1. Deutscher Bundestag Drucksache 16/12011
16. Wahlperiode 18. 02. 2009
Gesetzentwurf
der Bundesregierung
Entwurf eines Gesetzes zur Regelung des Datenschutzaudits
und zur Änderung datenschutzrechtlicher Vorschriften
A. Problem und Ziel
Den Aufwendungen von Unternehmen für einen über das gesetzlich vorge-
schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquater
wirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere-
geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin-
det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu-
gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 des
Bundesdatenschutzgesetzes erfüllt werden.
In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han-
dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten
ist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3
Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel-
lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danach
dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu-
sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs-
forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden.
Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe-
zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne
in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu-
dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt-
und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be-
troffenen möchten über die Verwendung personenbezogener Daten für diese
Zwecke selbst entscheiden können.
B. Lösung
Unternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlich
geregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz-
konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn-
zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab-
ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mit
Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli-
nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un-
ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- und
Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben.
Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer-
bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
2. Drucksache 16/12011 –2– Deutscher Bundestag – 16. Wahlperiode
beschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei-
nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit dem
Betroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu-
erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Daten
für Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oder
Meinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu-
dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durch
Kopplung mit dem Vertragsschluss erzwingen dürfen.
C. Alternativen
Keine
D. Finanzielle Auswirkungen auf die öffentlichen Haushalte
1. Haushaltsausgaben ohne Vollzugsaufwand
Keine
2. Vollzugsaufwand
Das Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereich
beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im
Rahmen der Durchführung des Gesetzes und der Überwachung der zugelasse-
nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durch
Kostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll-
zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In-
formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie-
hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellen
und der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech-
nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildung
eines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und der
Wirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutz
und die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl der
Kontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel in
Höhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden.
Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben ist
im Haushaltsaufstellungsverfahren 2010 zu entscheiden.
E. Sonstige Kosten
Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor-
schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per-
sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oder
der Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön-
nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, bei
unrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf-
sichtsbehörden und Betroffenen zu benachrichtigen.
Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaft
nach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten-
ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren auf
die Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwillig
ist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän-
gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolge
unterziehen.
3. Deutscher Bundestag – 16. Wahlperiode –3– Drucksache 16/12011
F. Bürokratiekosten
Für die Wirtschaft werden 15 Informationspflichten neu eingeführt und eine
Informationspflicht geändert. Es wird keine Informationspflicht abgeschafft. Die
Summe der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio.
Euro.
Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt,
geändert oder abgeschafft.
Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und
keine Informationspflicht geändert oder abgeschafft.
7. Deutscher Bundestag – 16. Wahlperiode –7– Drucksache 16/12011
Anlage 1
Entwurf eines Gesetzes zur Regelung des Datenschutzaudits
und zur Änderung datenschutzrechtlicher Vorschriften
Vom …
Der Bundestag hat das folgende Gesetz beschlossen: kontrollieren lassen, sofern sie nichtöffentliche Stellen im
Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind.
Sie dürfen ihr Datenschutzkonzept oder eine angebotene
Artikel 1 informationstechnische Einrichtung mit einem Datenschutz-
Datenschutzauditgesetz auditsiegel kennzeichnen, wenn
(DSAG)* 1. bei der Datenverarbeitung, für die das Datenschutzkon-
zept oder die informationstechnische Einrichtung vorge-
Inhaltsübersicht sehen ist, die Vorschriften zum Schutz personenbezoge-
§1 Datenschutzaudit ner Daten eingehalten werden,
§2 Zuständigkeit 2. die für das Datenschutzkonzept oder die informati-
§3 Kontrollen onstechnische Einrichtung geltenden Richtlinien zur Ver-
§4 Zulassung der Kontrollstelle und Entziehung der besserung des Datenschutzes und der Datensicherheit
Zulassung nach § 11 Absatz 1 erfüllt werden,
§5 Anforderungen an das Personal der Kontrollstelle 3. als Anbieter mit Sitz im Inland die Vorschriften des Bun-
desdatenschutzgesetzes über die organisatorische Stel-
§6 Pflichten der Kontrollstelle lung des Beauftragten für den Datenschutz eingehalten
§7 Pflichten der zuständigen Behörde werden und
§8 Überwachung 4. dies nach § 3 kontrolliert wird.
§9 Datenschutzauditsiegel, Verzeichnisse Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch
§ 10 Gebühren und Auslagen die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten-
§ 11 Datenschutzauditausschuss schutzgesetzes genannten Stellen.
§ 12 Mitglieder des Datenschutzauditausschusses
§2
§ 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Zuständigkeit
Datenschutzauditausschusses
(1) Die Durchführung dieses Gesetzes und der auf Grund
§ 14 Geschäftsstelle des Datenschutzauditausschusses
dieses Gesetzes erlassenen Rechtsverordnungen obliegt den
§ 15 Rechtsaufsicht nach Landesrecht zuständigen Behörden, soweit nachste-
§ 16 Verordnungsermächtigungen hend nichts anderes bestimmt ist. Soweit für die geschäfts-
§ 17 Bußgeldvorschriften mäßige Erbringung von Post- oder Telekommunikations-
diensten Daten zu natürlichen oder juristischen Personen
§ 18 Strafvorschriften erhoben, verarbeitet oder genutzt werden, ist zuständige Be-
§ 19 Einziehung hörde der Bundesbeauftragte für den Datenschutz und die
§ 20 Übergangsvorschrift Informationsfreiheit (Bundesbeauftragter).
(2) Der Bundesbeauftragte ist zuständig für die Zulassung
§1 der Kontrollstellen, die Entziehung der Zulassung und die
Datenschutzaudit Vergabe der Kennnummern an die Kontrollstellen.
Nach Maßgabe dieses Gesetzes können
§3
1. verantwortliche Stellen ihr Datenschutzkonzept und Kontrollen
2. Anbieter von Datenverarbeitungsanlagen und -program- Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1
men (informationstechnischen Einrichtungen) die ange- Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer-
botenen informationstechnischen Einrichtungen den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas-
senen Kontrollstellen durchgeführt, soweit die Aufgaben-
wahrnehmung nicht mit der Durchführung eines Verwal-
* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen tungsverfahrens verbunden ist. Der Beauftragte für den
Parlaments und des Rates vom 22. Juni 1998 über ein Informations-
verfahren auf dem Gebiet der Normen und technischen Vorschriften
Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten-
und der Vorschriften für die Dienste der Informationsgesellschaft schutzgesetzes ist in die Durchführung der Kontrollen einzu-
(ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie beziehen. Art und Häufigkeit der Kontrollen richten sich
2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, nach dem Risiko des Auftretens von Verstößen gegen dieses
S. 81) geändert worden ist, sind beachtet worden. Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
8. Drucksache 16/12011 –8– Deutscher Bundestag – 16. Wahlperiode
ordnungen oder die für das Datenschutzkonzept oder die in- oder Insolvenzstraftaten mit einer Strafe oder wegen
formationstechnische Einrichtung geltenden Richtlinien zur Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor-
Verbesserung des Datenschutzes und der Datensicherheit schriften mit einer Geldbuße in Höhe von mehr als fünf-
nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine hundert Euro belegt worden ist,
Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so-
2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz,
bald der ordnungsgemäße Geschäftsbetrieb der Kontroll-
eine auf Grund dieses Gesetzes erlassene Rechtsverord-
stelle es ermöglicht, erstmalig und sodann spätestens inner-
nung oder Vorschriften über den Schutz personenbezoge-
halb von zwölf Monaten nach dieser Kontrolle erneut kon-
ner Daten verstoßen hat oder wiederholt oder grob
trolliert. Danach wird die nichtöffentliche Stelle spätestens
pflichtwidrig als Beauftragter für den Datenschutz seine
alle 18 Monate kontrolliert.
Verpflichtungen verletzt hat,
§4 3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur
Zulassung der Kontrollstelle und Entziehung Bekleidung öffentlicher Ämter verloren hat,
der Zulassung 4. sich nicht in geordneten wirtschaftlichen Verhältnissen
(1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn befindet, es sei denn, dass dadurch die Interessen der kon-
trollierten nichtöffentlichen Stelle oder Dritter nicht ge-
1. ihr Leitungspersonal und die für Kontrollen verantwort- fährdet sind, oder
lichen Beschäftigten über die erforderliche Zuverlässig-
keit, Unabhängigkeit und fachliche Eignung verfügen, 5. aus gesundheitlichen Gründen nicht nur vorübergehend
unfähig ist, die Kontrollen nach Maßgabe der nach § 16
2. die Kontrollstelle akkreditiert ist, Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung
3. die für die Zulassung erhobenen Gebühren entrichtet ordnungsgemäß durchzuführen.
worden sind und (2) Über die erforderliche Unabhängigkeit verfügt, wer
4. die Kontrollstelle ihren Sitz oder eine Niederlassung im bei der Übernahme, Vorbereitung und Durchführung der
Bundesgebiet hat. Kontrollen keiner persönlichen, wirtschaftlichen oder beruf-
lichen Einflussnahme unterliegt, die geeignet ist, ein objek-
Mit der Zulassung ist der Kontrollstelle eine Kennnummer
tives Urteil zu beeinträchtigen. Für die Unabhängigkeit und
zuzuteilen.
