Datenschutzreform 2009: Die Änderungen im gewerblichen Adresshandel

Vorbemerkung:
Wir haben die Entstehungsgeschichte des Gesetzes ausführlich begleitet und kommentiert. Die bisherigen Dokumente, die durch die Verabschiedung des Gesetzes nunmehr überholt sind, finden Sie aber auch weiterhin online: Teil 1 und Teil 2.

Hinweis: Wir haben zur Datenschutzreform ein 14-minütiges Video (Law Vodcast) produziert, das Sie hier anschauen können.


Im Überblick:

1. Wegfall des Listenprivilegs / zukünftige Systematik des BDSG:
2. Verschärfungen der Anforderungen an datenschutzrechtliche Einwilligung
3. Koppelungsverbot nur in Ausnahmefällen
4. Kündigungsschutz für betrieblichen Datenschutzbeauftragten
5. Dokumentationspflichten bei Datenauftragsverwaltung
6. Datenschutz bei Arbeitsverhältnissen
7. Erweiterte Auskunftsrechte des Betroffenen
8. Kein Datenschutzaudit
9. Einführung neuer datenschutzrechtlicher Informationspflichten
10. Erhöhung des Bußgeldrahmens
11. Inkrafttreten / Übergangsvorschriften

Im Detail:

1. Wegfall des Listenprivilegs / zukünftige Systematik des BDSG:

Das zukünftige BDSG differenziert auch weiterhin zwischen der Datenspeicherung für eigene Geschäftszwecke (§§ 28 - 28 b BDSG) und Datenspeicherung zum Zwecke der geschäftlichen Übermittlung (Adresshandel) (§§ 29-30 BDSG).

a) Datenspeicherung für eigene Geschäftszwecke:

aa) Zur Erfüllung eigener vertraglicher Verpflichtungen (§ 28 Abs.1 BDSG):
Hier bleibt - bis auf eine rein sprachliche Korrektur - alles beim alten. Die Datenspeicherung ist also erlaubt zur Abwicklung eines Vertrages mit dem Kunden, zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder wenn die Daten allgemein zugänglich sind.

bb) Weitere Speicherungsmöglichkeiten (§ 28 Abs.2 BDSG):
Ein Teil der bisherigen Regelungen aus § 28 Abs.3 BDSG a.F. findet sich nun in § 28 Abs.2 BDSG wieder. Nach diesem Absatz ist der verantwortlichen Stelle eine Speicherung auch in nachfolgenden Fällen erlaubt:

- Wahrung der berechtigten Interessen eines Dritten
- zur Abwehr von Gefahren für die öffentliche Sicherheit und zur Verfolgung von Straftaten
- und bei wissenschaftlichen Forschungsvorhaben.

cc) Streichung Listenprivileg, Einführung eines Listendatenprivilegs (§ 28 Abs.3 BDSG):
Dreh- und Angelpunkt der Datenschutzreform ist der neue § 28 Abs.3 BDSG. Danach ist zukünftig in nachfolgenden Fällen eine Datenspeicherung erlaubt.

1. Möglichkeit: Listendatenprivileg
Das bisherige Listenprivileg des § 28 Abs.3 S.1 Nr.3 BDSG a.F. wird gestrichen. Dafür wird in § 28 Abs.3 S.2 BDSG ein Listendatenprivileg eingeführt. Danach ist die Speicherung von folgenden Merkmalen erlaubt:

- Personengruppen-Zugehörigkeit
- Berufs-, Branchen- oder Geschäftsbezeichnung
- Name
- Titel und akademischer Grad
- Anschrift
- Geburtsjahr

Weitere Daten (z.B. E-Mail oder Geburtsdatum) sind somit nicht privilegiert.

Dieses Listendatenprivileg findet nur Anwendung,
(1) wenn die verantwortliche Stelle die Daten beim Betroffenen direkt oder aus allgemein zugänglichen Adress-, Rufnummer- oder Branchen-Verzeichnissen oder vergleichbaren Verzeichnissen erhebt oder
(2) im B2B-Bereich zu Werbezwecke für die berufliche Tätigkeit des Betroffenen oder
(3) zu Werbezwecken bei Spendensammlungen.

Hinweis für die Praxis:
Achtung: Das Listendatenprivileg spricht nicht von "allgemein zugänglichen Daten", sondern verlangt, dass die Daten aus "allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen" stammen. Der privilegierende Anwendungsbereich der Norm wird dadurch extrem eingeschränkt.

Die Definition wurde zwar bereits im alten Recht in §§ 29 und 43 BDSG a.F. verwendet, so dass sie nicht gänzlich neu ist. Gleichwohl ist hier vieles noch rechtlich ungeklärt. Vor allem die Frage, was "vergleichbare Verzeichnisse" sind, dürfte zukünftig Gegenstand zahlreicher Gerichtsentscheidungen werden.


Liegt nun ein Fall des o.g. Listendatenprivilegs vor, so darf im Falle von (1) die verantwortliche Stelle darüber hinaus weitere Daten hinzuspeichern. Sollen die Daten übermittelt werden, muss eindeutig hervorgehen, wer die Daten erstmalig erhoben hat.


