem Betroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu- erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Daten für Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oder Meinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu- dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durch Kopplung mit dem Vertragsschluss erzwingen dürfen. C. Alternativen Keine D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 1. Haushaltsausgaben ohne Vollzugsaufwand Keine 2. Vollzugsaufwand Das Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereich beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der Durchführung des Gesetzes und der Überwachung der zugelasse- nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durch Kostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll- zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie- hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellen und der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech- nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildung eines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel in Höhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden. Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben ist im Haushaltsaufstellungsverfahren 2010 zu entscheiden. E. Sonstige Kosten Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor- schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per- sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oder der Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön- nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, bei unrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf- sichtsbehörden und Betroffenen zu benachrichtigen. Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaft nach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten- ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren auf die Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwillig ist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän- gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolge unterziehen.
Deutscher Bundestag – 16. Wahlperiode –3– Drucksache 16/12011 F. Bürokratiekosten Für die Wirtschaft werden 15 Informationspflichten neu eingeführt und eine Informationspflicht geändert. Es wird keine Informationspflicht abgeschafft. Die Summe der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio. Euro. Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt, geändert oder abgeschafft. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflicht geändert oder abgeschafft.
Deutscher Bundestag – 16. Wahlperiode –5– Drucksache 16/12011
Deutscher Bundestag – 16. Wahlperiode –7– Drucksache 16/12011 Anlage 1 Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften Vom … Der Bundestag hat das folgende Gesetz beschlossen: kontrollieren lassen, sofern sie nichtöffentliche Stellen im Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind. Sie dürfen ihr Datenschutzkonzept oder eine angebotene Artikel 1 informationstechnische Einrichtung mit einem Datenschutz- Datenschutzauditgesetz auditsiegel kennzeichnen, wenn (DSAG)* 1. bei der Datenverarbeitung, für die das Datenschutzkon- zept oder die informationstechnische Einrichtung vorge- Inhaltsübersicht sehen ist, die Vorschriften zum Schutz personenbezoge- §1 Datenschutzaudit ner Daten eingehalten werden, §2 Zuständigkeit 2. die für das Datenschutzkonzept oder die informati- §3 Kontrollen onstechnische Einrichtung geltenden Richtlinien zur Ver- §4 Zulassung der Kontrollstelle und Entziehung der besserung des Datenschutzes und der Datensicherheit Zulassung nach § 11 Absatz 1 erfüllt werden, §5 Anforderungen an das Personal der Kontrollstelle 3. als Anbieter mit Sitz im Inland die Vorschriften des Bun- desdatenschutzgesetzes über die organisatorische Stel- §6 Pflichten der Kontrollstelle lung des Beauftragten für den Datenschutz eingehalten §7 Pflichten der zuständigen Behörde werden und §8 Überwachung 4. dies nach § 3 kontrolliert wird. §9 Datenschutzauditsiegel, Verzeichnisse Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch § 10 Gebühren und Auslagen die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten- § 11 Datenschutzauditausschuss schutzgesetzes genannten Stellen. § 12 Mitglieder des Datenschutzauditausschusses §2 § 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Zuständigkeit Datenschutzauditausschusses (1) Die Durchführung dieses Gesetzes und der auf Grund § 14 Geschäftsstelle des Datenschutzauditausschusses dieses Gesetzes erlassenen Rechtsverordnungen obliegt den § 15 Rechtsaufsicht nach Landesrecht zuständigen Behörden, soweit nachste- § 16 Verordnungsermächtigungen hend nichts anderes bestimmt ist. Soweit für die geschäfts- § 17 Bußgeldvorschriften mäßige Erbringung von Post- oder Telekommunikations- diensten Daten zu natürlichen oder juristischen Personen § 18 Strafvorschriften erhoben, verarbeitet oder genutzt werden, ist zuständige Be- § 19 Einziehung hörde der Bundesbeauftragte für den Datenschutz und die § 20 Übergangsvorschrift Informationsfreiheit (Bundesbeauftragter). (2) Der Bundesbeauftragte ist zuständig für die Zulassung §1 der Kontrollstellen, die Entziehung der Zulassung und die Datenschutzaudit Vergabe der Kennnummern an die Kontrollstellen. Nach Maßgabe dieses Gesetzes können §3 1. verantwortliche Stellen ihr Datenschutzkonzept und Kontrollen 2. Anbieter von Datenverarbeitungsanlagen und -program- Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1 men (informationstechnischen Einrichtungen) die ange- Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer- botenen informationstechnischen Einrichtungen den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas- senen Kontrollstellen durchgeführt, soweit die Aufgaben- wahrnehmung nicht mit der Durchführung eines Verwal- * Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen tungsverfahrens verbunden ist. Der Beauftragte für den Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- und der Vorschriften für die Dienste der Informationsgesellschaft schutzgesetzes ist in die Durchführung der Kontrollen einzu- (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie beziehen. Art und Häufigkeit der Kontrollen richten sich 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, nach dem Risiko des Auftretens von Verstößen gegen dieses S. 81) geändert worden ist, sind beachtet worden. Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
Drucksache 16/12011 –8– Deutscher Bundestag – 16. Wahlperiode ordnungen oder die für das Datenschutzkonzept oder die in- oder Insolvenzstraftaten mit einer Strafe oder wegen formationstechnische Einrichtung geltenden Richtlinien zur Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor- Verbesserung des Datenschutzes und der Datensicherheit schriften mit einer Geldbuße in Höhe von mehr als fünf- nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine hundert Euro belegt worden ist, Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so- 2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz, bald der ordnungsgemäße Geschäftsbetrieb der Kontroll- eine auf Grund dieses Gesetzes erlassene Rechtsverord- stelle es ermöglicht, erstmalig und sodann spätestens inner- nung oder Vorschriften über den Schutz personenbezoge- halb von zwölf Monaten nach dieser Kontrolle erneut kon- ner Daten verstoßen hat oder wiederholt oder grob trolliert. Danach wird die nichtöffentliche Stelle spätestens pflichtwidrig als Beauftragter für den Datenschutz seine alle 18 Monate kontrolliert. Verpflichtungen verletzt hat, §4 3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur Zulassung der Kontrollstelle und Entziehung Bekleidung öffentlicher Ämter verloren hat, der Zulassung 4. sich nicht in geordneten wirtschaftlichen Verhältnissen (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn befindet, es sei denn, dass dadurch die Interessen der kon- trollierten nichtöffentlichen Stelle oder Dritter nicht ge- 1. ihr Leitungspersonal und die für Kontrollen verantwort- fährdet sind, oder lichen Beschäftigten über die erforderliche Zuverlässig- keit, Unabhängigkeit und fachliche Eignung verfügen, 5. aus gesundheitlichen Gründen nicht nur vorübergehend unfähig ist, die Kontrollen nach Maßgabe der nach § 16 2. die Kontrollstelle akkreditiert ist, Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung 3. die für die Zulassung erhobenen Gebühren entrichtet ordnungsgemäß durchzuführen. worden sind und (2) Über die erforderliche Unabhängigkeit verfügt, wer 4. die Kontrollstelle ihren Sitz oder eine Niederlassung im bei der Übernahme, Vorbereitung und Durchführung der Bundesgebiet hat. Kontrollen keiner persönlichen, wirtschaftlichen oder beruf- lichen Einflussnahme unterliegt, die geeignet ist, ein objek- Mit der Zulassung ist der Kontrollstelle eine Kennnummer tives Urteil zu beeinträchtigen. Für die Unabhängigkeit und zuzuteilen. Freiheit von Interessenkonflikten bietet in der Regel keine (2) Die Zulassung wird für das gesamte Bundesgebiet er- Gewähr, wer teilt. Auf Antrag kann die Zulassung auf einzelne Länder be- 1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oder schränkt werden. Angestellter einer nichtöffentlichen Stelle ist, auf die sich (3) Die Zulassung kann mit Befristungen, Bedingungen seine Kontrolltätigkeit bezieht, oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla- 2. als Leitungspersonal der Kontrollstelle eine Tätigkeit auf gen verbunden werden, soweit die Funktionsfähigkeit des Grund eines Beamtenverhältnisses, Soldatenverhältnis- Kontrollsystems oder Belange des Datenschutzes hinsicht- ses oder eines Anstellungsvertrages mit einer juristischen lich der Voraussetzungen nach Absatz 1 Nummer 1 oder Person des öffentlichen Rechts, eine Tätigkeit auf Grund Nummer 2 dies erfordern. Unter denselben Voraussetzungen eines Richterverhältnisses, öffentlich-rechtlichen Dienst- ist die nachträgliche Aufnahme und die Änderung von Auf- verhältnisses als Wahlbeamter auf Zeit oder eines öffent- lagen zulässig. lich-rechtlichen Amtsverhältnisses ausübt, es sei denn, (4) Einer Kontrollstelle wird die Zulassung entzogen, dass die übertragenen Aufgaben ehrenamtlich wahrge- wenn die Kontrollstelle nommen werden, 1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 3. Weisungen auf Grund vertraglicher oder sonstiger Bezie- Nummer 2 oder Nummer 4 nicht mehr genügt, hungen bei der Tätigkeit für die Kontrollstelle auch dann 2. ihren Verpflichtungen nach diesem Gesetz, insbesondere zu befolgen hat, wenn sie zu Handlungen gegen seine nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund Überzeugung verpflichten, dieses Gesetzes erlassenen Rechtsverordnung in schwer- 4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso- wiegender Weise nicht nachkommt. nell mit Dritten verflochten ist, wenn nicht deren Ein- flussnahme auf die Wahrnehmung der Aufgaben für die §5 Kontrollstelle, insbesondere durch Satzung, Gesell- Anforderungen an das Personal der Kontrollstelle schaftsvertrag oder Anstellungsvertrag ausgeschlossen ist. (1) Über die erforderliche Zuverlässigkeit verfügt, wer auf Grund seiner persönlichen Eigenschaften, seines Verhal- (3) Über die erforderliche fachliche Eignung verfügt, wer tens und seiner Fähigkeiten die Gewähr für die ordnungsge- auf Grund seiner Ausbildung, beruflichen Bildung und prak- mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm die Zuverlässigkeit bietet in der Regel keine Gewähr, wer obliegenden Aufgaben befähigt ist. Im Bereich Recht sind nachzuweisen: 1. ausweislich eines Führungszeugnisses für Behörden nach § 30 Absatz 5, § 31 des Bundeszentralregistergesetzes 1. der Abschluss eines Studiums der Rechtswissenschaft wegen Verletzung der Vorschriften des Strafrechts über oder eines Studiums auf einem anderen Gebiet mit den persönlichen Lebens- und Geheimbereich, über rechtswissenschaftlichen Inhalten, die den Umfang eines Eigentums- und Vermögensdelikte, Urkundenfälschung durchschnittlichen Nebenfachstudiums der Rechtswis-
Deutscher Bundestag – 16. Wahlperiode –9– Drucksache 16/12011 senschaft nicht unterschreiten, an einer deutschen Hoch- (4) Die Kontrollstelle unterrichtet die von ihr kontrollier- schule oder ein gleichwertiger ausländischer Abschluss ten nichtöffentlichen Stellen, die nach Landesrecht für die sowie eine dreijährige berufliche Tätigkeit mit dem Sitze oder Niederlassungen der nichtöffentlichen Stellen zu- Schwerpunkt auf dem Gebiet des Datenschutzrechts oder ständigen Behörden sowie den Bundesbeauftragten, 2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 1. spätestens drei Monate vor der beabsichtigten Einstel- sowie eine mindestens fünfjährige berufliche Tätigkeit lung ihrer Tätigkeit, mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 2. im Falle eines Antrags auf Eröffnung eines Insolvenzver- rechts. fahrens unverzüglich. Im Bereich Informationstechnik sind nachzuweisen: Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif- ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn 1. der Abschluss eines Studiums der Informatik, der Wirt- die Kontrolle der von ihr kontrollierten nichtöffentlichen schaftsinformatik oder eines Studiums auf einem anderen Stellen durch eine andere Kontrollstelle sichergestellt ist. Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen §7 Hochschule oder ein gleichwertiger ausländischer Ab- Pflichten der zuständigen Behörde schluss sowie eine dreijährige berufliche Tätigkeit mit (1) Die Kontrollstelle wird von der zuständigen Behörde dem Schwerpunkt auf dem Gebiet der Informationstech- des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt, nik oder überwacht, indem die zuständige Behörde bei Bedarf Über- prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei- 2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der len die zuständigen Behörden einander die zur Überwachung Informationstechnik sowie eine mindestens fünfjährige der Kontrollstellen erforderlichen Auskünfte. Stellt die zu- berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge- ständige Behörde Tatsachen fest, die die Entziehung der Zu- biet der Informationstechnik. lassung rechtfertigen oder die Aufnahme oder Änderung von Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- Auflagen zur Zulassung erforderlich machen können, hat sie dens für die Kontrollstelle nicht seit mehr als drei Jahren un- 1. wenn der Ort der zu beanstandenden Kontrolltätigkeit terbrochen sein. und der Sitz oder die Niederlassung der Kontrollstelle in demselben Land liegen, beim Bundesbeauftragten unter §6 Mitteilung dieser Tatsachen die Entziehung der Zulas- Pflichten der Kontrollstelle sung oder die Aufnahme oder Änderung von Auflagen anzuregen oder, (1) Die Kontrollstelle hat ein Datenschutzkonzept oder eine informationstechnische Einrichtung gegen angemes- 2. wenn der Ort der zu beanstandenden Kontrolltätigkeit sene Vergütung in ihre Kontrollen einzubeziehen, soweit die und der Sitz oder die Niederlassung der Kontrollstelle in nichtöffentliche Stelle die Einbeziehung verlangt und ihren verschiedenen Ländern liegen, der zuständigen Behörde Sitz oder eine Niederlassung in dem Land hat, in dem die des Landes, in dem der Sitz oder die Niederlassung der Kontrollstelle zugelassen ist. Die zuständige Behörde kann Kontrollstelle liegt, die Tatsachen mitzuteilen. auf Antrag der Kontrollstelle eine Ausnahme von der Ver- Erhält die zuständige Behörde des Landes, in dem der Sitz pflichtung nach Satz 1 zulassen, soweit oder die Niederlassung der Kontrollstelle liegt, Kenntnis von 1. die Kontrollstelle wirksame Kontrollen nicht gewährleis- Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes- ten kann und beauftragten unter Mitteilung dieser Tatsachen an, ein Ver- fahren zur Entziehung der Zulassung oder zur Aufnahme 2. die Durchführung der Kontrollen durch eine andere oder Änderung von Auflagen einzuleiten. Im Rahmen des Kontrollstelle sichergestellt ist. § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle (2) Die Kontrollstelle übermittelt der zuständigen Behör- nach Satz 1 durch den Bundesbeauftragten überwacht. den jährlich bis zum 31. Januar ein Verzeichnis der nicht- (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständige öffentlichen Stellen, die am 31. Dezember des Vorjahres Behörde anordnen, dass von dem Verstoß betroffene Daten- ihrer Kontrolle unterstanden und legt bis zum 31. März jedes schutzkonzepte oder informationstechnische Einrichtungen Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor. nicht mit dem Datenschutzauditsiegel gekennzeichnet wer- den dürfen, wenn dies in einem angemessenen Verhältnis zur (3) Die Kontrollstellen erteilen einander die für eine ord- Bedeutung der Vorschrift, gegen die verstoßen wurde, sowie nungsgemäße Durchführung dieses Gesetzes notwendigen zu Art und Umständen des Verstoßes steht. Im Falle eines Auskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- schwerwiegenden Verstoßes oder eines Verstoßes mit Lang- stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie zeitwirkung kann die zuständige Behörde der nichtöffent- unverzüglich die zuständige Behörde. Soweit eine Kontroll- lichen Stelle die Kennzeichnung für einen bestimmten Zeit- stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- raum untersagen. sachen feststellt, die einen hinreichenden Verdacht auf Ver- stöße der in Satz 2 genannten Art begründen, der eine nicht von der Kontrollstelle kontrollierte nichtöffentliche Stelle §8 betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich Überwachung der Kontrollstelle mit, deren Kontrolle die betroffene nicht- (1) Die nichtöffentlichen Stellen und die Kontrollstellen öffentliche Stelle untersteht. haben den zuständigen Behörden auf Verlangen die zur
Drucksache 16/12011 – 10 – Deutscher Bundestag – 16. Wahlperiode Durchführung der den zuständigen Behörden durch dieses § 10 Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- Gebühren und Auslagen ben erforderlichen Auskünfte zu erteilen. (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und (2) Die von der zuständigen Behörde beauftragten Perso- Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung des nen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- Verwaltungsaufwandes Gebühren und Auslagen erhoben triebsräume der Auskunftspflichtigen während der Ge- werden. Das Bundesministerium des Innern wird ermächtigt, schäfts- oder Betriebszeit betreten und dort Besichtigungen im Einvernehmen mit dem Bundesministerium der Finanzen vornehmen und geschäftliche Unterlagen einsehen und prü- durch Rechtsverordnung ohne Zustimmung des Bundesrates fen, soweit dies zur Durchführung ihrer Aufgaben erforder- die gebührenpflichtigen Tatbestände, die Gebührensätze so- lich ist. wie die Auslagenerstattung zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen. In der Rechtsverord- (3) Auskunftspflichtige haben die Maßnahmen nach nung kann die Erstattung von Auslagen abweichend vom Absatz 2 zu dulden, die zu besichtigenden Bereiche selbst Verwaltungskostengesetz geregelt werden. oder durch andere so zu bezeichnen, dass die Besichtigung ordnungsgemäß vorgenommen werden kann, selbst oder (2) Für Amtshandlungen der zuständigen Behörden nach durch andere die erforderliche Hilfe bei Besichtigungen zu § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren und leisten sowie die geschäftlichen Unterlagen zur Einsicht- Auslagen nach Maßgabe des Landesrechts erhoben werden. nahme und Prüfung vorzulegen. § 11 (4) Auskunftspflichtige können die Auskunft auf solche Datenschutzauditausschuss Fragen verweigern, deren Beantwortung sie oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- Beim Bundesbeauftragten wird ein Datenschutzauditaus- zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- schuss gebildet. Er erlässt Richtlinien zur Verbesserung des folgung oder eines Verfahrens nach dem Gesetz über Ord- Datenschutzes und der Datensicherheit, insbesondere durch nungswidrigkeiten aussetzen würde. Auskunftspflichtige 1. Transparenz der Datenerhebung, -verarbeitung und -nut- sind darauf hinzuweisen. zung, (5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 2. Datenvermeidung und Datensparsamkeit nach § 3a des trollen der nichtöffentlichen Stellen durch die Kontrollstel- Bundesdatenschutzgesetzes, len. 3. die Stärkung der organisatorischen Stellung des Be- auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1 §9 des Bundesdatenschutzgesetzes, Datenschutzauditsiegel, Verzeichnisse 4. technische und organisatorische Maßnahmen nach § 9 (1) Wer ein Datenschutzkonzept oder eine informations- des Bundesdatenschutzgesetzes. technische Einrichtung mit dem Datenschutzauditsiegel Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei- kennzeichnen will, hat dies dem Bundesbeauftragten vor der ner Internetseite und im elektronischen Bundesanzeiger. erstmaligen Verwendung des Siegels anzuzeigen. Der Bun- desbeauftragte hat ein Verzeichnis der angezeigten Daten- (2) Der Datenschutzauditausschuss unterrichtet die Öf- schutzkonzepte sowie informationstechnischen Einrichtun- fentlichkeit jährlich in einem Bericht über seine Tätigkeit gen mit den Angaben nach Satz 3 zu führen und zum Zwecke und Erfahrungen, insbesondere über Praktikabilität und er- der Information der zuständigen Behörden und der Betroffe- forderliche Änderungen erlassener Richtlinien sowie den nen auf seiner Internetseite sowie im elektronischen Bundes- Bedarf für neue Richtlinien. anzeiger zu veröffentlichen. Das Verzeichnis muss folgende Angaben enthalten: § 12 Mitglieder des Datenschutzauditausschusses 1. den Namen und die Anschrift oder die der nichtöffent- lichen Stelle durch die Kontrollstelle zugeordnete alpha- (1) Mitglieder des Datenschutzauditausschusses sind numerische Identifikationsnummer, 1. zwei Vertreter der Verwaltung des Bundes, 2. den Namen und die Anschrift oder die Kennnummer der 2. zwei Vertreter des Bundesamtes für Sicherheit in der In- Kontrollstelle, formationstechnik, 3. das angezeigte Datenschutzkonzept sowie die informa- 3. zwei Vertreter des Bundesbeauftragten, tionstechnische Einrichtung. 4. zwei Vertreter der Verwaltung der Länder, Weitere Angaben darf das Verzeichnis nicht enthalten. 5. vier Vertreter von Aufsichtsbehörden der Länder für den (2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- Datenschutz im nichtöffentlichen Bereich, lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 6. sechs Vertreter von Unternehmen oder ihren Verbänden. führen und zum Zwecke der Information der zuständigen Behörden und der Betroffenen auf seiner Internetseite sowie Sie unterliegen keinen Weisungen und sind ehrenamtlich tä- im elektronischen Bundesanzeiger zu veröffentlichen. Das tig. Die §§ 83 und 84 des Verwaltungsverfahrensgesetzes Verzeichnis enthält die Namen, Anschriften und Kennnum- sind anzuwenden. mern der zugelassenen Kontrollstellen. Weitere Angaben (2) Die Mitglieder des Datenschutzauditausschusses müs- darf es nicht enthalten. sen über gründliche Fachkenntnisse und mindestens dreijäh-