Freiheit von Interessenkonflikten bietet in der Regel keine
(2) Die Zulassung wird für das gesamte Bundesgebiet er- Gewähr, wer
teilt. Auf Antrag kann die Zulassung auf einzelne Länder be-
1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oder
schränkt werden.
Angestellter einer nichtöffentlichen Stelle ist, auf die sich
(3) Die Zulassung kann mit Befristungen, Bedingungen seine Kontrolltätigkeit bezieht,
oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla-
2. als Leitungspersonal der Kontrollstelle eine Tätigkeit auf
gen verbunden werden, soweit die Funktionsfähigkeit des
Grund eines Beamtenverhältnisses, Soldatenverhältnis-
Kontrollsystems oder Belange des Datenschutzes hinsicht-
ses oder eines Anstellungsvertrages mit einer juristischen
lich der Voraussetzungen nach Absatz 1 Nummer 1 oder
Person des öffentlichen Rechts, eine Tätigkeit auf Grund
Nummer 2 dies erfordern. Unter denselben Voraussetzungen
eines Richterverhältnisses, öffentlich-rechtlichen Dienst-
ist die nachträgliche Aufnahme und die Änderung von Auf-
verhältnisses als Wahlbeamter auf Zeit oder eines öffent-
lagen zulässig.
lich-rechtlichen Amtsverhältnisses ausübt, es sei denn,
(4) Einer Kontrollstelle wird die Zulassung entzogen, dass die übertragenen Aufgaben ehrenamtlich wahrge-
wenn die Kontrollstelle nommen werden,
1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 3. Weisungen auf Grund vertraglicher oder sonstiger Bezie-
Nummer 2 oder Nummer 4 nicht mehr genügt, hungen bei der Tätigkeit für die Kontrollstelle auch dann
2. ihren Verpflichtungen nach diesem Gesetz, insbesondere zu befolgen hat, wenn sie zu Handlungen gegen seine
nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund Überzeugung verpflichten,
dieses Gesetzes erlassenen Rechtsverordnung in schwer- 4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso-
wiegender Weise nicht nachkommt. nell mit Dritten verflochten ist, wenn nicht deren Ein-
flussnahme auf die Wahrnehmung der Aufgaben für die
§5 Kontrollstelle, insbesondere durch Satzung, Gesell-
Anforderungen an das Personal der Kontrollstelle schaftsvertrag oder Anstellungsvertrag ausgeschlossen
ist.
(1) Über die erforderliche Zuverlässigkeit verfügt, wer
auf Grund seiner persönlichen Eigenschaften, seines Verhal- (3) Über die erforderliche fachliche Eignung verfügt, wer
tens und seiner Fähigkeiten die Gewähr für die ordnungsge- auf Grund seiner Ausbildung, beruflichen Bildung und prak-
mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm
die Zuverlässigkeit bietet in der Regel keine Gewähr, wer obliegenden Aufgaben befähigt ist. Im Bereich Recht sind
nachzuweisen:
1. ausweislich eines Führungszeugnisses für Behörden nach
§ 30 Absatz 5, § 31 des Bundeszentralregistergesetzes 1. der Abschluss eines Studiums der Rechtswissenschaft
wegen Verletzung der Vorschriften des Strafrechts über oder eines Studiums auf einem anderen Gebiet mit
den persönlichen Lebens- und Geheimbereich, über rechtswissenschaftlichen Inhalten, die den Umfang eines
Eigentums- und Vermögensdelikte, Urkundenfälschung durchschnittlichen Nebenfachstudiums der Rechtswis-
9. Deutscher Bundestag – 16. Wahlperiode –9– Drucksache 16/12011
senschaft nicht unterschreiten, an einer deutschen Hoch- (4) Die Kontrollstelle unterrichtet die von ihr kontrollier-
schule oder ein gleichwertiger ausländischer Abschluss ten nichtöffentlichen Stellen, die nach Landesrecht für die
sowie eine dreijährige berufliche Tätigkeit mit dem Sitze oder Niederlassungen der nichtöffentlichen Stellen zu-
Schwerpunkt auf dem Gebiet des Datenschutzrechts oder ständigen Behörden sowie den Bundesbeauftragten,
2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 1. spätestens drei Monate vor der beabsichtigten Einstel-
sowie eine mindestens fünfjährige berufliche Tätigkeit lung ihrer Tätigkeit,
mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 2. im Falle eines Antrags auf Eröffnung eines Insolvenzver-
rechts. fahrens unverzüglich.
Im Bereich Informationstechnik sind nachzuweisen: Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif-
ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn
1. der Abschluss eines Studiums der Informatik, der Wirt-
die Kontrolle der von ihr kontrollierten nichtöffentlichen
schaftsinformatik oder eines Studiums auf einem anderen
Stellen durch eine andere Kontrollstelle sichergestellt ist.
Gebiet mit informationstechnischen Inhalten, die den
Umfang eines durchschnittlichen Nebenfachstudiums
der Informatik nicht unterschreiten, an einer deutschen §7
Hochschule oder ein gleichwertiger ausländischer Ab- Pflichten der zuständigen Behörde
schluss sowie eine dreijährige berufliche Tätigkeit mit (1) Die Kontrollstelle wird von der zuständigen Behörde
dem Schwerpunkt auf dem Gebiet der Informationstech- des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt,
nik oder überwacht, indem die zuständige Behörde bei Bedarf Über-
prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei-
2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der
len die zuständigen Behörden einander die zur Überwachung
Informationstechnik sowie eine mindestens fünfjährige
der Kontrollstellen erforderlichen Auskünfte. Stellt die zu-
berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge-
ständige Behörde Tatsachen fest, die die Entziehung der Zu-
biet der Informationstechnik.
lassung rechtfertigen oder die Aufnahme oder Änderung von
Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- Auflagen zur Zulassung erforderlich machen können, hat sie
dens für die Kontrollstelle nicht seit mehr als drei Jahren un- 1. wenn der Ort der zu beanstandenden Kontrolltätigkeit
terbrochen sein. und der Sitz oder die Niederlassung der Kontrollstelle in
demselben Land liegen, beim Bundesbeauftragten unter
§6 Mitteilung dieser Tatsachen die Entziehung der Zulas-
Pflichten der Kontrollstelle sung oder die Aufnahme oder Änderung von Auflagen
anzuregen oder,
(1) Die Kontrollstelle hat ein Datenschutzkonzept oder
eine informationstechnische Einrichtung gegen angemes- 2. wenn der Ort der zu beanstandenden Kontrolltätigkeit
sene Vergütung in ihre Kontrollen einzubeziehen, soweit die und der Sitz oder die Niederlassung der Kontrollstelle in
nichtöffentliche Stelle die Einbeziehung verlangt und ihren verschiedenen Ländern liegen, der zuständigen Behörde
Sitz oder eine Niederlassung in dem Land hat, in dem die des Landes, in dem der Sitz oder die Niederlassung der
Kontrollstelle zugelassen ist. Die zuständige Behörde kann Kontrollstelle liegt, die Tatsachen mitzuteilen.
auf Antrag der Kontrollstelle eine Ausnahme von der Ver- Erhält die zuständige Behörde des Landes, in dem der Sitz
pflichtung nach Satz 1 zulassen, soweit oder die Niederlassung der Kontrollstelle liegt, Kenntnis von
1. die Kontrollstelle wirksame Kontrollen nicht gewährleis- Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes-
ten kann und beauftragten unter Mitteilung dieser Tatsachen an, ein Ver-
fahren zur Entziehung der Zulassung oder zur Aufnahme
2. die Durchführung der Kontrollen durch eine andere oder Änderung von Auflagen einzuleiten. Im Rahmen des
Kontrollstelle sichergestellt ist. § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle
(2) Die Kontrollstelle übermittelt der zuständigen Behör- nach Satz 1 durch den Bundesbeauftragten überwacht.
den jährlich bis zum 31. Januar ein Verzeichnis der nicht- (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständige
öffentlichen Stellen, die am 31. Dezember des Vorjahres Behörde anordnen, dass von dem Verstoß betroffene Daten-
ihrer Kontrolle unterstanden und legt bis zum 31. März jedes schutzkonzepte oder informationstechnische Einrichtungen
Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor. nicht mit dem Datenschutzauditsiegel gekennzeichnet wer-
den dürfen, wenn dies in einem angemessenen Verhältnis zur
(3) Die Kontrollstellen erteilen einander die für eine ord- Bedeutung der Vorschrift, gegen die verstoßen wurde, sowie
nungsgemäße Durchführung dieses Gesetzes notwendigen zu Art und Umständen des Verstoßes steht. Im Falle eines
Auskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- schwerwiegenden Verstoßes oder eines Verstoßes mit Lang-
stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie zeitwirkung kann die zuständige Behörde der nichtöffent-
unverzüglich die zuständige Behörde. Soweit eine Kontroll- lichen Stelle die Kennzeichnung für einen bestimmten Zeit-
stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- raum untersagen.