2. Möglichkeit: Fremdwerbung
Die Nutzung der Daten für Fremdwerbung ist zukünftig dann erlaubt, wenn für den Betroffenen die verantwortliche Stelle "eindeutig erkennbar" ist.

Unter Fremdwerbung fallen zukünftig nicht nur die Fälle der sogenannten "Beipackwerbung", sondern auch die Fälle der "Empfehlungswerbung", d.h. wenn ein Unternehmen seine Kundendaten im Interesse eines anderen Unternehmens nutzt, indem es seinen Kunden im Werbeanschreiben ein Angebot des anderen Unternehmens empfiehlt.

Hinweis für die Praxis:
An dieser Stelle bringt das Reformvorhaben eine Vereinheitlichung und Vereinfachung gegenüber der bisherigen Regelung.

Kernpunkt der neuen Bestimmung ist die Frage, wann etwas "eindeutig erkennbar" ist. Auch dieser Punkt dürfte Gegenstand zahlreicher Auseinandersetzungen in der Zukunft werden.

In der Gesetzesbegründung heißt es dazu:
"Eine Erkennbarkeit ist nicht gegeben, wenn der Betroffene anhand eines Kennzeichens oder einer Nummer lediglich die Möglichkeit erhält, durch weiteres Tätigwerden die Stelle zu identifizieren. Einer eindeutigen Erkennbarkeit bei der Ansprache genügt nur eine Bezeichnung im Klartext."


Im Falle der Fremdwerbung hat die verantwortliche Stelle die Herkunft der Daten für die Dauer von 2 Jahren nach Übermittlung zu speichern und dem Betroffenen auf Anfrage mitzuteilen (§ 34 Abs.1a BDSG).

dd) Sondervorschriften für Auskunfteien und Scoring-Fälle:
Der Gesetzgeber hat für die Fälle der Auskunfteien (§ 28 b BDSG) und des Scoring (§ 28 b BDSG) nunmehr eigenständige Regelungen eingeführt.

b) Datenspeicherung zum Zwecke der geschäftlichen Übermittlung (Adresshandel):

aa) Der Regelfall des Adresshandels (§ 29 BDSG):
Da das Listenprivileg in § 28 Abs.3 S.1 Nr.3 BDSG a.F. gestrichen wurde, wurde der entsprechende Verweis in § 29 BDSG a.F. ebenfalls entfernt. Neu eingefügt wurden Querverweise zu den Vorschriften der Auskunfteien und des Scoring. § 29 BDSG verweist nun umfassend auf den neuen § 28 Abs.3 BDSG.

Neu ist, dass den Adresshändler nunmehr die Pflicht trifft, im Falle des automatisierten Abrufverfahrens gewisse Stichproben vorzunehmen, um das berechtigte Interesse des Dritten festzustellen und zu überprüfen.

bb) Sonderregelung für Markt- und Meinungsforschung (§ 30 a BDSG):
Für Unternehmen aus dem Markt- und Meinungsforschungsbereich gilt zukünftig nicht die regide Regelung des § 29 BDSG, sondern es existiert hier ab sofort eine eigenständige Norm, nämlich § 30 a BDSG.

Die Regelung bringt übrigens nicht nur Vorteile. Zukünftig müssen Markt- und Meinungsforschungs-Einrichtungen in jedem Fall, also unabhängig von ihrer Betriebsgröße, einen betrieblichen Datenschutzbeauftragten bestellen (§ 4 f Abs.1 S.4 BDSG). Der Gesetzgeber will damit die Einhaltung der privilegierenden Vorschriften gewährleisten.

2. Verschärfungen der Anforderungen an datenschutzrechtliche Einwilligung

Die grundsätzliche Regelung des § 4 a BDSG für datenschutzrechtliche Einwilligungen bleibt bestehen.

Es wird nunmehr gesetzlich festgeschrieben, dass eine Einwilligung nicht zwingend schriftlich erfolgen muss, sondern auch die mündliche oder elektronische Form ausreichend ist. Im Falle der Mündlichkeit muss die verantwortliche Stelle den Inhalt der Einwilligung schriftlich bestätigen. Im Falle der elektronischen Form reicht es hingegen, wenn die Erklärung protokolliert wird und der Betroffene jederzeit hierauf Zugriff hat. Der Wortlaut entspricht § 13 TMG.

Aus dem Gesetzeswortlaut ergibt sich nunmehr eindeutig, dass die Einwilligung zusammen mit anderen Erklärungen abgegeben werden kann, es bedarf also keiner gesonderten, getrennten Zustimmungshandlung. Der Einwilligungstext muss jedoch "in drucktechnisch deutlicher Gestaltung besonders hervorgehoben" sein.

Hinweis für die Praxis:
Achtung: Es geht hier rein um die datenschutzrechtliche Einwilligungserklärung. Gänzlich hiervon unberührt bleibt die wettbewerbsrechtliche Einwilligung, d.h. wenn der Kunde Werbung per Telefon, SMS, Fax oder E-Mail zustimmt.