Deutscher Bundestag – 16. Wahlperiode – 11 – Drucksache 16/12011 rige praktische Erfahrungen auf dem Gebiet des Datenschut- aufheben. Wenn der Datenschutzauditausschuss Beschlüsse zes verfügen. oder sonstige Handlungen unterlässt, die zur Erfüllung sei- (3) Das Bundesministerium des Innern beruft die Mitglie- ner gesetzlichen Aufgaben erforderlich sind, kann die Auf- der des Datenschutzauditausschusses und für jedes Mitglied sichtsbehörde anordnen, dass innerhalb einer bestimmten einen Stellvertreter für die Dauer von drei Jahren, die Mit- Frist die erforderlichen Maßnahmen getroffen werden. Die glieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag Aufsichtsbehörde hat die geforderten Handlungen im Ein- und jeweils im Einvernehmen mit dem Bundesbeauftragten, zelnen zu bezeichnen. Sie kann ihre Anordnung selbst den für den Datenschutz zuständigen obersten Landesbehör- durchführen oder von einem anderen durchführen lassen, den, den Aufsichtsbehörden nach § 38 des Bundesdaten- wenn die Anordnung vom Datenschutzauditausschuss nicht schutzgesetzes sowie den Bundesdachverbänden der Wirt- befolgt worden ist. schaft. (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei- (4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur chen, kann die Aufsichtsbehörde den Datenschutzauditaus- mit beratender Stimme hinzuzuziehen, soweit Gegenstand schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeit der Sitzung eine Richtlinie ist, die nichtöffentliche Stellen der Auflösungsanordnung unverzüglich neue Mitglieder ge- betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni- mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagene kationsgesetzes oder § 42 Absatz 3 des Postgesetzes der Personen nicht zu berücksichtigen, die dem aufgelösten Da- Kontrolle des Bundesbeauftragten unterliegen. tenschutzauditausschuss angehört haben. § 13 § 16 Geschäftsordnung, Vorsitz und Beschlussfassung Verordnungsermächtigungen des Datenschutzauditausschusses (1) Die Landesregierungen werden ermächtigt, durch (1) Der Datenschutzauditausschuss gibt sich eine Ge- Rechtsverordnung schäftsordnung, die der Genehmigung durch das Bundes- 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab- ministerium des Innern bedarf. satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be- (2) Der Datenschutzauditausschuss wählt den Vorsitzen- leihen oder sie an der Erfüllung der Aufgaben zu beteili- den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss gen, jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 2. die Voraussetzungen und das Verfahren der Beleihung tionen, der Aufsichtsbehörden für den Datenschutz und der und der Beteiligung zu regeln. Verwaltung gehören. Die Landesregierungen können die Ermächtigung durch (3) Der Datenschutzauditausschuss beschließt Rechtsverordnung ganz oder teilweise auf andere Behörden 1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der des Landes übertragen. Mehrheit von zwei Dritteln der gesetzlichen Mitglieder (2) Die Bundesregierung wird ermächtigt, nach Anhörung und des Bundesbeauftragten durch Rechtsverordnung ohne Zu- 2. in Angelegenheiten der Geschäftsordnung mit der Mehr- stimmung des Bundesrates heit der gesetzlichen Mitglieder. 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu § 14 beleihen oder sie an der Erfüllung der Aufgaben zu betei- Geschäftsstelle des Datenschutzauditausschusses ligen, Der Datenschutzauditausschuss wird bei der Durchfüh- 2. die Voraussetzungen und das Verfahren der Beleihung rung seiner Aufgaben durch eine Geschäftsstelle unterstützt, und der Beteiligung zu regeln. die den Weisungen des Vorsitzenden des Datenschutzaudit- ausschusses unterliegt. (3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates § 15 nähere Regelungen zu treffen über Rechtsaufsicht 1. die Einzelheiten der Verwendung des Datenschutzaudit- (1) Der Datenschutzauditausschuss untersteht der Auf- siegels, um eine einheitliche Kennzeichnung und eindeu- sicht des Bundesministeriums des Innern (Aufsichtsbehör- tige Erkennbarkeit der Kennzeichnung der Datenschutz- de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit konzepte und informationstechnischen Einrichtungen zu der Ausschusstätigkeit, insbesondere darauf, dass die Aufga- gewährleisten, be nach § 11 Absatz 1 Satz 2 erfüllt wird. 2. die Voraussetzungen und das Verfahren der Zulassung (2) Die Aufsichtsbehörde kann an den Sitzungen des Da- nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen und tenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen das Verfahren der Entziehung der Zulassung nach § 4 das Wort zu erteilen. Sie kann schriftliche Berichte und die Absatz 4, § 7 Absatz 1 Satz 3 und 4, Vorlage von Akten verlangen. 3. die Mindestanforderungen an die Kontrollen und die im (3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der Rahmen der Kontrollen vorgesehenen Vorkehrungen, Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe- 4. die Gestaltung des Datenschutzauditsiegels, hörde kann rechtswidrige Beschlüsse des Datenschutzaudit- ausschusses beanstanden und nach vorheriger Beanstandung 5. die Anzeige nach § 9 Absatz 1 Satz 1.
Drucksache 16/12011 – 12 – Deutscher Bundestag – 16. Wahlperiode § 17 Artikel 2 Bußgeldvorschriften Änderung des Bundesdatenschutzgesetzes (1) Ordnungswidrig handelt, wer Das Bundesdatenschutzgesetz in der Fassung der Be- 1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt tig, nicht vollständig oder nicht rechtzeitig übermittelt geändert durch das Gesetz vom …, wird wie folgt geändert: oder einen dort genannten Bericht nicht, nicht richtig 1. Die Inhaltsübersicht wird wie folgt geändert: oder nicht rechtzeitig vorlegt, a) Nach der Angabe zu § 9 wird die Angabe „§ 9a 2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- Datenschutzaudit“ gestrichen. ständige Behörde, eine nichtöffentliche Stelle oder den b) Die Angabe zu § 28 wie folgt gefasst: Bundesbeauftragten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke“. 3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, c) Nach der Angabe zu § 42 wird folgende Angabe ein- gefügt: 4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, „§ 42a Informationspflicht bei unrechtmäßiger Kennt- nicht vollständig oder nicht rechtzeitig erteilt, niserlangung von Daten“. 5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder d) Nach der Angabe zu § 46 wird folgende Angabe ein- gefügt: 6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, „§ 47 Übergangsregelung“. eine Anzeige nicht, nicht richtig, nicht vollständig oder 2. Dem § 4f Absatz 3 werden folgende Sätze angefügt: nicht rechtzeitig erstattet. „Ist nach Absatz 1 ein Beauftragter für den Datenschutz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- zu bestellen, so ist die Kündigung des Arbeitsverhältnis- sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 ses unzulässig, es sei denn, dass Tatsachen vorliegen, zuwiderhandelt. welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (3) Die Ordnungswidrigkeit kann in den Fällen des berechtigen. Nach der Abberufung als Beauftragter für Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend den Datenschutz ist die Kündigung innerhalb eines Jah- Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- res nach der Beendigung der Bestellung unzulässig, es sei zigtausend Euro geahndet werden. Die Geldbuße soll den denn, dass die verantwortliche Stelle zur Kündigung aus wirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- wichtigem Grund ohne Einhaltung einer Kündigungsfrist rigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- berechtigt ist. Zur Erhaltung der zur Erfüllung seiner nannten Beträge hierfür nicht aus, können sie überschritten Aufgaben erforderlichen Fachkunde hat die verantwort- werden. liche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen § 18 zu ermöglichen und deren Kosten zu übernehmen.“ Strafvorschriften 3. § 9a wird aufgehoben. Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3 lung in der Absicht begeht, sich oder einen anderen zu berei- Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2 chern oder einen anderen zu schädigen, wird mit Freiheits- Buchstabe a“ ersetzt. strafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 5. § 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst: § 19 Einziehung „§ 28 Datenerhebung und -speicherung für eigene Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder Geschäftszwecke“. Absatz 2 oder eine Straftat nach § 18 begangen worden, kön- nen Gegenstände, auf die sich die Straftat oder die Ord- b) In Absatz 1 Satz 1 Nummer 1 werden die Wörter nungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- „Vertragsverhältnisses oder vertragsähnlichen Ver- gehung oder Vorbereitung gebraucht worden oder bestimmt trauensverhältnisses“ durch die Wörter „rechtsge- gewesen sind, eingezogen werden. § 23 des Gesetzes über schäftlichen oder rechtsgeschäftsähnlichen Schuld- Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind verhältnisses“ ersetzt. anzuwenden. c) Absatz 2 wird wie folgt gefasst: „(2) Die Übermittlung oder Nutzung für einen an- § 20 deren Zweck ist zulässig Übergangsvorschrift 1. unter den Voraussetzungen des Absatzes 1 Satz 1 § 1 ist erst ab dem 1. Juli 2010 anzuwenden. Nummer 2 oder Nummer 3,
Deutscher Bundestag – 16. Wahlperiode – 13 – Drucksache 16/12011 2. soweit es erforderlich ist oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen a) zur Wahrung berechtigter Interessen eines Drit- nicht entgegenstehen. Nach den Sätzen 1 bis 3 über- ten oder mittelte Daten dürfen nur für den Zweck verarbeitet b) zur Abwehr von Gefahren für die staatliche oder genutzt werden, für den sie übermittelt worden oder öffentliche Sicherheit oder zur Verfolgung sind.“ von Straftaten e) Nach Absatz 3 werden folgende Absätze 3a und 3b und kein Grund zu der Annahme besteht, dass der eingefügt: Betroffene ein schutzwürdiges Interesse an dem „(3a) Wird die Einwilligung nach § 4a Absatz 1 Ausschluss der Übermittlung oder Nutzung hat, Satz 3 in anderer Form als der Schriftform erteilt, hat oder die verantwortliche Stelle dem Betroffenen den Inhalt 3. wenn es im Interesse einer Forschungseinrichtung der Einwilligung schriftlich zu bestätigen, es sei denn, zur Durchführung wissenschaftlicher Forschung dass die Einwilligung elektronisch erklärt wird und erforderlich ist, das wissenschaftliche Interesse an die verantwortliche Stelle sicherstellt, dass die Ein- der Durchführung des Forschungsvorhabens das willigung protokolliert wird und der Betroffene deren Interesse des Betroffenen an dem Ausschluss der Inhalt jederzeit abrufen und die Einwilligung jederzeit Zweckänderung erheblich überwiegt und der mit Wirkung für die Zukunft widerrufen kann. Eine Zweck der Forschung auf andere Weise nicht oder zusammen mit anderen Erklärungen erteilte Einwilli- nur mit unverhältnismäßigem Aufwand erreicht gung ist nur wirksam, wenn der Betroffene durch An- werden kann.“ kreuzen, durch eine gesonderte Unterschrift oder durch ein anderes, ausschließlich auf die Einwilligung d) Absatz 3 wird wie folgt gefasst: in die Verarbeitung oder Nutzung der Daten für „(3) Die Verarbeitung oder Nutzung personenbezo- Zwecke des Adresshandels, der Werbung oder der gener Daten für Zwecke des Adresshandels, der Wer- Markt- oder Meinungsforschung bezogenes Tun bung oder der Markt- oder Meinungsforschung ist zu- zweifelsfrei zum Ausdruck bringt, dass er die Einwil- lässig, soweit der Betroffene nach Maßgabe des ligung bewusst erteilt. Absatzes 3a eingewilligt hat. Darüber hinaus ist die (3b) Die verantwortliche Stelle darf den Abschluss Verarbeitung oder Nutzung personenbezogener Daten eines Vertrags nicht von einer Einwilligung des Be- zulässig, soweit es sich um listenmäßig oder sonst zu- troffenen nach Absatz 3 Satz 1 abhängig machen, sammengefasste Daten über Angehörige einer Perso- wenn dem Betroffenen ein anderer Zugang zu gleich- nengruppe handelt, die sich auf die Zugehörigkeit des wertigen vertraglichen Leistungen ohne die Einwilli- Betroffenen zu dieser Personengruppe, seine Berufs-, gung nicht oder nicht in zumutbarer Weise möglich Branchen- oder Geschäftsbezeichnung, seinen Na- ist.“ men, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung f) Absatz 4 wird wie folgt geändert: oder Nutzung aa) In Satz 1 werden das Wort „Nutzung“ jeweils 1. für Zwecke der Werbung für eigene Angebote oder durch das Wort „Verarbeitung“ und das Wort der eigenen Markt- oder Meinungsforschung der „Übermittlung“ jeweils durch das Wort „Nut- verantwortlichen Stelle erforderlich ist, die diese zung“ ersetzt. Daten mit Ausnahme der Angabe zur Gruppenzu- bb) In Satz 2 werden nach dem Wort „Ansprache“ die gehörigkeit beim Betroffenen nach § 28 Absatz 1 Wörter „und in den Fällen des Absatzes 1 Satz 1 Satz 1 Nummer 1 erhoben hat, Nummer 1 auch bei Begründung des rechts- 2. für Zwecke der Werbung oder der Markt- oder geschäftlichen oder rechtsgeschäftsähnlichen Meinungsforschung gegenüber freiberuflich oder Schuldverhältnisses“ eingefügt. gewerblich Tätigen unter deren Geschäftsadresse cc) Satz 3 wird wie folgt geändert: erforderlich ist oder aaa) Nach dem Wort „Daten“ werden die Wörter 3. für Zwecke der Spendenwerbung einer verant- „im Rahmen der Zwecke“ eingefügt. wortlichen Stelle erforderlich ist, wenn Spenden an diese gemäß § 10b Absatz 1 und § 34g des Ein- bbb) Das Wort „werden“ wird durch die Wörter kommensteuergesetzes steuerbegünstigt sind. „worden sind“ ersetzt. Für Zwecke nach Satz 2 Nummer 1 darf die ver- dd) Folgender Satz wird angefügt: antwortliche Stelle zu den dort genannten Daten wei- „In den Fällen des Absatzes 1 Satz 1 Nummer 1 tere Daten hinzuspeichern. Die Nutzung personenbe- darf für den Widerspruch keine strengere Form zogener Daten für Zwecke der Werbung oder der verlangt werden als für die Begründung des Markt- oder Meinungsforschung ist zudem zulässig, rechtsgeschäftlichen oder rechtsgeschäftsähn- soweit sie zusammen mit Werbung oder Markt- oder lichen Schuldverhältnisses.“ Meinungsforschung nach Satz 2 Nummer 1 oder mit der Durchführung eines rechtsgeschäftlichen oder g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“ rechtsgeschäftsähnlichen Schuldverhältnisses nach durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“ Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung ersetzt.
Drucksache 16/12011 – 14 – Deutscher Bundestag – 16. Wahlperiode 6. § 29 wird wie folgt geändert: ten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbe- a) Absatz 1 wird wie folgt geändert: sondere auf Grund der Vielzahl der betroffenen Fälle, tritt aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort an ihre Stelle die Information der Öffentlichkeit durch „und“ durch das Wort „oder“ ersetzt. Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitun- bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ gen. Eine Benachrichtigung, die der Benachrichtigungs- durch die Wörter „§ 28 Absatz 1 Satz 1 und pflichtige erteilt hat, darf in einem Strafverfahren oder in Absatz 3 bis 3b“ ersetzt. einem Verfahren nach dem Gesetz über Ordnungswidrig- b) Absatz 2 wird wie folgt geändert: keiten gegen ihn oder einen in § 52 Absatz 1 der Straf- prozessordnung bezeichneten Angehörigen des Benach- aa) Satz 1 Nummer 1 wird wie folgt gefasst: richtigungspflichtigen nur mit Zustimmung des Benach- „1. der Dritte, dem die Daten übermittelt wer- richtigungspflichtigen verwendet werden.“ den, ein berechtigtes Interesse an ihrer 9. § 43 wird wie folgt geändert: Kenntnis glaubhaft dargelegt hat und“. a) Absatz 1 wird wie folgt geändert: bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“ durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. aa) Nach Nummer 2 werden folgende Nummern 2a und 2b eingefügt: cc) In Satz 3 wird nach der Angabe „Nummer 1“ die Angabe „Buchstabe a“ gestrichen. „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge- währleistet, dass die Datenübermittlung 7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden festgestellt und überprüft werden kann, die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf- trag nicht, nicht richtig, nicht vollständig 8. Nach § 42 wird folgender § 42a eingefügt: oder nicht in der vorgeschriebenen Weise „§ 42a erteilt,“. Informationspflicht bei unrechtmäßiger bb) Nach Nummer 3 wird folgende Nummer 3a ein- Kenntniserlangung von Daten gefügt: Stellt eine nichtöffentliche Stelle im Sinne des § 2 „3a. entgegen § 28 Absatz 4 Satz 4 eine stren- Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 gere Form verlangt,“. Satz 1 Nummer 2 fest, dass bei ihr gespeicherte b) Absatz 2 wird wie folgt geändert: 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), aa) In Nummer 5 werden die Wörter „, indem er sie 2. personenbezogene Daten, die einem Berufsgeheimnis an Dritte weitergibt“ und am Ende das Wort unterliegen, „oder“ gestrichen. 3. personenbezogene Daten, die sich auf strafbare Hand- bb) Folgende Nummer 5a wird angefügt: lungen oder Ordnungswidrigkeiten oder den Verdacht „5a. entgegen § 28 Absatz 4 Satz 1 Daten für strafbarer Handlungen oder Ordnungswidrigkeiten Zwecke der Werbung oder der Markt- oder beziehen, oder Meinungsforschung verarbeitet oder nutzt,“. 4. personenbezogene Daten zu Bank- oder Kreditkarten- cc) In Nummer 6 wird der Punkt am Ende durch das konten Wort „oder“ ersetzt. unrechtmäßig übermittelt oder auf sonstige Weise Dritten dd) Folgende Nummer 7 wird angefügt: unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder „7. entgegen § 42a Satz 1 eine Mitteilung nicht, schutzwürdigen Interessen der Betroffenen, hat sie dies nicht richtig, nicht vollständig oder nicht nach den Sätzen 2 bis 5 unverzüglich der zuständigen rechtzeitig macht.“ Aufsichtsbehörde sowie den Betroffenen mitzuteilen. c) Absatz 3 wird wie folgt geändert: Die Benachrichtigung des Betroffenen muss unver- züglich erfolgen, sobald angemessene Maßnahmen zur aa) Das Wort „fünfundzwanzigtausend“ wird durch Sicherung der Daten ergriffen worden oder nicht unver- das Wort „fünfzigtausend“ und das Wort „zwei- züglich erfolgt sind und die Strafverfolgung nicht mehr hundertfünfzigtausend“ wird durch das Wort gefährdet wird. Die Benachrichtigung der Betroffenen „dreihunderttausend“ ersetzt. muss eine Darlegung der Art der unrechtmäßigen Kennt- bb) Nach Satz 1 werden folgende Sätze eingefügt: niserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die „Die Geldbuße soll den wirtschaftlichen Vorteil, Benachrichtigung der zuständigen Aufsichtsbehörde den der Täter aus der Ordnungswidrigkeit gezo- muss zusätzlich eine Darlegung möglicher nachteiliger gen hat, übersteigen. Reichen die in Satz 1 ge- Folgen der unrechtmäßigen Kenntniserlangung und der nannten Beträge hierfür nicht aus, so können sie von der Stelle daraufhin ergriffenen Maßnahmen enthal- überschritten werden.“
Deutscher Bundestag – 16. Wahlperiode – 15 – Drucksache 16/12011 10. Nach § 46 wird folgender § 47 eingefügt: 4. § 16 Absatz 2 wird wie folgt geändert: „§47 a) Nummer 2 wird aufgehoben. Übergangsregelung b) Die bisherigen Nummern 3 bis 6 werden die Num- Für die Verarbeitung und Nutzung vor dem 1. Juli mern 2 bis 5. 2009 erhobener Daten ist § 28 in der bis dahin gelten- den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“ Artikel 4 Artikel 3 Änderung des Telekommunikationsgesetzes Änderung des Telemediengesetzes* Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt Das Telemediengesetz vom 26. Februar 2007 (BGBl. I geändert: S. 179) wird wie folgt geändert: 1. Dem § 93 wird folgender Absatz 3 angefügt: 1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15 Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter „(3) Stellt der Diensteanbieter fest, dass bei ihm ge- „§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. speicherte Bestandsdaten oder Verkehrsdaten unrechtmä- ßig übermittelt worden oder auf sonstige Weise Dritten 2. § 12 wird wie folgt geändert: zur Kenntnis gelangt sind, und drohen schwerwiegende a) Absatz 3 wird aufgehoben. Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bun- b) Der bisherige Absatz 4 wird Absatz 3. desdatenschutzgesetzes entsprechend.“ 3. Nach § 15 wird folgender § 15a eingefügt: 2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni- „§ 15a kationsdiensten“ die Wörter „ohne die Einwilligung“ ein- Informationspflicht bei unrechtmäßiger gefügt. Kenntniserlangung von Daten Stellt der Diensteanbieter fest, dass bei ihm gespei- cherte Bestands- oder Nutzungsdaten unrechtmäßig Artikel 5 übermittelt worden oder auf sonstige Weise Dritten zur Bekanntmachungserlaubnis Kenntnis gelangt sind, und drohen schwerwiegende Be- einträchtigungen für die Rechte oder schutzwürdigen In- Das Bundesministerium des Innern kann den Wortlaut des teressen des betroffenen Nutzers, gilt § 42a des Bundes- Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel- datenschutzgesetzes entsprechend.“ tenden Fassung im Bundesgesetzblatt bekannt machen. * Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Artikel 6 Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Inkrafttreten und der Vorschriften für die Dienste der Informationsgesellschaft (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie Tag nach der Verkündung in Kraft. 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, S. 82) geändert worden ist, sind beachtet worden. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