sachen feststellt, die einen hinreichenden Verdacht auf Ver-
stöße der in Satz 2 genannten Art begründen, der eine nicht
von der Kontrollstelle kontrollierte nichtöffentliche Stelle §8
betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich Überwachung
der Kontrollstelle mit, deren Kontrolle die betroffene nicht- (1) Die nichtöffentlichen Stellen und die Kontrollstellen
öffentliche Stelle untersteht. haben den zuständigen Behörden auf Verlangen die zur
10. Drucksache 16/12011 – 10 – Deutscher Bundestag – 16. Wahlperiode
Durchführung der den zuständigen Behörden durch dieses § 10
Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- Gebühren und Auslagen
ben erforderlichen Auskünfte zu erteilen. (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und
(2) Die von der zuständigen Behörde beauftragten Perso- Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung des
nen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- Verwaltungsaufwandes Gebühren und Auslagen erhoben
triebsräume der Auskunftspflichtigen während der Ge- werden. Das Bundesministerium des Innern wird ermächtigt,
schäfts- oder Betriebszeit betreten und dort Besichtigungen im Einvernehmen mit dem Bundesministerium der Finanzen
vornehmen und geschäftliche Unterlagen einsehen und prü- durch Rechtsverordnung ohne Zustimmung des Bundesrates
fen, soweit dies zur Durchführung ihrer Aufgaben erforder- die gebührenpflichtigen Tatbestände, die Gebührensätze so-
lich ist. wie die Auslagenerstattung zu bestimmen und dabei feste
Sätze oder Rahmensätze vorzusehen. In der Rechtsverord-
(3) Auskunftspflichtige haben die Maßnahmen nach nung kann die Erstattung von Auslagen abweichend vom
Absatz 2 zu dulden, die zu besichtigenden Bereiche selbst Verwaltungskostengesetz geregelt werden.
oder durch andere so zu bezeichnen, dass die Besichtigung
ordnungsgemäß vorgenommen werden kann, selbst oder (2) Für Amtshandlungen der zuständigen Behörden nach
durch andere die erforderliche Hilfe bei Besichtigungen zu § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren und
leisten sowie die geschäftlichen Unterlagen zur Einsicht- Auslagen nach Maßgabe des Landesrechts erhoben werden.
nahme und Prüfung vorzulegen.
§ 11
(4) Auskunftspflichtige können die Auskunft auf solche Datenschutzauditausschuss
Fragen verweigern, deren Beantwortung sie oder einen der in
§ 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- Beim Bundesbeauftragten wird ein Datenschutzauditaus-
zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- schuss gebildet. Er erlässt Richtlinien zur Verbesserung des
folgung oder eines Verfahrens nach dem Gesetz über Ord- Datenschutzes und der Datensicherheit, insbesondere durch
nungswidrigkeiten aussetzen würde. Auskunftspflichtige 1. Transparenz der Datenerhebung, -verarbeitung und -nut-
sind darauf hinzuweisen. zung,
(5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 2. Datenvermeidung und Datensparsamkeit nach § 3a des
trollen der nichtöffentlichen Stellen durch die Kontrollstel- Bundesdatenschutzgesetzes,
len. 3. die Stärkung der organisatorischen Stellung des Be-
auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1
§9 des Bundesdatenschutzgesetzes,
Datenschutzauditsiegel, Verzeichnisse
4. technische und organisatorische Maßnahmen nach § 9
(1) Wer ein Datenschutzkonzept oder eine informations- des Bundesdatenschutzgesetzes.
technische Einrichtung mit dem Datenschutzauditsiegel Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei-
kennzeichnen will, hat dies dem Bundesbeauftragten vor der ner Internetseite und im elektronischen Bundesanzeiger.
erstmaligen Verwendung des Siegels anzuzeigen. Der Bun-
desbeauftragte hat ein Verzeichnis der angezeigten Daten- (2) Der Datenschutzauditausschuss unterrichtet die Öf-
schutzkonzepte sowie informationstechnischen Einrichtun- fentlichkeit jährlich in einem Bericht über seine Tätigkeit
gen mit den Angaben nach Satz 3 zu führen und zum Zwecke und Erfahrungen, insbesondere über Praktikabilität und er-
der Information der zuständigen Behörden und der Betroffe- forderliche Änderungen erlassener Richtlinien sowie den
nen auf seiner Internetseite sowie im elektronischen Bundes- Bedarf für neue Richtlinien.
anzeiger zu veröffentlichen. Das Verzeichnis muss folgende
Angaben enthalten: § 12
Mitglieder des Datenschutzauditausschusses
1. den Namen und die Anschrift oder die der nichtöffent-
lichen Stelle durch die Kontrollstelle zugeordnete alpha- (1) Mitglieder des Datenschutzauditausschusses sind
numerische Identifikationsnummer, 1. zwei Vertreter der Verwaltung des Bundes,
2. den Namen und die Anschrift oder die Kennnummer der 2. zwei Vertreter des Bundesamtes für Sicherheit in der In-
Kontrollstelle, formationstechnik,
3. das angezeigte Datenschutzkonzept sowie die informa- 3. zwei Vertreter des Bundesbeauftragten,
tionstechnische Einrichtung. 4. zwei Vertreter der Verwaltung der Länder,
Weitere Angaben darf das Verzeichnis nicht enthalten. 5. vier Vertreter von Aufsichtsbehörden der Länder für den
(2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- Datenschutz im nichtöffentlichen Bereich,
lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 6. sechs Vertreter von Unternehmen oder ihren Verbänden.
führen und zum Zwecke der Information der zuständigen
Behörden und der Betroffenen auf seiner Internetseite sowie Sie unterliegen keinen Weisungen und sind ehrenamtlich tä-
im elektronischen Bundesanzeiger zu veröffentlichen. Das tig. Die §§ 83 und 84 des Verwaltungsverfahrensgesetzes
Verzeichnis enthält die Namen, Anschriften und Kennnum- sind anzuwenden.
mern der zugelassenen Kontrollstellen. Weitere Angaben (2) Die Mitglieder des Datenschutzauditausschusses müs-
darf es nicht enthalten. sen über gründliche Fachkenntnisse und mindestens dreijäh-
11. Deutscher Bundestag – 16. Wahlperiode – 11 – Drucksache 16/12011
rige praktische Erfahrungen auf dem Gebiet des Datenschut- aufheben. Wenn der Datenschutzauditausschuss Beschlüsse
zes verfügen. oder sonstige Handlungen unterlässt, die zur Erfüllung sei-
(3) Das Bundesministerium des Innern beruft die Mitglie- ner gesetzlichen Aufgaben erforderlich sind, kann die Auf-
der des Datenschutzauditausschusses und für jedes Mitglied sichtsbehörde anordnen, dass innerhalb einer bestimmten
einen Stellvertreter für die Dauer von drei Jahren, die Mit- Frist die erforderlichen Maßnahmen getroffen werden. Die
glieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag Aufsichtsbehörde hat die geforderten Handlungen im Ein-
und jeweils im Einvernehmen mit dem Bundesbeauftragten, zelnen zu bezeichnen. Sie kann ihre Anordnung selbst
den für den Datenschutz zuständigen obersten Landesbehör- durchführen oder von einem anderen durchführen lassen,
den, den Aufsichtsbehörden nach § 38 des Bundesdaten- wenn die Anordnung vom Datenschutzauditausschuss nicht
schutzgesetzes sowie den Bundesdachverbänden der Wirt- befolgt worden ist.
schaft. (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei-
(4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur chen, kann die Aufsichtsbehörde den Datenschutzauditaus-
mit beratender Stimme hinzuzuziehen, soweit Gegenstand schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeit
der Sitzung eine Richtlinie ist, die nichtöffentliche Stellen der Auflösungsanordnung unverzüglich neue Mitglieder ge-
betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni- mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagene
kationsgesetzes oder § 42 Absatz 3 des Postgesetzes der Personen nicht zu berücksichtigen, die dem aufgelösten Da-
Kontrolle des Bundesbeauftragten unterliegen. tenschutzauditausschuss angehört haben.
§ 13 § 16
Geschäftsordnung, Vorsitz und Beschlussfassung Verordnungsermächtigungen
des Datenschutzauditausschusses (1) Die Landesregierungen werden ermächtigt, durch
(1) Der Datenschutzauditausschuss gibt sich eine Ge- Rechtsverordnung
schäftsordnung, die der Genehmigung durch das Bundes- 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab-
ministerium des Innern bedarf. satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be-
(2) Der Datenschutzauditausschuss wählt den Vorsitzen- leihen oder sie an der Erfüllung der Aufgaben zu beteili-
den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss gen,
jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 2. die Voraussetzungen und das Verfahren der Beleihung
tionen, der Aufsichtsbehörden für den Datenschutz und der und der Beteiligung zu regeln.
Verwaltung gehören.
Die Landesregierungen können die Ermächtigung durch
(3) Der Datenschutzauditausschuss beschließt Rechtsverordnung ganz oder teilweise auf andere Behörden
1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der des Landes übertragen.
Mehrheit von zwei Dritteln der gesetzlichen Mitglieder
(2) Die Bundesregierung wird ermächtigt, nach Anhörung
und
des Bundesbeauftragten durch Rechtsverordnung ohne Zu-
2. in Angelegenheiten der Geschäftsordnung mit der Mehr- stimmung des Bundesrates
heit der gesetzlichen Mitglieder.
1. zugelassene Kontrollstellen mit Aufgaben nach § 2
Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu
§ 14 beleihen oder sie an der Erfüllung der Aufgaben zu betei-
Geschäftsstelle des Datenschutzauditausschusses ligen,
Der Datenschutzauditausschuss wird bei der Durchfüh-
2. die Voraussetzungen und das Verfahren der Beleihung
rung seiner Aufgaben durch eine Geschäftsstelle unterstützt,
und der Beteiligung zu regeln.
die den Weisungen des Vorsitzenden des Datenschutzaudit-
ausschusses unterliegt. (3) Das Bundesministerium des Innern wird ermächtigt,
durch Rechtsverordnung mit Zustimmung des Bundesrates
§ 15 nähere Regelungen zu treffen über
Rechtsaufsicht 1. die Einzelheiten der Verwendung des Datenschutzaudit-
(1) Der Datenschutzauditausschuss untersteht der Auf- siegels, um eine einheitliche Kennzeichnung und eindeu-
sicht des Bundesministeriums des Innern (Aufsichtsbehör- tige Erkennbarkeit der Kennzeichnung der Datenschutz-
de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit konzepte und informationstechnischen Einrichtungen zu
der Ausschusstätigkeit, insbesondere darauf, dass die Aufga- gewährleisten,
be nach § 11 Absatz 1 Satz 2 erfüllt wird. 2. die Voraussetzungen und das Verfahren der Zulassung
(2) Die Aufsichtsbehörde kann an den Sitzungen des Da- nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen und
tenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen das Verfahren der Entziehung der Zulassung nach § 4
das Wort zu erteilen. Sie kann schriftliche Berichte und die Absatz 4, § 7 Absatz 1 Satz 3 und 4,
Vorlage von Akten verlangen. 3. die Mindestanforderungen an die Kontrollen und die im
(3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der Rahmen der Kontrollen vorgesehenen Vorkehrungen,
Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe-
4. die Gestaltung des Datenschutzauditsiegels,
hörde kann rechtswidrige Beschlüsse des Datenschutzaudit-
ausschusses beanstanden und nach vorheriger Beanstandung 5. die Anzeige nach § 9 Absatz 1 Satz 1.
12. Drucksache 16/12011 – 12 – Deutscher Bundestag – 16. Wahlperiode
§ 17 Artikel 2
Bußgeldvorschriften
Änderung des Bundesdatenschutzgesetzes
(1) Ordnungswidrig handelt, wer Das Bundesdatenschutzgesetz in der Fassung der Be-
1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt
tig, nicht vollständig oder nicht rechtzeitig übermittelt geändert durch das Gesetz vom …, wird wie folgt geändert:
oder einen dort genannten Bericht nicht, nicht richtig 1. Die Inhaltsübersicht wird wie folgt geändert:
oder nicht rechtzeitig vorlegt,
a) Nach der Angabe zu § 9 wird die Angabe „§ 9a
2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- Datenschutzaudit“ gestrichen.
ständige Behörde, eine nichtöffentliche Stelle oder den b) Die Angabe zu § 28 wie folgt gefasst:
Bundesbeauftragten nicht, nicht richtig, nicht vollständig
oder nicht rechtzeitig unterrichtet, „§ 28 Datenerhebung und -speicherung für eigene
Geschäftszwecke“.
3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht
richtig, nicht vollständig oder nicht rechtzeitig macht, c) Nach der Angabe zu § 42 wird folgende Angabe ein-
gefügt:
4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, „§ 42a Informationspflicht bei unrechtmäßiger Kennt-
nicht vollständig oder nicht rechtzeitig erteilt, niserlangung von Daten“.
5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder d) Nach der Angabe zu § 46 wird folgende Angabe ein-
gefügt:
6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit
einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, „§ 47 Übergangsregelung“.
eine Anzeige nicht, nicht richtig, nicht vollständig oder 2. Dem § 4f Absatz 3 werden folgende Sätze angefügt:
nicht rechtzeitig erstattet.
„Ist nach Absatz 1 ein Beauftragter für den Datenschutz
(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- zu bestellen, so ist die Kündigung des Arbeitsverhältnis-
sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 ses unzulässig, es sei denn, dass Tatsachen vorliegen,
zuwiderhandelt. welche die verantwortliche Stelle zur Kündigung aus
wichtigem Grund ohne Einhaltung einer Kündigungsfrist
(3) Die Ordnungswidrigkeit kann in den Fällen des berechtigen. Nach der Abberufung als Beauftragter für
Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend den Datenschutz ist die Kündigung innerhalb eines Jah-
Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- res nach der Beendigung der Bestellung unzulässig, es sei
zigtausend Euro geahndet werden. Die Geldbuße soll den denn, dass die verantwortliche Stelle zur Kündigung aus
wirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- wichtigem Grund ohne Einhaltung einer Kündigungsfrist
rigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- berechtigt ist. Zur Erhaltung der zur Erfüllung seiner
nannten Beträge hierfür nicht aus, können sie überschritten Aufgaben erforderlichen Fachkunde hat die verantwort-
werden. liche Stelle dem Beauftragten für den Datenschutz die
Teilnahme an Fort- und Weiterbildungsveranstaltungen
§ 18 zu ermöglichen und deren Kosten zu übernehmen.“
Strafvorschriften 3. § 9a wird aufgehoben.
Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3
lung in der Absicht begeht, sich oder einen anderen zu berei- Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2
chern oder einen anderen zu schädigen, wird mit Freiheits- Buchstabe a“ ersetzt.
strafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
5. § 28 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
§ 19
Einziehung „§ 28
Datenerhebung und -speicherung für eigene
Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder Geschäftszwecke“.
Absatz 2 oder eine Straftat nach § 18 begangen worden, kön-
nen Gegenstände, auf die sich die Straftat oder die Ord- b) In Absatz 1 Satz 1 Nummer 1 werden die Wörter
nungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- „Vertragsverhältnisses oder vertragsähnlichen Ver-
gehung oder Vorbereitung gebraucht worden oder bestimmt trauensverhältnisses“ durch die Wörter „rechtsge-
gewesen sind, eingezogen werden. § 23 des Gesetzes über schäftlichen oder rechtsgeschäftsähnlichen Schuld-
Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind verhältnisses“ ersetzt.
anzuwenden. c) Absatz 2 wird wie folgt gefasst:
„(2) Die Übermittlung oder Nutzung für einen an-
§ 20 deren Zweck ist zulässig
Übergangsvorschrift
1. unter den Voraussetzungen des Absatzes 1 Satz 1
§ 1 ist erst ab dem 1. Juli 2010 anzuwenden. Nummer 2 oder Nummer 3,
13. Deutscher Bundestag – 16. Wahlperiode – 13 – Drucksache 16/12011
2. soweit es erforderlich ist oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig,
soweit schutzwürdige Interessen des Betroffenen
a) zur Wahrung berechtigter Interessen eines Drit-
nicht entgegenstehen. Nach den Sätzen 1 bis 3 über-
ten oder
mittelte Daten dürfen nur für den Zweck verarbeitet
b) zur Abwehr von Gefahren für die staatliche oder genutzt werden, für den sie übermittelt worden
oder öffentliche Sicherheit oder zur Verfolgung sind.“
von Straftaten
e) Nach Absatz 3 werden folgende Absätze 3a und 3b
und kein Grund zu der Annahme besteht, dass der eingefügt:
Betroffene ein schutzwürdiges Interesse an dem
„(3a) Wird die Einwilligung nach § 4a Absatz 1
Ausschluss der Übermittlung oder Nutzung hat,
Satz 3 in anderer Form als der Schriftform erteilt, hat
oder
die verantwortliche Stelle dem Betroffenen den Inhalt
3. wenn es im Interesse einer Forschungseinrichtung der Einwilligung schriftlich zu bestätigen, es sei denn,
zur Durchführung wissenschaftlicher Forschung dass die Einwilligung elektronisch erklärt wird und
erforderlich ist, das wissenschaftliche Interesse an die verantwortliche Stelle sicherstellt, dass die Ein-
der Durchführung des Forschungsvorhabens das willigung protokolliert wird und der Betroffene deren
Interesse des Betroffenen an dem Ausschluss der Inhalt jederzeit abrufen und die Einwilligung jederzeit
Zweckänderung erheblich überwiegt und der mit Wirkung für die Zukunft widerrufen kann. Eine
Zweck der Forschung auf andere Weise nicht oder zusammen mit anderen Erklärungen erteilte Einwilli-
nur mit unverhältnismäßigem Aufwand erreicht gung ist nur wirksam, wenn der Betroffene durch An-
werden kann.“ kreuzen, durch eine gesonderte Unterschrift oder
durch ein anderes, ausschließlich auf die Einwilligung
d) Absatz 3 wird wie folgt gefasst:
in die Verarbeitung oder Nutzung der Daten für
„(3) Die Verarbeitung oder Nutzung personenbezo- Zwecke des Adresshandels, der Werbung oder der
gener Daten für Zwecke des Adresshandels, der Wer- Markt- oder Meinungsforschung bezogenes Tun
bung oder der Markt- oder Meinungsforschung ist zu- zweifelsfrei zum Ausdruck bringt, dass er die Einwil-
lässig, soweit der Betroffene nach Maßgabe des ligung bewusst erteilt.