Drucksache 16/12011 – 16 – Deutscher Bundestag – 16. Wahlperiode Begründung A. Allgemeiner Teil gekennzeichnete Datenschutzkonzepte oder informations- technische Einrichtungen an dem Datenschutzauditsiegel I. Ziel und Inhalt des Entwurfs erkennen und bei der Entscheidung zwischen mehreren An- In der jüngeren Vergangenheit sind zunehmend Fälle des un- bietern berücksichtigen. Anstrengungen, die über die gesetz- berechtigten Handels mit personenbezogenen Daten bekannt lichen Anforderungen in Bezug auf den Datenschutz hinaus- geworden. Die Herkunft der Daten ist größtenteils nicht gehen, können für Unternehmen einen wirtschaftlichen nachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 Mehrwert darstellen. Zugleich wird bei den Verbrauchern Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes Bewusstsein für die Datenschutzrelevanz eines Produktes hat sich dabei für die Herstellung der notwendigen Transpa- oder einer Dienstleistung geschaffen und gefördert. renz als besonders nachteilig erwiesen. Danach dürfen be- stimmte personenbezogene Daten, wenn sie listenmäßig II. Gesetzgebungskompetenz oder sonst zusammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ohne Einwilli- Die Gesetzgebungskompetenz des Bundes folgt für Rege- gung der Betroffenen übermittelt oder genutzt werden. Die lungen des Datenschutzes als Annex aus der Kompetenz für praktische Anwendung dieser Vorschrift hat dazu geführt, die geregelte Sachmaterie. dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig zum Erwerb oder zur Nutzung angeboten werden, Einem Datenschutzaudit nach Artikel 1 können sich private ohne in jedem Fall die in der Vorschrift angelegten Anforde- Unternehmen und diesen gleichgestellte öffentlich-recht- rungen zu beachten. Personenbezogene Daten werden ohne liche Wettbewerbsunternehmen unterziehen. Betroffene Beachtung der Zweckbindung verarbeitet und mit weiteren Sachmaterie ist daher ganz überwiegend das Recht der Wirt- Daten verknüpft und weiter übermittelt. Zudem hat sich das schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes). Verhältnis der Bürgerinnen und Bürger zur Werbung und Die Berechtigung des Bundes zur Inanspruchnahme der Ge- Markt- oder Meinungsforschung seit der Einführung der setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2 Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- Grundgesetz. Eine bundesgesetzliche Regelung über ein delt. Die gezielte Ansprache zum Zwecke der Werbung oder Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit im Markt- oder Meinungsforschung wird von den Bürgerinnen Bundesgebiet im gesamtstaatlichen Interesse erforderlich. und Bürgern zunehmend als Belastung empfunden und ist Eine unterschiedliche Regelung dieser Materie durch den mit dem Wunsch nach mehr Selbstbestimmung verbunden. Landesgesetzgeber oder sein Untätigbleiben würde zu er- Zudem haben die öffentlich bekannt gewordenen Vorkomm- heblichen Nachteilen für die Gesamtwirtschaft führen, die nisse deutlich gemacht, dass für eine effektivere Durchset- sowohl im Interesse des Bundes als auch der Länder nicht zung der bestehenden gesetzlichen Regelungen zum Daten- hingenommen werden können. Insbesondere wäre zu be- schutz die Stellung der betrieblichen Beauftragten für den fürchten, dass unterschiedliche landesrechtliche Behandlun- Datenschutz gestärkt werden muss und die Bußgeldtatbe- gen gleicher Lebenssachverhalte erhebliche Wettbewerbs- stände erweitert werden müssen, um zu einem wirksamen verzerrungen und störende Schranken für die länderüber- Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäre schlagenen Änderungen resultieren in weiten Bereichen aus etwa der Fall, wenn Datenschutzauditsiegel in den Ländern den Erfahrungen der Länder im Bereich der Aufsichtspraxis. anhand unterschiedlicher Verfahren vergeben würden. Die Die Regelungen zur Neugestaltung des § 28 Absatz 3 des landesrechtlich unterschiedliche Ausgestaltung des Kon- Bundesdatenschutzgesetzes finden unabhängig von der Un- trollverfahrens und des Verfahrens für die Zulassung der ternehmensgröße Anwendung, jedoch zielen insbesondere Kontrollstellen würde abweichende Maßstäbe bei der Prü- die vorgeschlagenen gesetzlichen Erlaubnistatbestände in fung und Bewertung nach sich ziehen. Unternehmen, die § 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- länderübergreifend oder bundesweit agieren, müssten sich tung spezialisierter kleinerer und mittlerer Unternehmen. für gleich bleibende Auditgegenstände unterschiedlichen Verfahren und Kontrollen durch wechselnde Personen unter- Das Datenschutzauditgesetz bietet Unternehmen die Mög- ziehen mit der Gefahr abweichender Ergebnisse. In einem lichkeit, sich auf freiwilliger Basis einem Datenschutzaudit Land auditierte und mit einem Datenschutzauditsiegel ge- zu unterziehen und hierfür in ein Kontrollsystem einbezie- kennzeichnete Datenschutzkonzepte oder informationstech- hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine nische Einrichtungen unterlägen in den einzelnen Ländern informationstechnische Einrichtung von einem Datenschutz- unterschiedlichen Bedingungen. Dies würde die Verwend- auditausschuss beim Bundesbeauftragten für den Daten- barkeit für die betroffenen Unternehmen nachhaltig beein- schutz und die Informationsfreiheit festgelegte Richtlinien trächtigen. Unterschiedliche Landesregelungen zum Daten- zur Verbesserung des Datenschutzes und der Datensicherheit schutzauditverfahren würden zu einer gesamtstaatlich be- und lassen die Unternehmen dies in einem formalisierten denklichen Verlagerung der wirtschaftlichen Aktivitäten in Verfahren durch Kontrollstellen regelmäßig überprüfen, weniger kontrollintensive Länder führen. Unterläge ein Da- können sie das Datenschutzkonzept oder die informa- tenschutzkonzept oder eine informationstechnische Einrich- tionstechnische Einrichtung mit einem Datenschutzauditsie- tung in Ländern verschärften Kontrollmaßnahmen, käme es gel kennzeichnen. Auf diese Weise können Unternehmen unter Umständen dort nicht zum Einsatz. Dies hätte auch einen Vorteil gegenüber Wettbewerbern erzielen, die sich Folgen für Verbraucherinnen und Verbraucher, die in solchen keinem Datenschutzaudit unterziehen. Verbraucher können Ländern auf auditierte Verfahren und Produkte nicht zurück-
Deutscher Bundestag – 16. Wahlperiode – 17 – Drucksache 16/12011 greifen könnten. Auch unterschiedliche Landesregelungen sind, kündigen können oder bei einer unbefugten Kenntnis- in Bezug auf den Kreis der in die Kontrollen einbezogenen erlangung sensibler Daten durch Dritte die Aufsichtsbehör- Auditgegenstände bergen Gefahren für die Sicherheit und den und die Betroffenen nicht benachrichtigen müssen. An- Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- deren Unternehmen in anderen Ländern bliebe diese desrechtlich unterschiedliches Kontrollniveau wäre den Ver- Möglichkeit verwehrt bzw. sie wären zur Benachrichtigung braucherinnen und Verbrauchern auch nicht zu vermitteln. verpflichtet, obwohl es sich um die gleichen personenbezo- Das Vertrauen der Verbraucher in Datenschutzauditsiegel genen Daten handelt, die gleichen betrieblichen Voraus- wäre insgesamt erschüttert. Auch für die Festlegung der von setzungen bestehen oder dieselbe unbefugte Kenntniserlan- den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- gung sensibler Daten durch Dritte erfolgt ist. Es entstünden depflichten ist eine bundesgesetzliche Regelung im gesamt- für letztere gravierende wettbewerbsverzerrende Änderun- staatlichen Interesse notwendig. Im Falle landesrechtlich un- gen, denen die erstgenannten Unternehmen nicht ausgesetzt terschiedlich geregelter Pflichten der Kontrollstellen bestün- wären. Zudem können die bestehenden Regelungen des de die Gefahr, dass die für die Aufklärung von Verstößen Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge- wichtigen gegenseitigen Unterrichtungen, die gerade auch ändert werden. ein schnelles Tätigwerden der zuständigen Behörden ermög- lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht der liche Regelung kann sichergestellt werden, dass für den Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge- Wirtschaftsstandort Deutschland einheitliche rechtliche setzes). Es besteht die Erforderlichkeit einer bundesgesetz- Rahmenbedingungen im Hinblick auf die Verwendung des lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz. Datenschutzauditsiegels gegeben sind. Sinn des Daten- Eine bundeseinheitliche Regelung der Informationspflicht schutzauditsiegels ist es gerade, durch seine einheitliche bei unbefugter Kenntniserlangung sensibler Daten und des Ausgestaltung die Verbraucherinnen und Verbraucher über Kopplungsverbots im Telemedien- und Telekommunika- die zur Verbesserung des Datenschutzes beitragende Gestal- tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun- tung zu informieren und hinsichtlich dieser Gestaltung für desgebiet im gesamtstaatlichen Interesse erforderlich. Die das gesamte Bundesgebiet einheitliche Standards zu setzen. bestehenden Regelungen des Telemedien- und Telekommu- Eine bundesgesetzliche Regelung ist ferner erforderlich, um nikationsgesetzes können nur durch ein Bundesgesetz geän- einheitliche rechtliche Rahmenbedingungen im Hinblick auf dert werden. Eine ausbleibende Regelung würde zu erheb- den Schutz der Verbraucherinnen und Verbraucher durch lichen Nachteilen für die Gesamtwirtschaft führen, die im Sanktionen bei Verstößen zu gewährleisten. Interesse des Bundes nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass die unterschiedliche Betroffene Sachmaterien des Artikels 2 sind vorwiegend das Behandlung gleicher Lebenssachverhalte zu erheblichen Bürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des Wettbewerbsverzerrungen führt. Unternehmen, die dem Grundgesetzes), das Recht der Wirtschaft (Artikel 74 Telemedien- oder Telekommunikationsgesetz unterliegen, Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- müssten bei einer unbefugten Kenntniserlangung sensibler recht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). Daten durch Dritte die Aufsichtsbehörden und die Betroffe- Soweit die konkurrierende Gesetzgebungskompetenz des nen nicht benachrichtigen und unterlägen einem gegenüber Bundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund- der Regelung im Bundesdatenschutzgesetz eingeschränktem gesetzes in Anspruch genommen wird, besteht die Erforder- Kopplungsverbot. Andere Unternehmen blieben zur Be- lichkeit einer bundesgesetzlichen Regelung gemäß Arti- nachrichtigung verpflichtet, obwohl es sich um vergleichbar kel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche sensible personenbezogene Daten handelt, und dürften in ge- Regelung der gesetzlichen Erlaubnistatbestände für die Ver- ringerem Umfang Kopplungen vornehmen. Es entstünden arbeitung und Nutzung personenbezogener Daten zum Zwe- für diese dadurch gravierende wettbewerbsverzerrende Än- cke des Adresshandels und der Werbung, Markt- oder derungen, denen die Unternehmen, die dem Telemedien- Meinungsforschung, des Kündigungsschutzes der Beauf- oder Telekommunikationsgesetz unterliegen, nicht ausge- tragten für den Datenschutz und einer Informationspflicht setzt wären. von Unternehmen bei einer unbefugten Kenntniserlangung sensibler Daten durch Dritte ist zur Wahrung der Wirt- schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- III. Vereinbarkeit mit dem Recht der Europäischen resse erforderlich. Eine unterschiedliche oder ausbleibende Union Regelung dieser Materien durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft Der Gesetzentwurf ist mit dem Recht der Europäischen führen, die sowohl im Interesse des Bundes als auch der Län- Union vereinbar. Er steht insbesondere nicht im Widerspruch der nicht hingenommen werden kann. Insbesondere wäre zu zu den Regelungen der Richtlinie 95/46/EG (EG-Daten- befürchten, dass unterschiedliche landesrechtliche Behand- schutzrichtlinie). lungen gleicher Lebenssachverhalte erhebliche Wettbe- werbsverzerrungen und störende Schranken für die länder- Bei einem Datenschutzaudit nach dem Gesetzentwurf wer- übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei den Datenschutzkonzepte oder informationstechnische Ein- unterschiedlichen Regelungen durch die Länder bestünde richtungen anhand von Richtlinien zur Verbesserung des die Gefahr, dass einige Unternehmen weiterhin personenbe- Datenschutzes und der Datensicherheit überprüft, die über zogene Daten ohne Einwilligung der Betroffenen zum Zwe- die Vorschriften hinausgehen, die die Vorgaben der EG- cke der Werbung, Markt- oder Meinungsforschung für Dritte Datenschutzrichtlinie enthält. Der Gesetzentwurf fördert verarbeiten und nutzen können, einen Beauftragten für den daher mittelbar die tatsächliche Durchsetzung dieser Rege- Datenschutz aus Gründen, die nicht auf sein Amt bezogen lungen.
Drucksache 16/12011 – 18 – Deutscher Bundestag – 16. Wahlperiode Die Stärkung der Unabhängigkeit des Beauftragten für den bei unrechtmäßiger Kenntniserlangung bestimmter Daten Datenschutz durch einen erweiterten Kündigungsschutz und durch Dritte die Aufsichtsbehörden und die Betroffenen die Ermöglichung der Fortbildung fördern die Vorgabe in bzw. ersatzweise die Öffentlichkeit zu benachrichtigen. Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danach sehen die Mitgliedstaaten eine „unabhängige Überwachung“ Kosten für die Wirtschaft können nach Maßgabe von ggf. der Anwendung der zur Umsetzung der Richtlinie erlassenen von den Ländern und dem Bund zu erlassenden Kostenord- einzelstaatlichen Bestimmungen durch den Beauftragten für nungen entstehen, durch die die Kosten für die einzelnen den Datenschutz vor. Die Stärkung der Einwilligung und die Auditverfahren auf die Antragsteller abgewälzt werden kön- Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung nen. Des Weiteren wird die Durchführung des Audits (Sam- und Nutzung personenbezogener Daten zu nicht ausschließ- meln und Zurverfügungstellen von Informationen, ggf. erfor- lich eigenen Zwecken der Werbung, Markt- oder Meinungs- derliche Nachbesserungen am Gegenstand des Audits) forschung steht im Einklang mit den Regelungen der Richt- Kosten bei den kontrollierten Stellen verursachen. Die Höhe linie und wird insbesondere den aus Artikel 2 Buchstabe h, dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nicht Artikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der näher beziffern, da die konkrete Ausgestaltung des Verfah- Richtlinie abzuleitenden Zielen gerecht. rens einer noch zu erlassenden Rechtsverordnung vorbehal- ten ist und die Richtlinien zur Verbesserung des Datenschut- zes und der Datensicherheit als Maßstab der Prüfung von IV. Finanzielle Auswirkungen auf die öffentlichen einem noch zu errichtenden Datenschutzauditausschuss zu Haushalte beschließen sind. Kosten entstehen bei den Stellen, die sich beim Bundesbeauftragten für den Datenschutz und die Infor- Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- mationsfreiheit als Kontrollstellen zulassen und im Rahmen zugsaufwand. des Kontrollsystems gegen angemessene Vergütung Kon- In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- trollen durchführen und dabei von den zuständigen Behör- ständigen Behörden der Länder Vollzugsaufwand. Sie haben den der Länder überwacht werden. die zugelassenen Kontrollstellen, die das Kontrollverfahren Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu durchführen, zu überwachen und Verstöße dem Bundes- erwarten. beauftragten für den Datenschutz und die Informationsfrei- heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus- ihnen vorbehalten. Die Kosten für die einzelnen Amtshand- wirkungen auf Einzelpreise und das allgemeine Preisniveau, lungen der zuständigen Behörden können vom Bund und den insbesondere auf das Verbraucherpreisniveau, sind nicht zu Ländern durch Kostenordnungen auf die Antragsteller abge- erwarten. wälzt werden. Vollzugsaufwand entsteht durch die Bildung eines Daten- VI. Auswirkungen schutzauditausschusses mit Vertretern aus Bund, Ländern und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 1. Bürokratiebelastungen für die Wirtschaft tragten für den Datenschutz und die Informationsfreiheit. Für die Wirtschaft werden 15 Informationspflichten neu ein- Die Tätigkeit der Vertreter erfolgt ehrenamtlich. geführt und eine Informationspflicht geändert. Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- Geändert wird die Informationspflicht in § 28 Absatz 3 des ten für den Datenschutz und die Informationsfreiheit in Bundesdatenschutzgesetzes. Hier wird partiell die gesetz- einem Teilbereich durch die Überwachung der Kontrollstel- liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28 len; ferner durch die Zulassung und die Entziehung der Zu- Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestellt lassung gegenüber den Kontrollstellen und die Führung auf eine Einwilligung. Damit entfällt in diesen Fällen die eines Registers der angezeigten Datenschutzkonzepte und Hinweispflicht bei der Verwendung der Daten zu Gunsten ei- informationstechnischen Einrichtungen sowie der zugelasse- ner Einwilligung von ihrer Weitergabe. Durch diese Ände- nen Kontrollstellen. rung entstehen Bürokratiekosten von 9,65 Mio. Euro. Der Für den Vollzugsaufwand beim Bundesbeauftragten für den Betrag errechnet sich bei einer Fallzahl von 30 Millionen Datenschutz und die Informationsfreiheit können in Abhän- Kundenbeziehungen, in denen der Vertragspartner diese gigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Einwilligung anstrebt (insbesondere Verträge im Versand- Stellen sowie jährlich Haushaltsmittel in Höhe von rd. handel – 13,5 Millionen, Telekommunikation – 13,5 Millio- 1,2 Mio. Euro für Personal- und Sachausgaben benötigt nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs- werden. Über die Ausbringung und Finanzierung dieser zeit von einer Minute pro Fall und einem Stundensatz von Personal- und Sachausgaben ist im Haushaltsaufstellungs- 19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl der verfahren 2010 zu entscheiden. Fälle bei einer elektronischen Abwicklung deutlich geringer sein. Die angenommene Minute beinhaltet daher auch Auf- wand zur Schulung von Mitarbeitern und zur Umstellung V. Kosten von Webseiten. Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Durch die übrigen neu eingeführten Informationspflichten Übergangsvorschrift künftig eine Einwilligung der Betroffe- entstehen insgesamt Bürokratiekosten von 493 761 Euro. nen einzuholen ist, um deren personenbezogene Daten für Zwecke der Werbung, Markt- oder Meinungsforschung zu Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda- verarbeiten und zu nutzen. Ferner können Kosten für die tenschutzgesetzes werden nichtöffentliche Stellen verpflich- Wirtschaft entstehen, soweit diese künftig verpflichtet sind, tet, Betroffene über die verantwortliche Stelle und das
Deutscher Bundestag – 16. Wahlperiode – 19 – Drucksache 16/12011 Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 Sofern ein Unternehmen sich entscheidet, als Kontrollstelle Nummer 1 auch bei Begründung des rechtsgeschäftlichen Kontrollen durchzuführen, erfolgt dies gegen angemessene oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- Vergütung. Die durch die Benennung der Vertreter für den richten. § 42a des Bundesdatenschutzgesetzes verpflichtet Datenschutzauditausschuss und das Erzielen eines Einver- nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- nehmens über deren Person verursachten Kosten fallen nicht troffenen unverzüglich zu benachrichtigen, wenn bestimmte ins Gewicht und werden durch die Mitwirkung an der Er- sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt arbeitung des Prüfmaßstabs des Datenschutzauditverfahrens sind und schwerwiegende Beeinträchtigungen für die Rechte aufgewogen. oder schutzwürdigen Interessen der Betroffenen drohen. So- weit die Benachrichtigung der Betroffenen einen unverhält- 2. Bürokratiebelastungen für die Bürgerinnen und Bürger nismäßigen Aufwand erfordern würde, insbesondere auf- Für die Bürgerinnen und Bürger wird keine Informations- grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle pflicht neu eingeführt, geändert oder abgeschafft. die Information an die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Zeitungsseite umfassen, in mindes- 3. Bürokratiebelastungen für die Verwaltung tens zwei bundesweit erscheinenden Tageszeitungen. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflichten geändert oder Das Datenschutzauditgesetz enthält für die Wirtschaft fol- abgeschafft. gende neue Informationspflichten: Diese Informationspflichten sind im Einzelnen: Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4 Absatz 1) und kann diese auf einzelne Länder beschränken § 7 Absatz 1 Satz 2 Auskunftserteilung der zuständigen (§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann Datenschutzaudit- Behörden untereinander ihr eine Ausnahme von der Einbeziehung von einem Daten- gesetz schutzkonzept oder einer informationstechnischen Einrich- § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigen tung in ihre Kontrollen gewährt werden (§ 6 Absatz 1 Nummer 1 Daten- Behörde zur Anregung der Ent- Satz 2). Jährlich hat die Kontrollstelle den zuständigen schutzauditgesetz ziehung der Zulassung oder Ände- Behörden ein Verzeichnis der nichtöffentlichen Stellen, die rung von Auflagen an den Bundes- am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- beauftragten für den Datenschutz den und bis zum 31. März jedes Jahres einen Bericht über und die Informationsfreiheit ihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständige Kontrollstellen erteilen einander die für eine ordnungsge- Nummer 2 Daten- Behörde des Landes mäße Durchführung dieses Gesetzes notwendigen Aus- schutzauditgesetz künfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigen regelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- Datenschutzaudit- Behörde zur Anregung eines Verfah- züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). gesetz rens der Entziehung der Zulassung Soweit eine Kontrollstelle im Rahmen der von ihr durchge- oder Änderung von Auflagen an den führten Kontrollen Tatsachen feststellt, die einen hinrei- Bundesbeauftragten für den Daten- chenden Verdacht auf Verstöße der in Satz 2 genannten Art schutz und die Informationsfreiheit begründen, der eine nicht von der Kontrollstelle kontrol- § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus- lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle Datenschutzaudit- kunftspflichtigen die Tatsachen unverzüglich der Kontrollstelle mit, deren gesetz Kontrolle die betroffene nichtöffentliche Stelle untersteht § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für (§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von Datenschutzaudit- Datenschutzkonzepte durch den ihr kontrollierten nichtöffentlichen Stellen, die zuständigen gesetz Bundesbeauftragten für den Daten- Behörden sowie den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit schutz und die Informationsfreiheit, bevor sie ihre Tätigkeit § 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Internet einstellt, oder im Falle eines Antrags auf Eröffnung des Datenschutzaudit- und im elektronischen Bundes- Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent- gesetz anzeiger lichen Stellen sowie die Kontrollstellen haben den zuständi- gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses der Absatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- Datenschutzaudit- zugelassenen Kontrollstellen zuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- gesetz wendung des Datenschutzauditsiegels ist das Datenschutz- § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internet konzept oder die informationstechnische Einrichtung dem Datenschutzaudit- und im elektronischen Bundes- Bundesbeauftragten für den Datenschutz und die Informa- gesetz anzeiger tionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). § 11 Absatz 1 Veröffentlichungspflicht der maß- Satz 3 Daten- geblichen Richtlinien im Internet und Die Summe der zu erwartenden Belastungen für die Wirt- schutzauditgesetz im elektronischen Bundesanzeiger schaft beträgt insgesamt 10,14 Mio. Euro. § 15 Absatz 2 Berichtspflicht an die Aufsichts- Die für die Wirtschaft entstehenden Kosten sind hinnehm- Satz 3 Daten- behörde bar, weil das Datenschutzaudit freiwillig ist und es die Un- schutzauditgesetz ternehmen daher von einer Wirtschaftlichkeitsbetrachtung § 15 Absatz 3 Pflicht der Genehmigung durch die abhängig machen können, ob sie sich einem Audit mit den Satz 1 Daten- Aufsichtsbehörde damit ggf. einhergehenden Bürokratiekosten unterziehen. schutzauditgesetz
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]

Empfohlen

Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
Online-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitOnline-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitLamaPoll
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Webinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierungWebinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierungPatric Dahse
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 

Empfohlen

Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
Online-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitOnline-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitLamaPoll
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Webinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierungWebinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierungPatric Dahse
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
DatenschutzrechtHans Mittendorfer
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOBokowsky + Laymann GmbH
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Marcus Beckmann
 
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingWS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingCloudOps Summit
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVOPraetor Intermedia
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Entscheidungen
EntscheidungenEntscheidungen
EntscheidungenWerner Drizhal
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics MarcLaukemann3
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Fincor Institutional Presentation
Fincor Institutional PresentationFincor Institutional Presentation
Fincor Institutional PresentationJoão Pinto
 
Fincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoFincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoJoão Pinto
 

Weitere ähnliche Inhalte

Was ist angesagt?

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Marcus Beckmann
 
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingWS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingCloudOps Summit
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVOPraetor Intermedia
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 

Was ist angesagt? (20)

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
Datenschutzrecht
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
 
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingWS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Entscheidungen
EntscheidungenEntscheidungen
Entscheidungen
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 

Andere mochten auch

Fincor Institutional Presentation
Fincor Institutional PresentationFincor Institutional Presentation
Fincor Institutional PresentationJoão Pinto
 
Fincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoFincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoJoão Pinto
 
Empire mag evaluation
Empire mag evaluationEmpire mag evaluation
Empire mag evaluationclaire93
 
Outlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planetOutlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planetFincor Corretora
 
Fincor Presentation
Fincor PresentationFincor Presentation
Fincor PresentationManuel Vara
 

Andere mochten auch (6)

Fincor Institutional Presentation
Fincor Institutional PresentationFincor Institutional Presentation
Fincor Institutional Presentation
 
Fincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoFincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros Agosto
 
Agnieszka Wrzesien
Agnieszka WrzesienAgnieszka Wrzesien
Agnieszka Wrzesien
 
Empire mag evaluation
Empire mag evaluationEmpire mag evaluation
Empire mag evaluation
 
Outlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planetOutlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planet
 
Fincor Presentation
Fincor PresentationFincor Presentation
Fincor Presentation
 

Ähnlich wie 1612011[1]

Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - DatenschutzBurdaDirect
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...CloudCamp Hamburg
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCAllFacebook.de
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteMichael Lanzinger
 
Muster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support BeispielMuster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support BeispielFabianDittrich5
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitDigicomp Academy AG
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzMichael Lanzinger
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert
 
Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Stefan Kontschieder
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Symposia Media
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft bizVÖGB
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 

Ähnlich wie 1612011[1] (20)

Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - Datenschutz
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Entscheidungen
EntscheidungenEntscheidungen
Entscheidungen
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Muster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support BeispielMuster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support Beispiel
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und Sicherheit
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Datenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im EventbereichDatenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im Eventbereich
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzen
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 

1612011[1]