Absatzes 3a eingewilligt hat. Darüber hinaus ist die
(3b) Die verantwortliche Stelle darf den Abschluss
Verarbeitung oder Nutzung personenbezogener Daten
eines Vertrags nicht von einer Einwilligung des Be-
zulässig, soweit es sich um listenmäßig oder sonst zu-
troffenen nach Absatz 3 Satz 1 abhängig machen,
sammengefasste Daten über Angehörige einer Perso-
wenn dem Betroffenen ein anderer Zugang zu gleich-
nengruppe handelt, die sich auf die Zugehörigkeit des
wertigen vertraglichen Leistungen ohne die Einwilli-
Betroffenen zu dieser Personengruppe, seine Berufs-,
gung nicht oder nicht in zumutbarer Weise möglich
Branchen- oder Geschäftsbezeichnung, seinen Na-
ist.“
men, Titel, akademischen Grad, seine Anschrift und
sein Geburtsjahr beschränken, und die Verarbeitung f) Absatz 4 wird wie folgt geändert:
oder Nutzung
aa) In Satz 1 werden das Wort „Nutzung“ jeweils
1. für Zwecke der Werbung für eigene Angebote oder durch das Wort „Verarbeitung“ und das Wort
der eigenen Markt- oder Meinungsforschung der „Übermittlung“ jeweils durch das Wort „Nut-
verantwortlichen Stelle erforderlich ist, die diese zung“ ersetzt.
Daten mit Ausnahme der Angabe zur Gruppenzu-
bb) In Satz 2 werden nach dem Wort „Ansprache“ die
gehörigkeit beim Betroffenen nach § 28 Absatz 1
Wörter „und in den Fällen des Absatzes 1 Satz 1
Satz 1 Nummer 1 erhoben hat,
Nummer 1 auch bei Begründung des rechts-
2. für Zwecke der Werbung oder der Markt- oder geschäftlichen oder rechtsgeschäftsähnlichen
Meinungsforschung gegenüber freiberuflich oder Schuldverhältnisses“ eingefügt.
gewerblich Tätigen unter deren Geschäftsadresse
cc) Satz 3 wird wie folgt geändert:
erforderlich ist oder
aaa) Nach dem Wort „Daten“ werden die Wörter
3. für Zwecke der Spendenwerbung einer verant-
„im Rahmen der Zwecke“ eingefügt.
wortlichen Stelle erforderlich ist, wenn Spenden
an diese gemäß § 10b Absatz 1 und § 34g des Ein- bbb) Das Wort „werden“ wird durch die Wörter
kommensteuergesetzes steuerbegünstigt sind. „worden sind“ ersetzt.
Für Zwecke nach Satz 2 Nummer 1 darf die ver- dd) Folgender Satz wird angefügt:
antwortliche Stelle zu den dort genannten Daten wei-
„In den Fällen des Absatzes 1 Satz 1 Nummer 1
tere Daten hinzuspeichern. Die Nutzung personenbe-
darf für den Widerspruch keine strengere Form
zogener Daten für Zwecke der Werbung oder der
verlangt werden als für die Begründung des
Markt- oder Meinungsforschung ist zudem zulässig,
rechtsgeschäftlichen oder rechtsgeschäftsähn-
soweit sie zusammen mit Werbung oder Markt- oder
lichen Schuldverhältnisses.“
Meinungsforschung nach Satz 2 Nummer 1 oder mit
der Durchführung eines rechtsgeschäftlichen oder g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“
rechtsgeschäftsähnlichen Schuldverhältnisses nach durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“
Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung ersetzt.
14. Drucksache 16/12011 – 14 – Deutscher Bundestag – 16. Wahlperiode
6. § 29 wird wie folgt geändert: ten. Soweit die Benachrichtigung der Betroffenen einen
unverhältnismäßigen Aufwand erfordern würde, insbe-
a) Absatz 1 wird wie folgt geändert:
sondere auf Grund der Vielzahl der betroffenen Fälle, tritt
aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort an ihre Stelle die Information der Öffentlichkeit durch
„und“ durch das Wort „oder“ ersetzt. Anzeigen, die mindestens eine halbe Seite umfassen, in
mindestens zwei bundesweit erscheinenden Tageszeitun-
bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ gen. Eine Benachrichtigung, die der Benachrichtigungs-
durch die Wörter „§ 28 Absatz 1 Satz 1 und pflichtige erteilt hat, darf in einem Strafverfahren oder in
Absatz 3 bis 3b“ ersetzt. einem Verfahren nach dem Gesetz über Ordnungswidrig-
b) Absatz 2 wird wie folgt geändert: keiten gegen ihn oder einen in § 52 Absatz 1 der Straf-
prozessordnung bezeichneten Angehörigen des Benach-
aa) Satz 1 Nummer 1 wird wie folgt gefasst: richtigungspflichtigen nur mit Zustimmung des Benach-
„1. der Dritte, dem die Daten übermittelt wer- richtigungspflichtigen verwendet werden.“
den, ein berechtigtes Interesse an ihrer 9. § 43 wird wie folgt geändert:
Kenntnis glaubhaft dargelegt hat und“.
a) Absatz 1 wird wie folgt geändert:
bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“
durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. aa) Nach Nummer 2 werden folgende Nummern 2a
und 2b eingefügt:
cc) In Satz 3 wird nach der Angabe „Nummer 1“ die
Angabe „Buchstabe a“ gestrichen. „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge-
währleistet, dass die Datenübermittlung
7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden festgestellt und überprüft werden kann,
die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die
Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf-
trag nicht, nicht richtig, nicht vollständig
8. Nach § 42 wird folgender § 42a eingefügt:
oder nicht in der vorgeschriebenen Weise
„§ 42a erteilt,“.
Informationspflicht bei unrechtmäßiger
bb) Nach Nummer 3 wird folgende Nummer 3a ein-
Kenntniserlangung von Daten
gefügt:
Stellt eine nichtöffentliche Stelle im Sinne des § 2
„3a. entgegen § 28 Absatz 4 Satz 4 eine stren-
Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1
gere Form verlangt,“.
Satz 1 Nummer 2 fest, dass bei ihr gespeicherte
b) Absatz 2 wird wie folgt geändert:
1. besondere Arten personenbezogener Daten (§ 3
Absatz 9), aa) In Nummer 5 werden die Wörter „, indem er sie
2. personenbezogene Daten, die einem Berufsgeheimnis an Dritte weitergibt“ und am Ende das Wort
unterliegen, „oder“ gestrichen.
3. personenbezogene Daten, die sich auf strafbare Hand- bb) Folgende Nummer 5a wird angefügt:
lungen oder Ordnungswidrigkeiten oder den Verdacht „5a. entgegen § 28 Absatz 4 Satz 1 Daten für
strafbarer Handlungen oder Ordnungswidrigkeiten Zwecke der Werbung oder der Markt- oder
beziehen, oder Meinungsforschung verarbeitet oder nutzt,“.
4. personenbezogene Daten zu Bank- oder Kreditkarten- cc) In Nummer 6 wird der Punkt am Ende durch das
konten Wort „oder“ ersetzt.
unrechtmäßig übermittelt oder auf sonstige Weise Dritten dd) Folgende Nummer 7 wird angefügt:
unrechtmäßig zur Kenntnis gelangt sind und drohen
schwerwiegende Beeinträchtigungen für die Rechte oder „7. entgegen § 42a Satz 1 eine Mitteilung nicht,
schutzwürdigen Interessen der Betroffenen, hat sie dies nicht richtig, nicht vollständig oder nicht
nach den Sätzen 2 bis 5 unverzüglich der zuständigen rechtzeitig macht.“
Aufsichtsbehörde sowie den Betroffenen mitzuteilen. c) Absatz 3 wird wie folgt geändert:
Die Benachrichtigung des Betroffenen muss unver-
züglich erfolgen, sobald angemessene Maßnahmen zur aa) Das Wort „fünfundzwanzigtausend“ wird durch
Sicherung der Daten ergriffen worden oder nicht unver- das Wort „fünfzigtausend“ und das Wort „zwei-
züglich erfolgt sind und die Strafverfolgung nicht mehr hundertfünfzigtausend“ wird durch das Wort
gefährdet wird. Die Benachrichtigung der Betroffenen „dreihunderttausend“ ersetzt.
muss eine Darlegung der Art der unrechtmäßigen Kennt- bb) Nach Satz 1 werden folgende Sätze eingefügt:
niserlangung und Empfehlungen für Maßnahmen zur
Minderung möglicher nachteiliger Folgen enthalten. Die „Die Geldbuße soll den wirtschaftlichen Vorteil,
Benachrichtigung der zuständigen Aufsichtsbehörde den der Täter aus der Ordnungswidrigkeit gezo-
muss zusätzlich eine Darlegung möglicher nachteiliger gen hat, übersteigen. Reichen die in Satz 1 ge-
Folgen der unrechtmäßigen Kenntniserlangung und der nannten Beträge hierfür nicht aus, so können sie
von der Stelle daraufhin ergriffenen Maßnahmen enthal- überschritten werden.“
15. Deutscher Bundestag – 16. Wahlperiode – 15 – Drucksache 16/12011
10. Nach § 46 wird folgender § 47 eingefügt: 4. § 16 Absatz 2 wird wie folgt geändert:
„§47 a) Nummer 2 wird aufgehoben.
Übergangsregelung
b) Die bisherigen Nummern 3 bis 6 werden die Num-
Für die Verarbeitung und Nutzung vor dem 1. Juli mern 2 bis 5.