  • 1. Deutscher Bundestag Drucksache 16/12011 16. Wahlperiode 18. 02. 2009 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften A. Problem und Ziel Den Aufwendungen von Unternehmen für einen über das gesetzlich vorge- schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquater wirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere- geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin- det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu- gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 des Bundesdatenschutzgesetzes erfüllt werden. In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han- dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten ist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel- lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danach dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu- sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs- forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden. Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe- zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu- dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt- und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be- troffenen möchten über die Verwendung personenbezogener Daten für diese Zwecke selbst entscheiden können. B. Lösung Unternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlich geregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz- konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn- zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab- ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mit Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli- nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un- ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- und Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben. Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer- bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
  • 2. Drucksache 16/12011 –2– Deutscher Bundestag – 16. Wahlperiode beschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei- nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit dem Betroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu- erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Daten für Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oder Meinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu- dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durch Kopplung mit dem Vertragsschluss erzwingen dürfen. C. Alternativen Keine D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 1. Haushaltsausgaben ohne Vollzugsaufwand Keine 2. Vollzugsaufwand Das Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereich beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der Durchführung des Gesetzes und der Überwachung der zugelasse- nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durch Kostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll- zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie- hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellen und der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech- nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildung eines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel in Höhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden. Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben ist im Haushaltsaufstellungsverfahren 2010 zu entscheiden. E. Sonstige Kosten Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor- schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per- sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oder der Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön- nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, bei unrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf- sichtsbehörden und Betroffenen zu benachrichtigen. Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaft nach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten- ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren auf die Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwillig ist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän- gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolge unterziehen.
  • 3. Deutscher Bundestag – 16. Wahlperiode –3– Drucksache 16/12011 F. Bürokratiekosten Für die Wirtschaft werden 15 Informationspflichten neu eingeführt und eine Informationspflicht geändert. Es wird keine Informationspflicht abgeschafft. Die Summe der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio. Euro. Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt, geändert oder abgeschafft. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflicht geändert oder abgeschafft.
  • 4.
  • 5. Deutscher Bundestag – 16. Wahlperiode –5– Drucksache 16/12011
  • 6.
  • 7. Deutscher Bundestag – 16. Wahlperiode –7– Drucksache 16/12011 Anlage 1 Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften Vom … Der Bundestag hat das folgende Gesetz beschlossen: kontrollieren lassen, sofern sie nichtöffentliche Stellen im Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind. Sie dürfen ihr Datenschutzkonzept oder eine angebotene Artikel 1 informationstechnische Einrichtung mit einem Datenschutz- Datenschutzauditgesetz auditsiegel kennzeichnen, wenn (DSAG)* 1. bei der Datenverarbeitung, für die das Datenschutzkon- zept oder die informationstechnische Einrichtung vorge- Inhaltsübersicht sehen ist, die Vorschriften zum Schutz personenbezoge- §1 Datenschutzaudit ner Daten eingehalten werden, §2 Zuständigkeit 2. die für das Datenschutzkonzept oder die informati- §3 Kontrollen onstechnische Einrichtung geltenden Richtlinien zur Ver- §4 Zulassung der Kontrollstelle und Entziehung der besserung des Datenschutzes und der Datensicherheit Zulassung nach § 11 Absatz 1 erfüllt werden, §5 Anforderungen an das Personal der Kontrollstelle 3. als Anbieter mit Sitz im Inland die Vorschriften des Bun- desdatenschutzgesetzes über die organisatorische Stel- §6 Pflichten der Kontrollstelle lung des Beauftragten für den Datenschutz eingehalten §7 Pflichten der zuständigen Behörde werden und §8 Überwachung 4. dies nach § 3 kontrolliert wird. §9 Datenschutzauditsiegel, Verzeichnisse Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch § 10 Gebühren und Auslagen die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten- § 11 Datenschutzauditausschuss schutzgesetzes genannten Stellen. § 12 Mitglieder des Datenschutzauditausschusses §2 § 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Zuständigkeit Datenschutzauditausschusses (1) Die Durchführung dieses Gesetzes und der auf Grund § 14 Geschäftsstelle des Datenschutzauditausschusses dieses Gesetzes erlassenen Rechtsverordnungen obliegt den § 15 Rechtsaufsicht nach Landesrecht zuständigen Behörden, soweit nachste- § 16 Verordnungsermächtigungen hend nichts anderes bestimmt ist. Soweit für die geschäfts- § 17 Bußgeldvorschriften mäßige Erbringung von Post- oder Telekommunikations- diensten Daten zu natürlichen oder juristischen Personen § 18 Strafvorschriften erhoben, verarbeitet oder genutzt werden, ist zuständige Be- § 19 Einziehung hörde der Bundesbeauftragte für den Datenschutz und die § 20 Übergangsvorschrift Informationsfreiheit (Bundesbeauftragter). (2) Der Bundesbeauftragte ist zuständig für die Zulassung §1 der Kontrollstellen, die Entziehung der Zulassung und die Datenschutzaudit Vergabe der Kennnummern an die Kontrollstellen. Nach Maßgabe dieses Gesetzes können §3 1. verantwortliche Stellen ihr Datenschutzkonzept und Kontrollen 2. Anbieter von Datenverarbeitungsanlagen und -program- Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1 men (informationstechnischen Einrichtungen) die ange- Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer- botenen informationstechnischen Einrichtungen den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas- senen Kontrollstellen durchgeführt, soweit die Aufgaben- wahrnehmung nicht mit der Durchführung eines Verwal- * Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen tungsverfahrens verbunden ist. Der Beauftragte für den Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- und der Vorschriften für die Dienste der Informationsgesellschaft schutzgesetzes ist in die Durchführung der Kontrollen einzu- (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie beziehen. Art und Häufigkeit der Kontrollen richten sich 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, nach dem Risiko des Auftretens von Verstößen gegen dieses S. 81) geändert worden ist, sind beachtet worden. Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
  • 8. Drucksache 16/12011 –8– Deutscher Bundestag – 16. Wahlperiode ordnungen oder die für das Datenschutzkonzept oder die in- oder Insolvenzstraftaten mit einer Strafe oder wegen formationstechnische Einrichtung geltenden Richtlinien zur Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor- Verbesserung des Datenschutzes und der Datensicherheit schriften mit einer Geldbuße in Höhe von mehr als fünf- nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine hundert Euro belegt worden ist, Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so- 2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz, bald der ordnungsgemäße Geschäftsbetrieb der Kontroll- eine auf Grund dieses Gesetzes erlassene Rechtsverord- stelle es ermöglicht, erstmalig und sodann spätestens inner- nung oder Vorschriften über den Schutz personenbezoge- halb von zwölf Monaten nach dieser Kontrolle erneut kon- ner Daten verstoßen hat oder wiederholt oder grob trolliert. Danach wird die nichtöffentliche Stelle spätestens pflichtwidrig als Beauftragter für den Datenschutz seine alle 18 Monate kontrolliert. Verpflichtungen verletzt hat, §4 3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur Zulassung der Kontrollstelle und Entziehung Bekleidung öffentlicher Ämter verloren hat, der Zulassung 4. sich nicht in geordneten wirtschaftlichen Verhältnissen (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn befindet, es sei denn, dass dadurch die Interessen der kon- trollierten nichtöffentlichen Stelle oder Dritter nicht ge- 1. ihr Leitungspersonal und die für Kontrollen verantwort- fährdet sind, oder lichen Beschäftigten über die erforderliche Zuverlässig- keit, Unabhängigkeit und fachliche Eignung verfügen, 5. aus gesundheitlichen Gründen nicht nur vorübergehend unfähig ist, die Kontrollen nach Maßgabe der nach § 16 2. die Kontrollstelle akkreditiert ist, Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung 3. die für die Zulassung erhobenen Gebühren entrichtet ordnungsgemäß durchzuführen. worden sind und (2) Über die erforderliche Unabhängigkeit verfügt, wer 4. die Kontrollstelle ihren Sitz oder eine Niederlassung im bei der Übernahme, Vorbereitung und Durchführung der Bundesgebiet hat. Kontrollen keiner persönlichen, wirtschaftlichen oder beruf- lichen Einflussnahme unterliegt, die geeignet ist, ein objek- Mit der Zulassung ist der Kontrollstelle eine Kennnummer tives Urteil zu beeinträchtigen. Für die Unabhängigkeit und zuzuteilen. Freiheit von Interessenkonflikten bietet in der Regel keine (2) Die Zulassung wird für das gesamte Bundesgebiet er- Gewähr, wer teilt. Auf Antrag kann die Zulassung auf einzelne Länder be- 1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oder schränkt werden. Angestellter einer nichtöffentlichen Stelle ist, auf die sich (3) Die Zulassung kann mit Befristungen, Bedingungen seine Kontrolltätigkeit bezieht, oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla- 2. als Leitungspersonal der Kontrollstelle eine Tätigkeit auf gen verbunden werden, soweit die Funktionsfähigkeit des Grund eines Beamtenverhältnisses, Soldatenverhältnis- Kontrollsystems oder Belange des Datenschutzes hinsicht- ses oder eines Anstellungsvertrages mit einer juristischen lich der Voraussetzungen nach Absatz 1 Nummer 1 oder Person des öffentlichen Rechts, eine Tätigkeit auf Grund Nummer 2 dies erfordern. Unter denselben Voraussetzungen eines Richterverhältnisses, öffentlich-rechtlichen Dienst- ist die nachträgliche Aufnahme und die Änderung von Auf- verhältnisses als Wahlbeamter auf Zeit oder eines öffent- lagen zulässig. lich-rechtlichen Amtsverhältnisses ausübt, es sei denn, (4) Einer Kontrollstelle wird die Zulassung entzogen, dass die übertragenen Aufgaben ehrenamtlich wahrge- wenn die Kontrollstelle nommen werden, 1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 3. Weisungen auf Grund vertraglicher oder sonstiger Bezie- Nummer 2 oder Nummer 4 nicht mehr genügt, hungen bei der Tätigkeit für die Kontrollstelle auch dann 2. ihren Verpflichtungen nach diesem Gesetz, insbesondere zu befolgen hat, wenn sie zu Handlungen gegen seine nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund Überzeugung verpflichten, dieses Gesetzes erlassenen Rechtsverordnung in schwer- 4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso- wiegender Weise nicht nachkommt. nell mit Dritten verflochten ist, wenn nicht deren Ein- flussnahme auf die Wahrnehmung der Aufgaben für die §5 Kontrollstelle, insbesondere durch Satzung, Gesell- Anforderungen an das Personal der Kontrollstelle schaftsvertrag oder Anstellungsvertrag ausgeschlossen ist. (1) Über die erforderliche Zuverlässigkeit verfügt, wer auf Grund seiner persönlichen Eigenschaften, seines Verhal- (3) Über die erforderliche fachliche Eignung verfügt, wer tens und seiner Fähigkeiten die Gewähr für die ordnungsge- auf Grund seiner Ausbildung, beruflichen Bildung und prak- mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm die Zuverlässigkeit bietet in der Regel keine Gewähr, wer obliegenden Aufgaben befähigt ist. Im Bereich Recht sind nachzuweisen: 1. ausweislich eines Führungszeugnisses für Behörden nach § 30 Absatz 5, § 31 des Bundeszentralregistergesetzes 1. der Abschluss eines Studiums der Rechtswissenschaft wegen Verletzung der Vorschriften des Strafrechts über oder eines Studiums auf einem anderen Gebiet mit den persönlichen Lebens- und Geheimbereich, über rechtswissenschaftlichen Inhalten, die den Umfang eines Eigentums- und Vermögensdelikte, Urkundenfälschung durchschnittlichen Nebenfachstudiums der Rechtswis-
  • 9. Deutscher Bundestag – 16. Wahlperiode –9– Drucksache 16/12011 senschaft nicht unterschreiten, an einer deutschen Hoch- (4) Die Kontrollstelle unterrichtet die von ihr kontrollier- schule oder ein gleichwertiger ausländischer Abschluss ten nichtöffentlichen Stellen, die nach Landesrecht für die sowie eine dreijährige berufliche Tätigkeit mit dem Sitze oder Niederlassungen der nichtöffentlichen Stellen zu- Schwerpunkt auf dem Gebiet des Datenschutzrechts oder ständigen Behörden sowie den Bundesbeauftragten, 2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 1. spätestens drei Monate vor der beabsichtigten Einstel- sowie eine mindestens fünfjährige berufliche Tätigkeit lung ihrer Tätigkeit, mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 2. im Falle eines Antrags auf Eröffnung eines Insolvenzver- rechts. fahrens unverzüglich. Im Bereich Informationstechnik sind nachzuweisen: Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif- ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn 1. der Abschluss eines Studiums der Informatik, der Wirt- die Kontrolle der von ihr kontrollierten nichtöffentlichen schaftsinformatik oder eines Studiums auf einem anderen Stellen durch eine andere Kontrollstelle sichergestellt ist. Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen §7 Hochschule oder ein gleichwertiger ausländischer Ab- Pflichten der zuständigen Behörde schluss sowie eine dreijährige berufliche Tätigkeit mit (1) Die Kontrollstelle wird von der zuständigen Behörde dem Schwerpunkt auf dem Gebiet der Informationstech- des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt, nik oder überwacht, indem die zuständige Behörde bei Bedarf Über- prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei- 2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der len die zuständigen Behörden einander die zur Überwachung Informationstechnik sowie eine mindestens fünfjährige der Kontrollstellen erforderlichen Auskünfte. Stellt die zu- berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge- ständige Behörde Tatsachen fest, die die Entziehung der Zu- biet der Informationstechnik. lassung rechtfertigen oder die Aufnahme oder Änderung von Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- Auflagen zur Zulassung erforderlich machen können, hat sie dens für die Kontrollstelle nicht seit mehr als drei Jahren un- 1. wenn der Ort der zu beanstandenden Kontrolltätigkeit terbrochen sein. und der Sitz oder die Niederlassung der Kontrollstelle in demselben Land liegen, beim Bundesbeauftragten unter §6 Mitteilung dieser Tatsachen die Entziehung der Zulas- Pflichten der Kontrollstelle sung oder die Aufnahme oder Änderung von Auflagen anzuregen oder, (1) Die Kontrollstelle hat ein Datenschutzkonzept oder eine informationstechnische Einrichtung gegen angemes- 2. wenn der Ort der zu beanstandenden Kontrolltätigkeit sene Vergütung in ihre Kontrollen einzubeziehen, soweit die und der Sitz oder die Niederlassung der Kontrollstelle in nichtöffentliche Stelle die Einbeziehung verlangt und ihren verschiedenen Ländern liegen, der zuständigen Behörde Sitz oder eine Niederlassung in dem Land hat, in dem die des Landes, in dem der Sitz oder die Niederlassung der Kontrollstelle zugelassen ist. Die zuständige Behörde kann Kontrollstelle liegt, die Tatsachen mitzuteilen. auf Antrag der Kontrollstelle eine Ausnahme von der Ver- Erhält die zuständige Behörde des Landes, in dem der Sitz pflichtung nach Satz 1 zulassen, soweit oder die Niederlassung der Kontrollstelle liegt, Kenntnis von 1. die Kontrollstelle wirksame Kontrollen nicht gewährleis- Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes- ten kann und beauftragten unter Mitteilung dieser Tatsachen an, ein Ver- fahren zur Entziehung der Zulassung oder zur Aufnahme 2. die Durchführung der Kontrollen durch eine andere oder Änderung von Auflagen einzuleiten. Im Rahmen des Kontrollstelle sichergestellt ist. § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle (2) Die Kontrollstelle übermittelt der zuständigen Behör- nach Satz 1 durch den Bundesbeauftragten überwacht. den jährlich bis zum 31. Januar ein Verzeichnis der nicht- (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständige öffentlichen Stellen, die am 31. Dezember des Vorjahres Behörde anordnen, dass von dem Verstoß betroffene Daten- ihrer Kontrolle unterstanden und legt bis zum 31. März jedes schutzkonzepte oder informationstechnische Einrichtungen Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor. nicht mit dem Datenschutzauditsiegel gekennzeichnet wer- den dürfen, wenn dies in einem angemessenen Verhältnis zur (3) Die Kontrollstellen erteilen einander die für eine ord- Bedeutung der Vorschrift, gegen die verstoßen wurde, sowie nungsgemäße Durchführung dieses Gesetzes notwendigen zu Art und Umständen des Verstoßes steht. Im Falle eines Auskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- schwerwiegenden Verstoßes oder eines Verstoßes mit Lang- stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie zeitwirkung kann die zuständige Behörde der nichtöffent- unverzüglich die zuständige Behörde. Soweit eine Kontroll- lichen Stelle die Kennzeichnung für einen bestimmten Zeit- stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- raum untersagen. sachen feststellt, die einen hinreichenden Verdacht auf Ver- stöße der in Satz 2 genannten Art begründen, der eine nicht von der Kontrollstelle kontrollierte nichtöffentliche Stelle §8 betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich Überwachung der Kontrollstelle mit, deren Kontrolle die betroffene nicht- (1) Die nichtöffentlichen Stellen und die Kontrollstellen öffentliche Stelle untersteht. haben den zuständigen Behörden auf Verlangen die zur