2009 erhobener Daten ist § 28 in der bis dahin gelten-
den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“
Artikel 4
Artikel 3 Änderung des Telekommunikationsgesetzes
Änderung des Telemediengesetzes* Das Telekommunikationsgesetz vom 22. Juni 2004
(BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt
Das Telemediengesetz vom 26. Februar 2007 (BGBl. I geändert:
S. 179) wird wie folgt geändert:
1. Dem § 93 wird folgender Absatz 3 angefügt:
1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15
Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter „(3) Stellt der Diensteanbieter fest, dass bei ihm ge-
„§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. speicherte Bestandsdaten oder Verkehrsdaten unrechtmä-
ßig übermittelt worden oder auf sonstige Weise Dritten
2. § 12 wird wie folgt geändert: zur Kenntnis gelangt sind, und drohen schwerwiegende
a) Absatz 3 wird aufgehoben. Beeinträchtigungen für die Rechte oder schutzwürdigen
Interessen des betroffenen Nutzers, gilt § 42a des Bun-
b) Der bisherige Absatz 4 wird Absatz 3.
desdatenschutzgesetzes entsprechend.“
3. Nach § 15 wird folgender § 15a eingefügt:
2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni-
„§ 15a kationsdiensten“ die Wörter „ohne die Einwilligung“ ein-
Informationspflicht bei unrechtmäßiger gefügt.
Kenntniserlangung von Daten
Stellt der Diensteanbieter fest, dass bei ihm gespei-
cherte Bestands- oder Nutzungsdaten unrechtmäßig Artikel 5
übermittelt worden oder auf sonstige Weise Dritten zur Bekanntmachungserlaubnis
Kenntnis gelangt sind, und drohen schwerwiegende Be-
einträchtigungen für die Rechte oder schutzwürdigen In- Das Bundesministerium des Innern kann den Wortlaut des
teressen des betroffenen Nutzers, gilt § 42a des Bundes- Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel-
datenschutzgesetzes entsprechend.“ tenden Fassung im Bundesgesetzblatt bekannt machen.
* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Artikel 6
Parlaments und des Rates vom 22. Juni 1998 über ein Informations-
verfahren auf dem Gebiet der Normen und technischen Vorschriften
Inkrafttreten
und der Vorschriften für die Dienste der Informationsgesellschaft (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am
(ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie Tag nach der Verkündung in Kraft.
2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006,
S. 82) geändert worden ist, sind beachtet worden. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
16. Drucksache 16/12011 – 16 – Deutscher Bundestag – 16. Wahlperiode
Begründung
A. Allgemeiner Teil gekennzeichnete Datenschutzkonzepte oder informations-
technische Einrichtungen an dem Datenschutzauditsiegel
I. Ziel und Inhalt des Entwurfs erkennen und bei der Entscheidung zwischen mehreren An-
In der jüngeren Vergangenheit sind zunehmend Fälle des un- bietern berücksichtigen. Anstrengungen, die über die gesetz-
berechtigten Handels mit personenbezogenen Daten bekannt lichen Anforderungen in Bezug auf den Datenschutz hinaus-
geworden. Die Herkunft der Daten ist größtenteils nicht gehen, können für Unternehmen einen wirtschaftlichen
nachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 Mehrwert darstellen. Zugleich wird bei den Verbrauchern
Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes Bewusstsein für die Datenschutzrelevanz eines Produktes
hat sich dabei für die Herstellung der notwendigen Transpa- oder einer Dienstleistung geschaffen und gefördert.
renz als besonders nachteilig erwiesen. Danach dürfen be-
stimmte personenbezogene Daten, wenn sie listenmäßig
II. Gesetzgebungskompetenz
oder sonst zusammengefasst sind, für Zwecke der Werbung
oder der Markt- oder Meinungsforschung, ohne Einwilli- Die Gesetzgebungskompetenz des Bundes folgt für Rege-
gung der Betroffenen übermittelt oder genutzt werden. Die lungen des Datenschutzes als Annex aus der Kompetenz für
praktische Anwendung dieser Vorschrift hat dazu geführt, die geregelte Sachmaterie.
dass personenbezogene Daten der Bürgerinnen und Bürger
weitläufig zum Erwerb oder zur Nutzung angeboten werden, Einem Datenschutzaudit nach Artikel 1 können sich private
ohne in jedem Fall die in der Vorschrift angelegten Anforde- Unternehmen und diesen gleichgestellte öffentlich-recht-
rungen zu beachten. Personenbezogene Daten werden ohne liche Wettbewerbsunternehmen unterziehen. Betroffene
Beachtung der Zweckbindung verarbeitet und mit weiteren Sachmaterie ist daher ganz überwiegend das Recht der Wirt-
Daten verknüpft und weiter übermittelt. Zudem hat sich das schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes).
Verhältnis der Bürgerinnen und Bürger zur Werbung und Die Berechtigung des Bundes zur Inanspruchnahme der Ge-
Markt- oder Meinungsforschung seit der Einführung der setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2
Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- Grundgesetz. Eine bundesgesetzliche Regelung über ein
delt. Die gezielte Ansprache zum Zwecke der Werbung oder Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit im
Markt- oder Meinungsforschung wird von den Bürgerinnen Bundesgebiet im gesamtstaatlichen Interesse erforderlich.
und Bürgern zunehmend als Belastung empfunden und ist Eine unterschiedliche Regelung dieser Materie durch den
mit dem Wunsch nach mehr Selbstbestimmung verbunden. Landesgesetzgeber oder sein Untätigbleiben würde zu er-
Zudem haben die öffentlich bekannt gewordenen Vorkomm- heblichen Nachteilen für die Gesamtwirtschaft führen, die
nisse deutlich gemacht, dass für eine effektivere Durchset- sowohl im Interesse des Bundes als auch der Länder nicht
zung der bestehenden gesetzlichen Regelungen zum Daten- hingenommen werden können. Insbesondere wäre zu be-
schutz die Stellung der betrieblichen Beauftragten für den fürchten, dass unterschiedliche landesrechtliche Behandlun-
Datenschutz gestärkt werden muss und die Bußgeldtatbe- gen gleicher Lebenssachverhalte erhebliche Wettbewerbs-
stände erweitert werden müssen, um zu einem wirksamen verzerrungen und störende Schranken für die länderüber-
Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäre
schlagenen Änderungen resultieren in weiten Bereichen aus etwa der Fall, wenn Datenschutzauditsiegel in den Ländern
den Erfahrungen der Länder im Bereich der Aufsichtspraxis. anhand unterschiedlicher Verfahren vergeben würden. Die
Die Regelungen zur Neugestaltung des § 28 Absatz 3 des landesrechtlich unterschiedliche Ausgestaltung des Kon-
Bundesdatenschutzgesetzes finden unabhängig von der Un- trollverfahrens und des Verfahrens für die Zulassung der
ternehmensgröße Anwendung, jedoch zielen insbesondere Kontrollstellen würde abweichende Maßstäbe bei der Prü-
die vorgeschlagenen gesetzlichen Erlaubnistatbestände in fung und Bewertung nach sich ziehen. Unternehmen, die
§ 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- länderübergreifend oder bundesweit agieren, müssten sich
tung spezialisierter kleinerer und mittlerer Unternehmen. für gleich bleibende Auditgegenstände unterschiedlichen
Verfahren und Kontrollen durch wechselnde Personen unter-
Das Datenschutzauditgesetz bietet Unternehmen die Mög- ziehen mit der Gefahr abweichender Ergebnisse. In einem
lichkeit, sich auf freiwilliger Basis einem Datenschutzaudit Land auditierte und mit einem Datenschutzauditsiegel ge-
zu unterziehen und hierfür in ein Kontrollsystem einbezie- kennzeichnete Datenschutzkonzepte oder informationstech-
hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine nische Einrichtungen unterlägen in den einzelnen Ländern
informationstechnische Einrichtung von einem Datenschutz- unterschiedlichen Bedingungen. Dies würde die Verwend-
auditausschuss beim Bundesbeauftragten für den Daten- barkeit für die betroffenen Unternehmen nachhaltig beein-
schutz und die Informationsfreiheit festgelegte Richtlinien trächtigen. Unterschiedliche Landesregelungen zum Daten-
zur Verbesserung des Datenschutzes und der Datensicherheit schutzauditverfahren würden zu einer gesamtstaatlich be-
und lassen die Unternehmen dies in einem formalisierten denklichen Verlagerung der wirtschaftlichen Aktivitäten in
Verfahren durch Kontrollstellen regelmäßig überprüfen, weniger kontrollintensive Länder führen. Unterläge ein Da-
können sie das Datenschutzkonzept oder die informa- tenschutzkonzept oder eine informationstechnische Einrich-
tionstechnische Einrichtung mit einem Datenschutzauditsie- tung in Ländern verschärften Kontrollmaßnahmen, käme es
gel kennzeichnen. Auf diese Weise können Unternehmen unter Umständen dort nicht zum Einsatz. Dies hätte auch
einen Vorteil gegenüber Wettbewerbern erzielen, die sich Folgen für Verbraucherinnen und Verbraucher, die in solchen
keinem Datenschutzaudit unterziehen. Verbraucher können Ländern auf auditierte Verfahren und Produkte nicht zurück-
17. Deutscher Bundestag – 16. Wahlperiode – 17 – Drucksache 16/12011
greifen könnten. Auch unterschiedliche Landesregelungen sind, kündigen können oder bei einer unbefugten Kenntnis-
in Bezug auf den Kreis der in die Kontrollen einbezogenen erlangung sensibler Daten durch Dritte die Aufsichtsbehör-
Auditgegenstände bergen Gefahren für die Sicherheit und den und die Betroffenen nicht benachrichtigen müssen. An-
Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- deren Unternehmen in anderen Ländern bliebe diese
desrechtlich unterschiedliches Kontrollniveau wäre den Ver- Möglichkeit verwehrt bzw. sie wären zur Benachrichtigung
braucherinnen und Verbrauchern auch nicht zu vermitteln. verpflichtet, obwohl es sich um die gleichen personenbezo-
Das Vertrauen der Verbraucher in Datenschutzauditsiegel genen Daten handelt, die gleichen betrieblichen Voraus-
wäre insgesamt erschüttert. Auch für die Festlegung der von setzungen bestehen oder dieselbe unbefugte Kenntniserlan-
den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- gung sensibler Daten durch Dritte erfolgt ist. Es entstünden
depflichten ist eine bundesgesetzliche Regelung im gesamt- für letztere gravierende wettbewerbsverzerrende Änderun-
staatlichen Interesse notwendig. Im Falle landesrechtlich un- gen, denen die erstgenannten Unternehmen nicht ausgesetzt
terschiedlich geregelter Pflichten der Kontrollstellen bestün- wären. Zudem können die bestehenden Regelungen des
de die Gefahr, dass die für die Aufklärung von Verstößen Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge-
wichtigen gegenseitigen Unterrichtungen, die gerade auch ändert werden.