  • 10. Drucksache 16/12011 – 10 – Deutscher Bundestag – 16. Wahlperiode Durchführung der den zuständigen Behörden durch dieses § 10 Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- Gebühren und Auslagen ben erforderlichen Auskünfte zu erteilen. (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und (2) Die von der zuständigen Behörde beauftragten Perso- Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung des nen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- Verwaltungsaufwandes Gebühren und Auslagen erhoben triebsräume der Auskunftspflichtigen während der Ge- werden. Das Bundesministerium des Innern wird ermächtigt, schäfts- oder Betriebszeit betreten und dort Besichtigungen im Einvernehmen mit dem Bundesministerium der Finanzen vornehmen und geschäftliche Unterlagen einsehen und prü- durch Rechtsverordnung ohne Zustimmung des Bundesrates fen, soweit dies zur Durchführung ihrer Aufgaben erforder- die gebührenpflichtigen Tatbestände, die Gebührensätze so- lich ist. wie die Auslagenerstattung zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen. In der Rechtsverord- (3) Auskunftspflichtige haben die Maßnahmen nach nung kann die Erstattung von Auslagen abweichend vom Absatz 2 zu dulden, die zu besichtigenden Bereiche selbst Verwaltungskostengesetz geregelt werden. oder durch andere so zu bezeichnen, dass die Besichtigung ordnungsgemäß vorgenommen werden kann, selbst oder (2) Für Amtshandlungen der zuständigen Behörden nach durch andere die erforderliche Hilfe bei Besichtigungen zu § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren und leisten sowie die geschäftlichen Unterlagen zur Einsicht- Auslagen nach Maßgabe des Landesrechts erhoben werden. nahme und Prüfung vorzulegen. § 11 (4) Auskunftspflichtige können die Auskunft auf solche Datenschutzauditausschuss Fragen verweigern, deren Beantwortung sie oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- Beim Bundesbeauftragten wird ein Datenschutzauditaus- zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- schuss gebildet. Er erlässt Richtlinien zur Verbesserung des folgung oder eines Verfahrens nach dem Gesetz über Ord- Datenschutzes und der Datensicherheit, insbesondere durch nungswidrigkeiten aussetzen würde. Auskunftspflichtige 1. Transparenz der Datenerhebung, -verarbeitung und -nut- sind darauf hinzuweisen. zung, (5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 2. Datenvermeidung und Datensparsamkeit nach § 3a des trollen der nichtöffentlichen Stellen durch die Kontrollstel- Bundesdatenschutzgesetzes, len. 3. die Stärkung der organisatorischen Stellung des Be- auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1 §9 des Bundesdatenschutzgesetzes, Datenschutzauditsiegel, Verzeichnisse 4. technische und organisatorische Maßnahmen nach § 9 (1) Wer ein Datenschutzkonzept oder eine informations- des Bundesdatenschutzgesetzes. technische Einrichtung mit dem Datenschutzauditsiegel Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei- kennzeichnen will, hat dies dem Bundesbeauftragten vor der ner Internetseite und im elektronischen Bundesanzeiger. erstmaligen Verwendung des Siegels anzuzeigen. Der Bun- desbeauftragte hat ein Verzeichnis der angezeigten Daten- (2) Der Datenschutzauditausschuss unterrichtet die Öf- schutzkonzepte sowie informationstechnischen Einrichtun- fentlichkeit jährlich in einem Bericht über seine Tätigkeit gen mit den Angaben nach Satz 3 zu führen und zum Zwecke und Erfahrungen, insbesondere über Praktikabilität und er- der Information der zuständigen Behörden und der Betroffe- forderliche Änderungen erlassener Richtlinien sowie den nen auf seiner Internetseite sowie im elektronischen Bundes- Bedarf für neue Richtlinien. anzeiger zu veröffentlichen. Das Verzeichnis muss folgende Angaben enthalten: § 12 Mitglieder des Datenschutzauditausschusses 1. den Namen und die Anschrift oder die der nichtöffent- lichen Stelle durch die Kontrollstelle zugeordnete alpha- (1) Mitglieder des Datenschutzauditausschusses sind numerische Identifikationsnummer, 1. zwei Vertreter der Verwaltung des Bundes, 2. den Namen und die Anschrift oder die Kennnummer der 2. zwei Vertreter des Bundesamtes für Sicherheit in der In- Kontrollstelle, formationstechnik, 3. das angezeigte Datenschutzkonzept sowie die informa- 3. zwei Vertreter des Bundesbeauftragten, tionstechnische Einrichtung. 4. zwei Vertreter der Verwaltung der Länder, Weitere Angaben darf das Verzeichnis nicht enthalten. 5. vier Vertreter von Aufsichtsbehörden der Länder für den (2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- Datenschutz im nichtöffentlichen Bereich, lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 6. sechs Vertreter von Unternehmen oder ihren Verbänden. führen und zum Zwecke der Information der zuständigen Behörden und der Betroffenen auf seiner Internetseite sowie Sie unterliegen keinen Weisungen und sind ehrenamtlich tä- im elektronischen Bundesanzeiger zu veröffentlichen. Das tig. Die §§ 83 und 84 des Verwaltungsverfahrensgesetzes Verzeichnis enthält die Namen, Anschriften und Kennnum- sind anzuwenden. mern der zugelassenen Kontrollstellen. Weitere Angaben (2) Die Mitglieder des Datenschutzauditausschusses müs- darf es nicht enthalten. sen über gründliche Fachkenntnisse und mindestens dreijäh-
  • 11. Deutscher Bundestag – 16. Wahlperiode – 11 – Drucksache 16/12011 rige praktische Erfahrungen auf dem Gebiet des Datenschut- aufheben. Wenn der Datenschutzauditausschuss Beschlüsse zes verfügen. oder sonstige Handlungen unterlässt, die zur Erfüllung sei- (3) Das Bundesministerium des Innern beruft die Mitglie- ner gesetzlichen Aufgaben erforderlich sind, kann die Auf- der des Datenschutzauditausschusses und für jedes Mitglied sichtsbehörde anordnen, dass innerhalb einer bestimmten einen Stellvertreter für die Dauer von drei Jahren, die Mit- Frist die erforderlichen Maßnahmen getroffen werden. Die glieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag Aufsichtsbehörde hat die geforderten Handlungen im Ein- und jeweils im Einvernehmen mit dem Bundesbeauftragten, zelnen zu bezeichnen. Sie kann ihre Anordnung selbst den für den Datenschutz zuständigen obersten Landesbehör- durchführen oder von einem anderen durchführen lassen, den, den Aufsichtsbehörden nach § 38 des Bundesdaten- wenn die Anordnung vom Datenschutzauditausschuss nicht schutzgesetzes sowie den Bundesdachverbänden der Wirt- befolgt worden ist. schaft. (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei- (4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur chen, kann die Aufsichtsbehörde den Datenschutzauditaus- mit beratender Stimme hinzuzuziehen, soweit Gegenstand schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeit der Sitzung eine Richtlinie ist, die nichtöffentliche Stellen der Auflösungsanordnung unverzüglich neue Mitglieder ge- betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni- mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagene kationsgesetzes oder § 42 Absatz 3 des Postgesetzes der Personen nicht zu berücksichtigen, die dem aufgelösten Da- Kontrolle des Bundesbeauftragten unterliegen. tenschutzauditausschuss angehört haben. § 13 § 16 Geschäftsordnung, Vorsitz und Beschlussfassung Verordnungsermächtigungen des Datenschutzauditausschusses (1) Die Landesregierungen werden ermächtigt, durch (1) Der Datenschutzauditausschuss gibt sich eine Ge- Rechtsverordnung schäftsordnung, die der Genehmigung durch das Bundes- 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab- ministerium des Innern bedarf. satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be- (2) Der Datenschutzauditausschuss wählt den Vorsitzen- leihen oder sie an der Erfüllung der Aufgaben zu beteili- den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss gen, jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 2. die Voraussetzungen und das Verfahren der Beleihung tionen, der Aufsichtsbehörden für den Datenschutz und der und der Beteiligung zu regeln. Verwaltung gehören. Die Landesregierungen können die Ermächtigung durch (3) Der Datenschutzauditausschuss beschließt Rechtsverordnung ganz oder teilweise auf andere Behörden 1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der des Landes übertragen. Mehrheit von zwei Dritteln der gesetzlichen Mitglieder (2) Die Bundesregierung wird ermächtigt, nach Anhörung und des Bundesbeauftragten durch Rechtsverordnung ohne Zu- 2. in Angelegenheiten der Geschäftsordnung mit der Mehr- stimmung des Bundesrates heit der gesetzlichen Mitglieder. 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu § 14 beleihen oder sie an der Erfüllung der Aufgaben zu betei- Geschäftsstelle des Datenschutzauditausschusses ligen, Der Datenschutzauditausschuss wird bei der Durchfüh- 2. die Voraussetzungen und das Verfahren der Beleihung rung seiner Aufgaben durch eine Geschäftsstelle unterstützt, und der Beteiligung zu regeln. die den Weisungen des Vorsitzenden des Datenschutzaudit- ausschusses unterliegt. (3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates § 15 nähere Regelungen zu treffen über Rechtsaufsicht 1. die Einzelheiten der Verwendung des Datenschutzaudit- (1) Der Datenschutzauditausschuss untersteht der Auf- siegels, um eine einheitliche Kennzeichnung und eindeu- sicht des Bundesministeriums des Innern (Aufsichtsbehör- tige Erkennbarkeit der Kennzeichnung der Datenschutz- de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit konzepte und informationstechnischen Einrichtungen zu der Ausschusstätigkeit, insbesondere darauf, dass die Aufga- gewährleisten, be nach § 11 Absatz 1 Satz 2 erfüllt wird. 2. die Voraussetzungen und das Verfahren der Zulassung (2) Die Aufsichtsbehörde kann an den Sitzungen des Da- nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen und tenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen das Verfahren der Entziehung der Zulassung nach § 4 das Wort zu erteilen. Sie kann schriftliche Berichte und die Absatz 4, § 7 Absatz 1 Satz 3 und 4, Vorlage von Akten verlangen. 3. die Mindestanforderungen an die Kontrollen und die im (3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der Rahmen der Kontrollen vorgesehenen Vorkehrungen, Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe- 4. die Gestaltung des Datenschutzauditsiegels, hörde kann rechtswidrige Beschlüsse des Datenschutzaudit- ausschusses beanstanden und nach vorheriger Beanstandung 5. die Anzeige nach § 9 Absatz 1 Satz 1.
  • 12. Drucksache 16/12011 – 12 – Deutscher Bundestag – 16. Wahlperiode § 17 Artikel 2 Bußgeldvorschriften Änderung des Bundesdatenschutzgesetzes (1) Ordnungswidrig handelt, wer Das Bundesdatenschutzgesetz in der Fassung der Be- 1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt tig, nicht vollständig oder nicht rechtzeitig übermittelt geändert durch das Gesetz vom …, wird wie folgt geändert: oder einen dort genannten Bericht nicht, nicht richtig 1. Die Inhaltsübersicht wird wie folgt geändert: oder nicht rechtzeitig vorlegt, a) Nach der Angabe zu § 9 wird die Angabe „§ 9a 2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- Datenschutzaudit“ gestrichen. ständige Behörde, eine nichtöffentliche Stelle oder den b) Die Angabe zu § 28 wie folgt gefasst: Bundesbeauftragten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke“. 3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, c) Nach der Angabe zu § 42 wird folgende Angabe ein- gefügt: 4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, „§ 42a Informationspflicht bei unrechtmäßiger Kennt- nicht vollständig oder nicht rechtzeitig erteilt, niserlangung von Daten“. 5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder d) Nach der Angabe zu § 46 wird folgende Angabe ein- gefügt: 6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, „§ 47 Übergangsregelung“. eine Anzeige nicht, nicht richtig, nicht vollständig oder 2. Dem § 4f Absatz 3 werden folgende Sätze angefügt: nicht rechtzeitig erstattet. „Ist nach Absatz 1 ein Beauftragter für den Datenschutz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- zu bestellen, so ist die Kündigung des Arbeitsverhältnis- sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 ses unzulässig, es sei denn, dass Tatsachen vorliegen, zuwiderhandelt. welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (3) Die Ordnungswidrigkeit kann in den Fällen des berechtigen. Nach der Abberufung als Beauftragter für Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend den Datenschutz ist die Kündigung innerhalb eines Jah- Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- res nach der Beendigung der Bestellung unzulässig, es sei zigtausend Euro geahndet werden. Die Geldbuße soll den denn, dass die verantwortliche Stelle zur Kündigung aus wirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- wichtigem Grund ohne Einhaltung einer Kündigungsfrist rigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- berechtigt ist. Zur Erhaltung der zur Erfüllung seiner nannten Beträge hierfür nicht aus, können sie überschritten Aufgaben erforderlichen Fachkunde hat die verantwort- werden. liche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen § 18 zu ermöglichen und deren Kosten zu übernehmen.“ Strafvorschriften 3. § 9a wird aufgehoben. Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3 lung in der Absicht begeht, sich oder einen anderen zu berei- Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2 chern oder einen anderen zu schädigen, wird mit Freiheits- Buchstabe a“ ersetzt. strafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 5. § 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst: § 19 Einziehung „§ 28 Datenerhebung und -speicherung für eigene Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder Geschäftszwecke“. Absatz 2 oder eine Straftat nach § 18 begangen worden, kön- nen Gegenstände, auf die sich die Straftat oder die Ord- b) In Absatz 1 Satz 1 Nummer 1 werden die Wörter nungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- „Vertragsverhältnisses oder vertragsähnlichen Ver- gehung oder Vorbereitung gebraucht worden oder bestimmt trauensverhältnisses“ durch die Wörter „rechtsge- gewesen sind, eingezogen werden. § 23 des Gesetzes über schäftlichen oder rechtsgeschäftsähnlichen Schuld- Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind verhältnisses“ ersetzt. anzuwenden. c) Absatz 2 wird wie folgt gefasst: „(2) Die Übermittlung oder Nutzung für einen an- § 20 deren Zweck ist zulässig Übergangsvorschrift 1. unter den Voraussetzungen des Absatzes 1 Satz 1 § 1 ist erst ab dem 1. Juli 2010 anzuwenden. Nummer 2 oder Nummer 3,