ein schnelles Tätigwerden der zuständigen Behörden ermög-
lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht der
liche Regelung kann sichergestellt werden, dass für den Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge-
Wirtschaftsstandort Deutschland einheitliche rechtliche setzes). Es besteht die Erforderlichkeit einer bundesgesetz-
Rahmenbedingungen im Hinblick auf die Verwendung des lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz.
Datenschutzauditsiegels gegeben sind. Sinn des Daten- Eine bundeseinheitliche Regelung der Informationspflicht
schutzauditsiegels ist es gerade, durch seine einheitliche bei unbefugter Kenntniserlangung sensibler Daten und des
Ausgestaltung die Verbraucherinnen und Verbraucher über Kopplungsverbots im Telemedien- und Telekommunika-
die zur Verbesserung des Datenschutzes beitragende Gestal- tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun-
tung zu informieren und hinsichtlich dieser Gestaltung für desgebiet im gesamtstaatlichen Interesse erforderlich. Die
das gesamte Bundesgebiet einheitliche Standards zu setzen. bestehenden Regelungen des Telemedien- und Telekommu-
Eine bundesgesetzliche Regelung ist ferner erforderlich, um nikationsgesetzes können nur durch ein Bundesgesetz geän-
einheitliche rechtliche Rahmenbedingungen im Hinblick auf dert werden. Eine ausbleibende Regelung würde zu erheb-
den Schutz der Verbraucherinnen und Verbraucher durch lichen Nachteilen für die Gesamtwirtschaft führen, die im
Sanktionen bei Verstößen zu gewährleisten. Interesse des Bundes nicht hingenommen werden können.
Insbesondere wäre zu befürchten, dass die unterschiedliche
Betroffene Sachmaterien des Artikels 2 sind vorwiegend das Behandlung gleicher Lebenssachverhalte zu erheblichen
Bürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des Wettbewerbsverzerrungen führt. Unternehmen, die dem
Grundgesetzes), das Recht der Wirtschaft (Artikel 74 Telemedien- oder Telekommunikationsgesetz unterliegen,
Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- müssten bei einer unbefugten Kenntniserlangung sensibler
recht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). Daten durch Dritte die Aufsichtsbehörden und die Betroffe-
Soweit die konkurrierende Gesetzgebungskompetenz des nen nicht benachrichtigen und unterlägen einem gegenüber
Bundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund- der Regelung im Bundesdatenschutzgesetz eingeschränktem
gesetzes in Anspruch genommen wird, besteht die Erforder- Kopplungsverbot. Andere Unternehmen blieben zur Be-
lichkeit einer bundesgesetzlichen Regelung gemäß Arti- nachrichtigung verpflichtet, obwohl es sich um vergleichbar
kel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche sensible personenbezogene Daten handelt, und dürften in ge-
Regelung der gesetzlichen Erlaubnistatbestände für die Ver- ringerem Umfang Kopplungen vornehmen. Es entstünden
arbeitung und Nutzung personenbezogener Daten zum Zwe- für diese dadurch gravierende wettbewerbsverzerrende Än-
cke des Adresshandels und der Werbung, Markt- oder derungen, denen die Unternehmen, die dem Telemedien-
Meinungsforschung, des Kündigungsschutzes der Beauf- oder Telekommunikationsgesetz unterliegen, nicht ausge-
tragten für den Datenschutz und einer Informationspflicht setzt wären.
von Unternehmen bei einer unbefugten Kenntniserlangung
sensibler Daten durch Dritte ist zur Wahrung der Wirt-
schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- III. Vereinbarkeit mit dem Recht der Europäischen
resse erforderlich. Eine unterschiedliche oder ausbleibende Union
Regelung dieser Materien durch den Landesgesetzgeber
würde zu erheblichen Nachteilen für die Gesamtwirtschaft Der Gesetzentwurf ist mit dem Recht der Europäischen
führen, die sowohl im Interesse des Bundes als auch der Län- Union vereinbar. Er steht insbesondere nicht im Widerspruch
der nicht hingenommen werden kann. Insbesondere wäre zu zu den Regelungen der Richtlinie 95/46/EG (EG-Daten-
befürchten, dass unterschiedliche landesrechtliche Behand- schutzrichtlinie).
lungen gleicher Lebenssachverhalte erhebliche Wettbe-
werbsverzerrungen und störende Schranken für die länder- Bei einem Datenschutzaudit nach dem Gesetzentwurf wer-
übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei den Datenschutzkonzepte oder informationstechnische Ein-
unterschiedlichen Regelungen durch die Länder bestünde richtungen anhand von Richtlinien zur Verbesserung des
die Gefahr, dass einige Unternehmen weiterhin personenbe- Datenschutzes und der Datensicherheit überprüft, die über
zogene Daten ohne Einwilligung der Betroffenen zum Zwe- die Vorschriften hinausgehen, die die Vorgaben der EG-
cke der Werbung, Markt- oder Meinungsforschung für Dritte Datenschutzrichtlinie enthält. Der Gesetzentwurf fördert
verarbeiten und nutzen können, einen Beauftragten für den daher mittelbar die tatsächliche Durchsetzung dieser Rege-
Datenschutz aus Gründen, die nicht auf sein Amt bezogen lungen.
18. Drucksache 16/12011 – 18 – Deutscher Bundestag – 16. Wahlperiode
Die Stärkung der Unabhängigkeit des Beauftragten für den bei unrechtmäßiger Kenntniserlangung bestimmter Daten
Datenschutz durch einen erweiterten Kündigungsschutz und durch Dritte die Aufsichtsbehörden und die Betroffenen
die Ermöglichung der Fortbildung fördern die Vorgabe in bzw. ersatzweise die Öffentlichkeit zu benachrichtigen.
Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danach
sehen die Mitgliedstaaten eine „unabhängige Überwachung“ Kosten für die Wirtschaft können nach Maßgabe von ggf.
der Anwendung der zur Umsetzung der Richtlinie erlassenen von den Ländern und dem Bund zu erlassenden Kostenord-
einzelstaatlichen Bestimmungen durch den Beauftragten für nungen entstehen, durch die die Kosten für die einzelnen
den Datenschutz vor. Die Stärkung der Einwilligung und die Auditverfahren auf die Antragsteller abgewälzt werden kön-
Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung nen. Des Weiteren wird die Durchführung des Audits (Sam-
und Nutzung personenbezogener Daten zu nicht ausschließ- meln und Zurverfügungstellen von Informationen, ggf. erfor-
lich eigenen Zwecken der Werbung, Markt- oder Meinungs- derliche Nachbesserungen am Gegenstand des Audits)
forschung steht im Einklang mit den Regelungen der Richt- Kosten bei den kontrollierten Stellen verursachen. Die Höhe
linie und wird insbesondere den aus Artikel 2 Buchstabe h, dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nicht
Artikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der näher beziffern, da die konkrete Ausgestaltung des Verfah-
Richtlinie abzuleitenden Zielen gerecht. rens einer noch zu erlassenden Rechtsverordnung vorbehal-
ten ist und die Richtlinien zur Verbesserung des Datenschut-
zes und der Datensicherheit als Maßstab der Prüfung von
IV. Finanzielle Auswirkungen auf die öffentlichen einem noch zu errichtenden Datenschutzauditausschuss zu
Haushalte beschließen sind. Kosten entstehen bei den Stellen, die sich
beim Bundesbeauftragten für den Datenschutz und die Infor-
Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- mationsfreiheit als Kontrollstellen zulassen und im Rahmen
zugsaufwand. des Kontrollsystems gegen angemessene Vergütung Kon-
In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- trollen durchführen und dabei von den zuständigen Behör-
ständigen Behörden der Länder Vollzugsaufwand. Sie haben den der Länder überwacht werden.
die zugelassenen Kontrollstellen, die das Kontrollverfahren
Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu
durchführen, zu überwachen und Verstöße dem Bundes-
erwarten.
beauftragten für den Datenschutz und die Informationsfrei-
heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus-
ihnen vorbehalten. Die Kosten für die einzelnen Amtshand- wirkungen auf Einzelpreise und das allgemeine Preisniveau,
lungen der zuständigen Behörden können vom Bund und den insbesondere auf das Verbraucherpreisniveau, sind nicht zu
Ländern durch Kostenordnungen auf die Antragsteller abge- erwarten.
wälzt werden.