  • 13. Deutscher Bundestag – 16. Wahlperiode – 13 – Drucksache 16/12011 2. soweit es erforderlich ist oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen a) zur Wahrung berechtigter Interessen eines Drit- nicht entgegenstehen. Nach den Sätzen 1 bis 3 über- ten oder mittelte Daten dürfen nur für den Zweck verarbeitet b) zur Abwehr von Gefahren für die staatliche oder genutzt werden, für den sie übermittelt worden oder öffentliche Sicherheit oder zur Verfolgung sind.“ von Straftaten e) Nach Absatz 3 werden folgende Absätze 3a und 3b und kein Grund zu der Annahme besteht, dass der eingefügt: Betroffene ein schutzwürdiges Interesse an dem „(3a) Wird die Einwilligung nach § 4a Absatz 1 Ausschluss der Übermittlung oder Nutzung hat, Satz 3 in anderer Form als der Schriftform erteilt, hat oder die verantwortliche Stelle dem Betroffenen den Inhalt 3. wenn es im Interesse einer Forschungseinrichtung der Einwilligung schriftlich zu bestätigen, es sei denn, zur Durchführung wissenschaftlicher Forschung dass die Einwilligung elektronisch erklärt wird und erforderlich ist, das wissenschaftliche Interesse an die verantwortliche Stelle sicherstellt, dass die Ein- der Durchführung des Forschungsvorhabens das willigung protokolliert wird und der Betroffene deren Interesse des Betroffenen an dem Ausschluss der Inhalt jederzeit abrufen und die Einwilligung jederzeit Zweckänderung erheblich überwiegt und der mit Wirkung für die Zukunft widerrufen kann. Eine Zweck der Forschung auf andere Weise nicht oder zusammen mit anderen Erklärungen erteilte Einwilli- nur mit unverhältnismäßigem Aufwand erreicht gung ist nur wirksam, wenn der Betroffene durch An- werden kann.“ kreuzen, durch eine gesonderte Unterschrift oder durch ein anderes, ausschließlich auf die Einwilligung d) Absatz 3 wird wie folgt gefasst: in die Verarbeitung oder Nutzung der Daten für „(3) Die Verarbeitung oder Nutzung personenbezo- Zwecke des Adresshandels, der Werbung oder der gener Daten für Zwecke des Adresshandels, der Wer- Markt- oder Meinungsforschung bezogenes Tun bung oder der Markt- oder Meinungsforschung ist zu- zweifelsfrei zum Ausdruck bringt, dass er die Einwil- lässig, soweit der Betroffene nach Maßgabe des ligung bewusst erteilt. Absatzes 3a eingewilligt hat. Darüber hinaus ist die (3b) Die verantwortliche Stelle darf den Abschluss Verarbeitung oder Nutzung personenbezogener Daten eines Vertrags nicht von einer Einwilligung des Be- zulässig, soweit es sich um listenmäßig oder sonst zu- troffenen nach Absatz 3 Satz 1 abhängig machen, sammengefasste Daten über Angehörige einer Perso- wenn dem Betroffenen ein anderer Zugang zu gleich- nengruppe handelt, die sich auf die Zugehörigkeit des wertigen vertraglichen Leistungen ohne die Einwilli- Betroffenen zu dieser Personengruppe, seine Berufs-, gung nicht oder nicht in zumutbarer Weise möglich Branchen- oder Geschäftsbezeichnung, seinen Na- ist.“ men, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung f) Absatz 4 wird wie folgt geändert: oder Nutzung aa) In Satz 1 werden das Wort „Nutzung“ jeweils 1. für Zwecke der Werbung für eigene Angebote oder durch das Wort „Verarbeitung“ und das Wort der eigenen Markt- oder Meinungsforschung der „Übermittlung“ jeweils durch das Wort „Nut- verantwortlichen Stelle erforderlich ist, die diese zung“ ersetzt. Daten mit Ausnahme der Angabe zur Gruppenzu- bb) In Satz 2 werden nach dem Wort „Ansprache“ die gehörigkeit beim Betroffenen nach § 28 Absatz 1 Wörter „und in den Fällen des Absatzes 1 Satz 1 Satz 1 Nummer 1 erhoben hat, Nummer 1 auch bei Begründung des rechts- 2. für Zwecke der Werbung oder der Markt- oder geschäftlichen oder rechtsgeschäftsähnlichen Meinungsforschung gegenüber freiberuflich oder Schuldverhältnisses“ eingefügt. gewerblich Tätigen unter deren Geschäftsadresse cc) Satz 3 wird wie folgt geändert: erforderlich ist oder aaa) Nach dem Wort „Daten“ werden die Wörter 3. für Zwecke der Spendenwerbung einer verant- „im Rahmen der Zwecke“ eingefügt. wortlichen Stelle erforderlich ist, wenn Spenden an diese gemäß § 10b Absatz 1 und § 34g des Ein- bbb) Das Wort „werden“ wird durch die Wörter kommensteuergesetzes steuerbegünstigt sind. „worden sind“ ersetzt. Für Zwecke nach Satz 2 Nummer 1 darf die ver- dd) Folgender Satz wird angefügt: antwortliche Stelle zu den dort genannten Daten wei- „In den Fällen des Absatzes 1 Satz 1 Nummer 1 tere Daten hinzuspeichern. Die Nutzung personenbe- darf für den Widerspruch keine strengere Form zogener Daten für Zwecke der Werbung oder der verlangt werden als für die Begründung des Markt- oder Meinungsforschung ist zudem zulässig, rechtsgeschäftlichen oder rechtsgeschäftsähn- soweit sie zusammen mit Werbung oder Markt- oder lichen Schuldverhältnisses.“ Meinungsforschung nach Satz 2 Nummer 1 oder mit der Durchführung eines rechtsgeschäftlichen oder g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“ rechtsgeschäftsähnlichen Schuldverhältnisses nach durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“ Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung ersetzt.
  • 14. Drucksache 16/12011 – 14 – Deutscher Bundestag – 16. Wahlperiode 6. § 29 wird wie folgt geändert: ten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbe- a) Absatz 1 wird wie folgt geändert: sondere auf Grund der Vielzahl der betroffenen Fälle, tritt aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort an ihre Stelle die Information der Öffentlichkeit durch „und“ durch das Wort „oder“ ersetzt. Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitun- bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ gen. Eine Benachrichtigung, die der Benachrichtigungs- durch die Wörter „§ 28 Absatz 1 Satz 1 und pflichtige erteilt hat, darf in einem Strafverfahren oder in Absatz 3 bis 3b“ ersetzt. einem Verfahren nach dem Gesetz über Ordnungswidrig- b) Absatz 2 wird wie folgt geändert: keiten gegen ihn oder einen in § 52 Absatz 1 der Straf- prozessordnung bezeichneten Angehörigen des Benach- aa) Satz 1 Nummer 1 wird wie folgt gefasst: richtigungspflichtigen nur mit Zustimmung des Benach- „1. der Dritte, dem die Daten übermittelt wer- richtigungspflichtigen verwendet werden.“ den, ein berechtigtes Interesse an ihrer 9. § 43 wird wie folgt geändert: Kenntnis glaubhaft dargelegt hat und“. a) Absatz 1 wird wie folgt geändert: bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“ durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. aa) Nach Nummer 2 werden folgende Nummern 2a und 2b eingefügt: cc) In Satz 3 wird nach der Angabe „Nummer 1“ die Angabe „Buchstabe a“ gestrichen. „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge- währleistet, dass die Datenübermittlung 7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden festgestellt und überprüft werden kann, die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf- trag nicht, nicht richtig, nicht vollständig 8. Nach § 42 wird folgender § 42a eingefügt: oder nicht in der vorgeschriebenen Weise „§ 42a erteilt,“. Informationspflicht bei unrechtmäßiger bb) Nach Nummer 3 wird folgende Nummer 3a ein- Kenntniserlangung von Daten gefügt: Stellt eine nichtöffentliche Stelle im Sinne des § 2 „3a. entgegen § 28 Absatz 4 Satz 4 eine stren- Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 gere Form verlangt,“. Satz 1 Nummer 2 fest, dass bei ihr gespeicherte b) Absatz 2 wird wie folgt geändert: 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), aa) In Nummer 5 werden die Wörter „, indem er sie 2. personenbezogene Daten, die einem Berufsgeheimnis an Dritte weitergibt“ und am Ende das Wort unterliegen, „oder“ gestrichen. 3. personenbezogene Daten, die sich auf strafbare Hand- bb) Folgende Nummer 5a wird angefügt: lungen oder Ordnungswidrigkeiten oder den Verdacht „5a. entgegen § 28 Absatz 4 Satz 1 Daten für strafbarer Handlungen oder Ordnungswidrigkeiten Zwecke der Werbung oder der Markt- oder beziehen, oder Meinungsforschung verarbeitet oder nutzt,“. 4. personenbezogene Daten zu Bank- oder Kreditkarten- cc) In Nummer 6 wird der Punkt am Ende durch das konten Wort „oder“ ersetzt. unrechtmäßig übermittelt oder auf sonstige Weise Dritten dd) Folgende Nummer 7 wird angefügt: unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder „7. entgegen § 42a Satz 1 eine Mitteilung nicht, schutzwürdigen Interessen der Betroffenen, hat sie dies nicht richtig, nicht vollständig oder nicht nach den Sätzen 2 bis 5 unverzüglich der zuständigen rechtzeitig macht.“ Aufsichtsbehörde sowie den Betroffenen mitzuteilen. c) Absatz 3 wird wie folgt geändert: Die Benachrichtigung des Betroffenen muss unver- züglich erfolgen, sobald angemessene Maßnahmen zur aa) Das Wort „fünfundzwanzigtausend“ wird durch Sicherung der Daten ergriffen worden oder nicht unver- das Wort „fünfzigtausend“ und das Wort „zwei- züglich erfolgt sind und die Strafverfolgung nicht mehr hundertfünfzigtausend“ wird durch das Wort gefährdet wird. Die Benachrichtigung der Betroffenen „dreihunderttausend“ ersetzt. muss eine Darlegung der Art der unrechtmäßigen Kennt- bb) Nach Satz 1 werden folgende Sätze eingefügt: niserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die „Die Geldbuße soll den wirtschaftlichen Vorteil, Benachrichtigung der zuständigen Aufsichtsbehörde den der Täter aus der Ordnungswidrigkeit gezo- muss zusätzlich eine Darlegung möglicher nachteiliger gen hat, übersteigen. Reichen die in Satz 1 ge- Folgen der unrechtmäßigen Kenntniserlangung und der nannten Beträge hierfür nicht aus, so können sie von der Stelle daraufhin ergriffenen Maßnahmen enthal- überschritten werden.“
  • 15. Deutscher Bundestag – 16. Wahlperiode – 15 – Drucksache 16/12011 10. Nach § 46 wird folgender § 47 eingefügt: 4. § 16 Absatz 2 wird wie folgt geändert: „§47 a) Nummer 2 wird aufgehoben. Übergangsregelung b) Die bisherigen Nummern 3 bis 6 werden die Num- Für die Verarbeitung und Nutzung vor dem 1. Juli mern 2 bis 5. 2009 erhobener Daten ist § 28 in der bis dahin gelten- den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“ Artikel 4 Artikel 3 Änderung des Telekommunikationsgesetzes Änderung des Telemediengesetzes* Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt Das Telemediengesetz vom 26. Februar 2007 (BGBl. I geändert: S. 179) wird wie folgt geändert: 1. Dem § 93 wird folgender Absatz 3 angefügt: 1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15 Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter „(3) Stellt der Diensteanbieter fest, dass bei ihm ge- „§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. speicherte Bestandsdaten oder Verkehrsdaten unrechtmä- ßig übermittelt worden oder auf sonstige Weise Dritten 2. § 12 wird wie folgt geändert: zur Kenntnis gelangt sind, und drohen schwerwiegende a) Absatz 3 wird aufgehoben. Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bun- b) Der bisherige Absatz 4 wird Absatz 3. desdatenschutzgesetzes entsprechend.“ 3. Nach § 15 wird folgender § 15a eingefügt: 2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni- „§ 15a kationsdiensten“ die Wörter „ohne die Einwilligung“ ein- Informationspflicht bei unrechtmäßiger gefügt. Kenntniserlangung von Daten Stellt der Diensteanbieter fest, dass bei ihm gespei- cherte Bestands- oder Nutzungsdaten unrechtmäßig Artikel 5 übermittelt worden oder auf sonstige Weise Dritten zur Bekanntmachungserlaubnis Kenntnis gelangt sind, und drohen schwerwiegende Be- einträchtigungen für die Rechte oder schutzwürdigen In- Das Bundesministerium des Innern kann den Wortlaut des teressen des betroffenen Nutzers, gilt § 42a des Bundes- Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel- datenschutzgesetzes entsprechend.“ tenden Fassung im Bundesgesetzblatt bekannt machen. * Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Artikel 6 Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Inkrafttreten und der Vorschriften für die Dienste der Informationsgesellschaft (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie Tag nach der Verkündung in Kraft. 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, S. 82) geändert worden ist, sind beachtet worden. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
  • 16. Drucksache 16/12011 – 16 – Deutscher Bundestag – 16. Wahlperiode Begründung A. Allgemeiner Teil gekennzeichnete Datenschutzkonzepte oder informations- technische Einrichtungen an dem Datenschutzauditsiegel I. Ziel und Inhalt des Entwurfs erkennen und bei der Entscheidung zwischen mehreren An- In der jüngeren Vergangenheit sind zunehmend Fälle des un- bietern berücksichtigen. Anstrengungen, die über die gesetz- berechtigten Handels mit personenbezogenen Daten bekannt lichen Anforderungen in Bezug auf den Datenschutz hinaus- geworden. Die Herkunft der Daten ist größtenteils nicht gehen, können für Unternehmen einen wirtschaftlichen nachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 Mehrwert darstellen. Zugleich wird bei den Verbrauchern Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes Bewusstsein für die Datenschutzrelevanz eines Produktes hat sich dabei für die Herstellung der notwendigen Transpa- oder einer Dienstleistung geschaffen und gefördert. renz als besonders nachteilig erwiesen. Danach dürfen be- stimmte personenbezogene Daten, wenn sie listenmäßig II. Gesetzgebungskompetenz oder sonst zusammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ohne Einwilli- Die Gesetzgebungskompetenz des Bundes folgt für Rege- gung der Betroffenen übermittelt oder genutzt werden. Die lungen des Datenschutzes als Annex aus der Kompetenz für praktische Anwendung dieser Vorschrift hat dazu geführt, die geregelte Sachmaterie. dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig zum Erwerb oder zur Nutzung angeboten werden, Einem Datenschutzaudit nach Artikel 1 können sich private ohne in jedem Fall die in der Vorschrift angelegten Anforde- Unternehmen und diesen gleichgestellte öffentlich-recht- rungen zu beachten. Personenbezogene Daten werden ohne liche Wettbewerbsunternehmen unterziehen. Betroffene Beachtung der Zweckbindung verarbeitet und mit weiteren Sachmaterie ist daher ganz überwiegend das Recht der Wirt- Daten verknüpft und weiter übermittelt. Zudem hat sich das schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes). Verhältnis der Bürgerinnen und Bürger zur Werbung und Die Berechtigung des Bundes zur Inanspruchnahme der Ge- Markt- oder Meinungsforschung seit der Einführung der setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2 Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- Grundgesetz. Eine bundesgesetzliche Regelung über ein delt. Die gezielte Ansprache zum Zwecke der Werbung oder Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit im Markt- oder Meinungsforschung wird von den Bürgerinnen Bundesgebiet im gesamtstaatlichen Interesse erforderlich. und Bürgern zunehmend als Belastung empfunden und ist Eine unterschiedliche Regelung dieser Materie durch den mit dem Wunsch nach mehr Selbstbestimmung verbunden. Landesgesetzgeber oder sein Untätigbleiben würde zu er- Zudem haben die öffentlich bekannt gewordenen Vorkomm- heblichen Nachteilen für die Gesamtwirtschaft führen, die nisse deutlich gemacht, dass für eine effektivere Durchset- sowohl im Interesse des Bundes als auch der Länder nicht zung der bestehenden gesetzlichen Regelungen zum Daten- hingenommen werden können. Insbesondere wäre zu be- schutz die Stellung der betrieblichen Beauftragten für den fürchten, dass unterschiedliche landesrechtliche Behandlun- Datenschutz gestärkt werden muss und die Bußgeldtatbe- gen gleicher Lebenssachverhalte erhebliche Wettbewerbs- stände erweitert werden müssen, um zu einem wirksamen verzerrungen und störende Schranken für die länderüber- Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäre schlagenen Änderungen resultieren in weiten Bereichen aus etwa der Fall, wenn Datenschutzauditsiegel in den Ländern den Erfahrungen der Länder im Bereich der Aufsichtspraxis. anhand unterschiedlicher Verfahren vergeben würden. Die Die Regelungen zur Neugestaltung des § 28 Absatz 3 des landesrechtlich unterschiedliche Ausgestaltung des Kon- Bundesdatenschutzgesetzes finden unabhängig von der Un- trollverfahrens und des Verfahrens für die Zulassung der ternehmensgröße Anwendung, jedoch zielen insbesondere Kontrollstellen würde abweichende Maßstäbe bei der Prü- die vorgeschlagenen gesetzlichen Erlaubnistatbestände in fung und Bewertung nach sich ziehen. Unternehmen, die § 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- länderübergreifend oder bundesweit agieren, müssten sich tung spezialisierter kleinerer und mittlerer Unternehmen. für gleich bleibende Auditgegenstände unterschiedlichen Verfahren und Kontrollen durch wechselnde Personen unter- Das Datenschutzauditgesetz bietet Unternehmen die Mög- ziehen mit der Gefahr abweichender Ergebnisse. In einem lichkeit, sich auf freiwilliger Basis einem Datenschutzaudit Land auditierte und mit einem Datenschutzauditsiegel ge- zu unterziehen und hierfür in ein Kontrollsystem einbezie- kennzeichnete Datenschutzkonzepte oder informationstech- hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine nische Einrichtungen unterlägen in den einzelnen Ländern informationstechnische Einrichtung von einem Datenschutz- unterschiedlichen Bedingungen. Dies würde die Verwend- auditausschuss beim Bundesbeauftragten für den Daten- barkeit für die betroffenen Unternehmen nachhaltig beein- schutz und die Informationsfreiheit festgelegte Richtlinien trächtigen. Unterschiedliche Landesregelungen zum Daten- zur Verbesserung des Datenschutzes und der Datensicherheit schutzauditverfahren würden zu einer gesamtstaatlich be- und lassen die Unternehmen dies in einem formalisierten denklichen Verlagerung der wirtschaftlichen Aktivitäten in Verfahren durch Kontrollstellen regelmäßig überprüfen, weniger kontrollintensive Länder führen. Unterläge ein Da- können sie das Datenschutzkonzept oder die informa- tenschutzkonzept oder eine informationstechnische Einrich- tionstechnische Einrichtung mit einem Datenschutzauditsie- tung in Ländern verschärften Kontrollmaßnahmen, käme es gel kennzeichnen. Auf diese Weise können Unternehmen unter Umständen dort nicht zum Einsatz. Dies hätte auch einen Vorteil gegenüber Wettbewerbern erzielen, die sich Folgen für Verbraucherinnen und Verbraucher, die in solchen keinem Datenschutzaudit unterziehen. Verbraucher können Ländern auf auditierte Verfahren und Produkte nicht zurück-