Vollzugsaufwand entsteht durch die Bildung eines Daten- VI. Auswirkungen
schutzauditausschusses mit Vertretern aus Bund, Ländern
und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 1. Bürokratiebelastungen für die Wirtschaft
tragten für den Datenschutz und die Informationsfreiheit. Für die Wirtschaft werden 15 Informationspflichten neu ein-
Die Tätigkeit der Vertreter erfolgt ehrenamtlich. geführt und eine Informationspflicht geändert.
Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- Geändert wird die Informationspflicht in § 28 Absatz 3 des
ten für den Datenschutz und die Informationsfreiheit in Bundesdatenschutzgesetzes. Hier wird partiell die gesetz-
einem Teilbereich durch die Überwachung der Kontrollstel- liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28
len; ferner durch die Zulassung und die Entziehung der Zu- Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestellt
lassung gegenüber den Kontrollstellen und die Führung auf eine Einwilligung. Damit entfällt in diesen Fällen die
eines Registers der angezeigten Datenschutzkonzepte und Hinweispflicht bei der Verwendung der Daten zu Gunsten ei-
informationstechnischen Einrichtungen sowie der zugelasse- ner Einwilligung von ihrer Weitergabe. Durch diese Ände-
nen Kontrollstellen. rung entstehen Bürokratiekosten von 9,65 Mio. Euro. Der
Für den Vollzugsaufwand beim Bundesbeauftragten für den Betrag errechnet sich bei einer Fallzahl von 30 Millionen
Datenschutz und die Informationsfreiheit können in Abhän- Kundenbeziehungen, in denen der Vertragspartner diese
gigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Einwilligung anstrebt (insbesondere Verträge im Versand-
Stellen sowie jährlich Haushaltsmittel in Höhe von rd. handel – 13,5 Millionen, Telekommunikation – 13,5 Millio-
1,2 Mio. Euro für Personal- und Sachausgaben benötigt nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs-
werden. Über die Ausbringung und Finanzierung dieser zeit von einer Minute pro Fall und einem Stundensatz von
Personal- und Sachausgaben ist im Haushaltsaufstellungs- 19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl der
verfahren 2010 zu entscheiden. Fälle bei einer elektronischen Abwicklung deutlich geringer
sein. Die angenommene Minute beinhaltet daher auch Auf-
wand zur Schulung von Mitarbeitern und zur Umstellung
V. Kosten von Webseiten.
Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Durch die übrigen neu eingeführten Informationspflichten
Übergangsvorschrift künftig eine Einwilligung der Betroffe- entstehen insgesamt Bürokratiekosten von 493 761 Euro.
nen einzuholen ist, um deren personenbezogene Daten für
Zwecke der Werbung, Markt- oder Meinungsforschung zu Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda-
verarbeiten und zu nutzen. Ferner können Kosten für die tenschutzgesetzes werden nichtöffentliche Stellen verpflich-
Wirtschaft entstehen, soweit diese künftig verpflichtet sind, tet, Betroffene über die verantwortliche Stelle und das
19. Deutscher Bundestag – 16. Wahlperiode – 19 – Drucksache 16/12011
Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 Sofern ein Unternehmen sich entscheidet, als Kontrollstelle
Nummer 1 auch bei Begründung des rechtsgeschäftlichen Kontrollen durchzuführen, erfolgt dies gegen angemessene
oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- Vergütung. Die durch die Benennung der Vertreter für den
richten. § 42a des Bundesdatenschutzgesetzes verpflichtet Datenschutzauditausschuss und das Erzielen eines Einver-
nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- nehmens über deren Person verursachten Kosten fallen nicht
troffenen unverzüglich zu benachrichtigen, wenn bestimmte ins Gewicht und werden durch die Mitwirkung an der Er-
sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt arbeitung des Prüfmaßstabs des Datenschutzauditverfahrens
sind und schwerwiegende Beeinträchtigungen für die Rechte aufgewogen.
oder schutzwürdigen Interessen der Betroffenen drohen. So-
weit die Benachrichtigung der Betroffenen einen unverhält- 2. Bürokratiebelastungen für die Bürgerinnen und Bürger
nismäßigen Aufwand erfordern würde, insbesondere auf- Für die Bürgerinnen und Bürger wird keine Informations-
grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle pflicht neu eingeführt, geändert oder abgeschafft.
die Information an die Öffentlichkeit durch Anzeigen, die
mindestens eine halbe Zeitungsseite umfassen, in mindes- 3. Bürokratiebelastungen für die Verwaltung
tens zwei bundesweit erscheinenden Tageszeitungen. Für die Verwaltung werden zwölf Informationspflichten neu
eingeführt und keine Informationspflichten geändert oder
Das Datenschutzauditgesetz enthält für die Wirtschaft fol-
abgeschafft.
gende neue Informationspflichten:
Diese Informationspflichten sind im Einzelnen:
Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4
Absatz 1) und kann diese auf einzelne Länder beschränken § 7 Absatz 1 Satz 2 Auskunftserteilung der zuständigen
(§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann Datenschutzaudit- Behörden untereinander
ihr eine Ausnahme von der Einbeziehung von einem Daten- gesetz
schutzkonzept oder einer informationstechnischen Einrich- § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigen
tung in ihre Kontrollen gewährt werden (§ 6 Absatz 1 Nummer 1 Daten- Behörde zur Anregung der Ent-
Satz 2). Jährlich hat die Kontrollstelle den zuständigen schutzauditgesetz ziehung der Zulassung oder Ände-
Behörden ein Verzeichnis der nichtöffentlichen Stellen, die rung von Auflagen an den Bundes-
am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- beauftragten für den Datenschutz
den und bis zum 31. März jedes Jahres einen Bericht über und die Informationsfreiheit
ihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständige
Kontrollstellen erteilen einander die für eine ordnungsge- Nummer 2 Daten- Behörde des Landes
mäße Durchführung dieses Gesetzes notwendigen Aus- schutzauditgesetz
künfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigen
regelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- Datenschutzaudit- Behörde zur Anregung eines Verfah-
züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). gesetz rens der Entziehung der Zulassung
Soweit eine Kontrollstelle im Rahmen der von ihr durchge- oder Änderung von Auflagen an den
führten Kontrollen Tatsachen feststellt, die einen hinrei- Bundesbeauftragten für den Daten-
chenden Verdacht auf Verstöße der in Satz 2 genannten Art schutz und die Informationsfreiheit
begründen, der eine nicht von der Kontrollstelle kontrol- § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus-
lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle Datenschutzaudit- kunftspflichtigen
die Tatsachen unverzüglich der Kontrollstelle mit, deren gesetz
Kontrolle die betroffene nichtöffentliche Stelle untersteht § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für
(§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von Datenschutzaudit- Datenschutzkonzepte durch den
ihr kontrollierten nichtöffentlichen Stellen, die zuständigen gesetz Bundesbeauftragten für den Daten-
Behörden sowie den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit
schutz und die Informationsfreiheit, bevor sie ihre Tätigkeit
§ 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Internet
einstellt, oder im Falle eines Antrags auf Eröffnung des
Datenschutzaudit- und im elektronischen Bundes-
Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent-
gesetz anzeiger
lichen Stellen sowie die Kontrollstellen haben den zuständi-
gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses der
Absatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- Datenschutzaudit- zugelassenen Kontrollstellen
zuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- gesetz
wendung des Datenschutzauditsiegels ist das Datenschutz- § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internet
konzept oder die informationstechnische Einrichtung dem Datenschutzaudit- und im elektronischen Bundes-
Bundesbeauftragten für den Datenschutz und die Informa- gesetz anzeiger
tionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). § 11 Absatz 1 Veröffentlichungspflicht der maß-
Satz 3 Daten- geblichen Richtlinien im Internet und
Die Summe der zu erwartenden Belastungen für die Wirt- schutzauditgesetz im elektronischen Bundesanzeiger
schaft beträgt insgesamt 10,14 Mio. Euro. § 15 Absatz 2 Berichtspflicht an die Aufsichts-
Die für die Wirtschaft entstehenden Kosten sind hinnehm- Satz 3 Daten- behörde
bar, weil das Datenschutzaudit freiwillig ist und es die Un- schutzauditgesetz
ternehmen daher von einer Wirtschaftlichkeitsbetrachtung § 15 Absatz 3 Pflicht der Genehmigung durch die
abhängig machen können, ob sie sich einem Audit mit den Satz 1 Daten- Aufsichtsbehörde
damit ggf. einhergehenden Bürokratiekosten unterziehen. schutzauditgesetz