  • 17. Deutscher Bundestag – 16. Wahlperiode – 17 – Drucksache 16/12011 greifen könnten. Auch unterschiedliche Landesregelungen sind, kündigen können oder bei einer unbefugten Kenntnis- in Bezug auf den Kreis der in die Kontrollen einbezogenen erlangung sensibler Daten durch Dritte die Aufsichtsbehör- Auditgegenstände bergen Gefahren für die Sicherheit und den und die Betroffenen nicht benachrichtigen müssen. An- Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- deren Unternehmen in anderen Ländern bliebe diese desrechtlich unterschiedliches Kontrollniveau wäre den Ver- Möglichkeit verwehrt bzw. sie wären zur Benachrichtigung braucherinnen und Verbrauchern auch nicht zu vermitteln. verpflichtet, obwohl es sich um die gleichen personenbezo- Das Vertrauen der Verbraucher in Datenschutzauditsiegel genen Daten handelt, die gleichen betrieblichen Voraus- wäre insgesamt erschüttert. Auch für die Festlegung der von setzungen bestehen oder dieselbe unbefugte Kenntniserlan- den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- gung sensibler Daten durch Dritte erfolgt ist. Es entstünden depflichten ist eine bundesgesetzliche Regelung im gesamt- für letztere gravierende wettbewerbsverzerrende Änderun- staatlichen Interesse notwendig. Im Falle landesrechtlich un- gen, denen die erstgenannten Unternehmen nicht ausgesetzt terschiedlich geregelter Pflichten der Kontrollstellen bestün- wären. Zudem können die bestehenden Regelungen des de die Gefahr, dass die für die Aufklärung von Verstößen Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge- wichtigen gegenseitigen Unterrichtungen, die gerade auch ändert werden. ein schnelles Tätigwerden der zuständigen Behörden ermög- lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht der liche Regelung kann sichergestellt werden, dass für den Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge- Wirtschaftsstandort Deutschland einheitliche rechtliche setzes). Es besteht die Erforderlichkeit einer bundesgesetz- Rahmenbedingungen im Hinblick auf die Verwendung des lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz. Datenschutzauditsiegels gegeben sind. Sinn des Daten- Eine bundeseinheitliche Regelung der Informationspflicht schutzauditsiegels ist es gerade, durch seine einheitliche bei unbefugter Kenntniserlangung sensibler Daten und des Ausgestaltung die Verbraucherinnen und Verbraucher über Kopplungsverbots im Telemedien- und Telekommunika- die zur Verbesserung des Datenschutzes beitragende Gestal- tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun- tung zu informieren und hinsichtlich dieser Gestaltung für desgebiet im gesamtstaatlichen Interesse erforderlich. Die das gesamte Bundesgebiet einheitliche Standards zu setzen. bestehenden Regelungen des Telemedien- und Telekommu- Eine bundesgesetzliche Regelung ist ferner erforderlich, um nikationsgesetzes können nur durch ein Bundesgesetz geän- einheitliche rechtliche Rahmenbedingungen im Hinblick auf dert werden. Eine ausbleibende Regelung würde zu erheb- den Schutz der Verbraucherinnen und Verbraucher durch lichen Nachteilen für die Gesamtwirtschaft führen, die im Sanktionen bei Verstößen zu gewährleisten. Interesse des Bundes nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass die unterschiedliche Betroffene Sachmaterien des Artikels 2 sind vorwiegend das Behandlung gleicher Lebenssachverhalte zu erheblichen Bürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des Wettbewerbsverzerrungen führt. Unternehmen, die dem Grundgesetzes), das Recht der Wirtschaft (Artikel 74 Telemedien- oder Telekommunikationsgesetz unterliegen, Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- müssten bei einer unbefugten Kenntniserlangung sensibler recht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). Daten durch Dritte die Aufsichtsbehörden und die Betroffe- Soweit die konkurrierende Gesetzgebungskompetenz des nen nicht benachrichtigen und unterlägen einem gegenüber Bundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund- der Regelung im Bundesdatenschutzgesetz eingeschränktem gesetzes in Anspruch genommen wird, besteht die Erforder- Kopplungsverbot. Andere Unternehmen blieben zur Be- lichkeit einer bundesgesetzlichen Regelung gemäß Arti- nachrichtigung verpflichtet, obwohl es sich um vergleichbar kel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche sensible personenbezogene Daten handelt, und dürften in ge- Regelung der gesetzlichen Erlaubnistatbestände für die Ver- ringerem Umfang Kopplungen vornehmen. Es entstünden arbeitung und Nutzung personenbezogener Daten zum Zwe- für diese dadurch gravierende wettbewerbsverzerrende Än- cke des Adresshandels und der Werbung, Markt- oder derungen, denen die Unternehmen, die dem Telemedien- Meinungsforschung, des Kündigungsschutzes der Beauf- oder Telekommunikationsgesetz unterliegen, nicht ausge- tragten für den Datenschutz und einer Informationspflicht setzt wären. von Unternehmen bei einer unbefugten Kenntniserlangung sensibler Daten durch Dritte ist zur Wahrung der Wirt- schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- III. Vereinbarkeit mit dem Recht der Europäischen resse erforderlich. Eine unterschiedliche oder ausbleibende Union Regelung dieser Materien durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft Der Gesetzentwurf ist mit dem Recht der Europäischen führen, die sowohl im Interesse des Bundes als auch der Län- Union vereinbar. Er steht insbesondere nicht im Widerspruch der nicht hingenommen werden kann. Insbesondere wäre zu zu den Regelungen der Richtlinie 95/46/EG (EG-Daten- befürchten, dass unterschiedliche landesrechtliche Behand- schutzrichtlinie). lungen gleicher Lebenssachverhalte erhebliche Wettbe- werbsverzerrungen und störende Schranken für die länder- Bei einem Datenschutzaudit nach dem Gesetzentwurf wer- übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei den Datenschutzkonzepte oder informationstechnische Ein- unterschiedlichen Regelungen durch die Länder bestünde richtungen anhand von Richtlinien zur Verbesserung des die Gefahr, dass einige Unternehmen weiterhin personenbe- Datenschutzes und der Datensicherheit überprüft, die über zogene Daten ohne Einwilligung der Betroffenen zum Zwe- die Vorschriften hinausgehen, die die Vorgaben der EG- cke der Werbung, Markt- oder Meinungsforschung für Dritte Datenschutzrichtlinie enthält. Der Gesetzentwurf fördert verarbeiten und nutzen können, einen Beauftragten für den daher mittelbar die tatsächliche Durchsetzung dieser Rege- Datenschutz aus Gründen, die nicht auf sein Amt bezogen lungen.
  • 18. Drucksache 16/12011 – 18 – Deutscher Bundestag – 16. Wahlperiode Die Stärkung der Unabhängigkeit des Beauftragten für den bei unrechtmäßiger Kenntniserlangung bestimmter Daten Datenschutz durch einen erweiterten Kündigungsschutz und durch Dritte die Aufsichtsbehörden und die Betroffenen die Ermöglichung der Fortbildung fördern die Vorgabe in bzw. ersatzweise die Öffentlichkeit zu benachrichtigen. Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danach sehen die Mitgliedstaaten eine „unabhängige Überwachung“ Kosten für die Wirtschaft können nach Maßgabe von ggf. der Anwendung der zur Umsetzung der Richtlinie erlassenen von den Ländern und dem Bund zu erlassenden Kostenord- einzelstaatlichen Bestimmungen durch den Beauftragten für nungen entstehen, durch die die Kosten für die einzelnen den Datenschutz vor. Die Stärkung der Einwilligung und die Auditverfahren auf die Antragsteller abgewälzt werden kön- Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung nen. Des Weiteren wird die Durchführung des Audits (Sam- und Nutzung personenbezogener Daten zu nicht ausschließ- meln und Zurverfügungstellen von Informationen, ggf. erfor- lich eigenen Zwecken der Werbung, Markt- oder Meinungs- derliche Nachbesserungen am Gegenstand des Audits) forschung steht im Einklang mit den Regelungen der Richt- Kosten bei den kontrollierten Stellen verursachen. Die Höhe linie und wird insbesondere den aus Artikel 2 Buchstabe h, dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nicht Artikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der näher beziffern, da die konkrete Ausgestaltung des Verfah- Richtlinie abzuleitenden Zielen gerecht. rens einer noch zu erlassenden Rechtsverordnung vorbehal- ten ist und die Richtlinien zur Verbesserung des Datenschut- zes und der Datensicherheit als Maßstab der Prüfung von IV. Finanzielle Auswirkungen auf die öffentlichen einem noch zu errichtenden Datenschutzauditausschuss zu Haushalte beschließen sind. Kosten entstehen bei den Stellen, die sich beim Bundesbeauftragten für den Datenschutz und die Infor- Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- mationsfreiheit als Kontrollstellen zulassen und im Rahmen zugsaufwand. des Kontrollsystems gegen angemessene Vergütung Kon- In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- trollen durchführen und dabei von den zuständigen Behör- ständigen Behörden der Länder Vollzugsaufwand. Sie haben den der Länder überwacht werden. die zugelassenen Kontrollstellen, die das Kontrollverfahren Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu durchführen, zu überwachen und Verstöße dem Bundes- erwarten. beauftragten für den Datenschutz und die Informationsfrei- heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus- ihnen vorbehalten. Die Kosten für die einzelnen Amtshand- wirkungen auf Einzelpreise und das allgemeine Preisniveau, lungen der zuständigen Behörden können vom Bund und den insbesondere auf das Verbraucherpreisniveau, sind nicht zu Ländern durch Kostenordnungen auf die Antragsteller abge- erwarten. wälzt werden. Vollzugsaufwand entsteht durch die Bildung eines Daten- VI. Auswirkungen schutzauditausschusses mit Vertretern aus Bund, Ländern und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 1. Bürokratiebelastungen für die Wirtschaft tragten für den Datenschutz und die Informationsfreiheit. Für die Wirtschaft werden 15 Informationspflichten neu ein- Die Tätigkeit der Vertreter erfolgt ehrenamtlich. geführt und eine Informationspflicht geändert. Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- Geändert wird die Informationspflicht in § 28 Absatz 3 des ten für den Datenschutz und die Informationsfreiheit in Bundesdatenschutzgesetzes. Hier wird partiell die gesetz- einem Teilbereich durch die Überwachung der Kontrollstel- liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28 len; ferner durch die Zulassung und die Entziehung der Zu- Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestellt lassung gegenüber den Kontrollstellen und die Führung auf eine Einwilligung. Damit entfällt in diesen Fällen die eines Registers der angezeigten Datenschutzkonzepte und Hinweispflicht bei der Verwendung der Daten zu Gunsten ei- informationstechnischen Einrichtungen sowie der zugelasse- ner Einwilligung von ihrer Weitergabe. Durch diese Ände- nen Kontrollstellen. rung entstehen Bürokratiekosten von 9,65 Mio. Euro. Der Für den Vollzugsaufwand beim Bundesbeauftragten für den Betrag errechnet sich bei einer Fallzahl von 30 Millionen Datenschutz und die Informationsfreiheit können in Abhän- Kundenbeziehungen, in denen der Vertragspartner diese gigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Einwilligung anstrebt (insbesondere Verträge im Versand- Stellen sowie jährlich Haushaltsmittel in Höhe von rd. handel – 13,5 Millionen, Telekommunikation – 13,5 Millio- 1,2 Mio. Euro für Personal- und Sachausgaben benötigt nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs- werden. Über die Ausbringung und Finanzierung dieser zeit von einer Minute pro Fall und einem Stundensatz von Personal- und Sachausgaben ist im Haushaltsaufstellungs- 19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl der verfahren 2010 zu entscheiden. Fälle bei einer elektronischen Abwicklung deutlich geringer sein. Die angenommene Minute beinhaltet daher auch Auf- wand zur Schulung von Mitarbeitern und zur Umstellung V. Kosten von Webseiten. Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Durch die übrigen neu eingeführten Informationspflichten Übergangsvorschrift künftig eine Einwilligung der Betroffe- entstehen insgesamt Bürokratiekosten von 493 761 Euro. nen einzuholen ist, um deren personenbezogene Daten für Zwecke der Werbung, Markt- oder Meinungsforschung zu Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda- verarbeiten und zu nutzen. Ferner können Kosten für die tenschutzgesetzes werden nichtöffentliche Stellen verpflich- Wirtschaft entstehen, soweit diese künftig verpflichtet sind, tet, Betroffene über die verantwortliche Stelle und das
  • 19. Deutscher Bundestag – 16. Wahlperiode – 19 – Drucksache 16/12011 Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 Sofern ein Unternehmen sich entscheidet, als Kontrollstelle Nummer 1 auch bei Begründung des rechtsgeschäftlichen Kontrollen durchzuführen, erfolgt dies gegen angemessene oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- Vergütung. Die durch die Benennung der Vertreter für den richten. § 42a des Bundesdatenschutzgesetzes verpflichtet Datenschutzauditausschuss und das Erzielen eines Einver- nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- nehmens über deren Person verursachten Kosten fallen nicht troffenen unverzüglich zu benachrichtigen, wenn bestimmte ins Gewicht und werden durch die Mitwirkung an der Er- sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt arbeitung des Prüfmaßstabs des Datenschutzauditverfahrens sind und schwerwiegende Beeinträchtigungen für die Rechte aufgewogen. oder schutzwürdigen Interessen der Betroffenen drohen. So- weit die Benachrichtigung der Betroffenen einen unverhält- 2. Bürokratiebelastungen für die Bürgerinnen und Bürger nismäßigen Aufwand erfordern würde, insbesondere auf- Für die Bürgerinnen und Bürger wird keine Informations- grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle pflicht neu eingeführt, geändert oder abgeschafft. die Information an die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Zeitungsseite umfassen, in mindes- 3. Bürokratiebelastungen für die Verwaltung tens zwei bundesweit erscheinenden Tageszeitungen. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflichten geändert oder Das Datenschutzauditgesetz enthält für die Wirtschaft fol- abgeschafft. gende neue Informationspflichten: Diese Informationspflichten sind im Einzelnen: Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4 Absatz 1) und kann diese auf einzelne Länder beschränken § 7 Absatz 1 Satz 2 Auskunftserteilung der zuständigen (§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann Datenschutzaudit- Behörden untereinander ihr eine Ausnahme von der Einbeziehung von einem Daten- gesetz schutzkonzept oder einer informationstechnischen Einrich- § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigen tung in ihre Kontrollen gewährt werden (§ 6 Absatz 1 Nummer 1 Daten- Behörde zur Anregung der Ent- Satz 2). Jährlich hat die Kontrollstelle den zuständigen schutzauditgesetz ziehung der Zulassung oder Ände- Behörden ein Verzeichnis der nichtöffentlichen Stellen, die rung von Auflagen an den Bundes- am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- beauftragten für den Datenschutz den und bis zum 31. März jedes Jahres einen Bericht über und die Informationsfreiheit ihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständige Kontrollstellen erteilen einander die für eine ordnungsge- Nummer 2 Daten- Behörde des Landes mäße Durchführung dieses Gesetzes notwendigen Aus- schutzauditgesetz künfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigen regelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- Datenschutzaudit- Behörde zur Anregung eines Verfah- züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). gesetz rens der Entziehung der Zulassung Soweit eine Kontrollstelle im Rahmen der von ihr durchge- oder Änderung von Auflagen an den führten Kontrollen Tatsachen feststellt, die einen hinrei- Bundesbeauftragten für den Daten- chenden Verdacht auf Verstöße der in Satz 2 genannten Art schutz und die Informationsfreiheit begründen, der eine nicht von der Kontrollstelle kontrol- § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus- lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle Datenschutzaudit- kunftspflichtigen die Tatsachen unverzüglich der Kontrollstelle mit, deren gesetz Kontrolle die betroffene nichtöffentliche Stelle untersteht § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für (§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von Datenschutzaudit- Datenschutzkonzepte durch den ihr kontrollierten nichtöffentlichen Stellen, die zuständigen gesetz Bundesbeauftragten für den Daten- Behörden sowie den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit schutz und die Informationsfreiheit, bevor sie ihre Tätigkeit § 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Internet einstellt, oder im Falle eines Antrags auf Eröffnung des Datenschutzaudit- und im elektronischen Bundes- Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent- gesetz anzeiger lichen Stellen sowie die Kontrollstellen haben den zuständi- gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses der Absatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- Datenschutzaudit- zugelassenen Kontrollstellen zuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- gesetz wendung des Datenschutzauditsiegels ist das Datenschutz- § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internet konzept oder die informationstechnische Einrichtung dem Datenschutzaudit- und im elektronischen Bundes- Bundesbeauftragten für den Datenschutz und die Informa- gesetz anzeiger tionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). § 11 Absatz 1 Veröffentlichungspflicht der maß- Satz 3 Daten- geblichen Richtlinien im Internet und Die Summe der zu erwartenden Belastungen für die Wirt- schutzauditgesetz im elektronischen Bundesanzeiger schaft beträgt insgesamt 10,14 Mio. Euro. § 15 Absatz 2 Berichtspflicht an die Aufsichts- Die für die Wirtschaft entstehenden Kosten sind hinnehm- Satz 3 Daten- behörde bar, weil das Datenschutzaudit freiwillig ist und es die Un- schutzauditgesetz ternehmen daher von einer Wirtschaftlichkeitsbetrachtung § 15 Absatz 3 Pflicht der Genehmigung durch die abhängig machen können, ob sie sich einem Audit mit den Satz 1 Daten- Aufsichtsbehörde damit ggf. einhergehenden Bürokratiekosten unterziehen. schutzauditgesetz