In einem solchen Fall bedarf es einer getrennten, gesonderten Einwilligungserklärung, wie der BGH erst vor kurzem im "Payback"-Urteil (Urt. v. 16.07.2008 - Az.: VIII ZR 348/06) entschieden hat.

3. Koppelungsverbot nur in Ausnahmefällen

Das ursprünglich vorgesehene Koppelungsverbot bei marktbeherrschenden Unternehmen wurde nicht übernommen. Das neue Gesetz statuiert somit kein generelles Koppelungsverbot, sondern begrenzt es auf die Fälle, in denen der Anbieter über ein Monopol oder Oligopol verfügt.

Hinweis für die Praxis:
Bislang war umstritten, ob ein solches Koppelungsverbot existiert. Durch die Einführung der Vorschrift hat sich dieser langjährige Streit nunmehr erledigt. Die Neuregelung orientiert sich an den bereits existierenden bereichsspezifischen Koppelungsverboten in § 95 Abs. 5 TKG und § 12 Abs.3 TMG.

Aufgrund dieser Begrenzung des Verbots ergibt sich in der Praxis kaum eine Veränderung.

4. Kündigungsschutz für betrieblichen Datenschutzbeauftragten

Neu eingeführt wurde auch, dass der betriebliche Datenschutzbeauftragte während seiner Tätigkeit und auch noch ein Jahr nach Abberufung als Datenschutzbeauftragter nicht ordentlich gekündigt werden kann. Die außerordentliche Kündigung bleibt hiervon unberührt. Der betriebliche Datenschutzbeauftragte soll damit arbeitsrechtlich noch besser vor etwaigen Einflussnahmen durch den Arbeitgeber geschützt werden.

Hinweis für die Praxis:
Aufgrund des einjährigen Kündigungsschutzes auch noch nach Abberufung wird der betriebliche Datenschutzbeauftragte für den Arbeitgeber betriebswirtschaftlich zunehmend uninteressanter. Der externe Datenschutzbeauftragte dürfte hierdurch wesentlich an Attraktivität gewinnen, da für diesen nicht der arbeitsrechtliche Kündigungsschutz greift.

5. Dokumentationspflichten bei Datenauftragsverwaltung:

Zukünftig trifft den Auftraggeber im Rahmen der Datenauftragsverwaltung nach § 11 BDSG eine umfassende Dokumentations- und Prüfungspflicht.

Der Auftrag ist schriftlich zu erteilen und muss folgenden Mindestinhalt haben:

- Gegenstand und Dauer des Auftrags,
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.


Der Auftraggeber muss vor Beginn der Datenverarbeitung und dann regelmäßig die Einhaltung der Datenschutzvorschriften beim Auftragnehmer prüfen. Das Ergebnis ist jeweils schriftlich zu dokumentieren.

Hinweis für die Praxis:
Der Gesetzgeber hat ausdrücklich darauf verzichtet hinsichtlich der Prüfpflicht eine starre Frist festzusetzen. Vielmehr sollen die Umstände des Einzelfalls maßgeblich sein.

Welche zeitlichen Werte sich hier durchsetzen werden, darf mit Spannung erwartet werden.

6. Datenschutz bei Arbeitsverhältnissen

In § 32 BDSG findet sich erstmalig eine ausdrückliche Regelung zum Datenschutz bei Arbeitsverhältnissen.

Die Norm statuiert vor allem, dass der Arbeitgeber zukünftig Daten zur Aufdeckung von Straftaten nur noch dann verwenden darf, wenn tatsächliche Anhaltspunkte den Verdacht eines strafbaren Handelns begründen.

Hinweis für die Praxis:
Der Gesetzgeber wollte damit den vielen "Arbeitgeber-Datenskandalen" der letzten Zeit einen Riegel vorschieben.

Ob die Norm jedoch nicht weit über das Ziel hinausschießt und nahezu Unmögliches (Stichwort: "tatsächliche Anhaltspunkte") verlangt, bleibt abzuwarten. In jedem Fall problematisch werden die Fälle, in denen eine bloße Vermutung vorliegt, jedoch noch keine realen Ereignisse gegeben sind.

7. Erweiterte Auskunftsrechte des Betroffenen

§ 34 BDSG gewährt dem Betroffenen erweiterte Auskunftsrechte und verpflichtet die verantwortliche Stelle zu einer umfassenden Auskunft.

Die Auskunft hat grundsätzlich in Textform und unentgeltlich zu erfolgen.

8. Kein Datenschutzaudit

Von der Einführung des ursprünglich vorgesehenen Datenschutzauditgesetzes hat der Gesetzgeber abgesehen.

Hinweis für die Praxis:
Die Streichung des Datenschutzauditgesetzes dürfte nicht zuletzt auf die massive Kritik durch den Bundesrat zurückzuführen sein. Wörtlich hieß es in seiner Stellungnahme: "Der Gesetzesentwurf bringt eine überbordende, überflüssige Bürokratie mit sich. [Das Gesetz] führt zu einem unverhältnismäßig hohen Verwaltungsaufwand (...)."

9. Einführung neuer datenschutzrechtlicher Informationspflichten

In § 42 a BDSG wird nunmehr die Pflicht des Unternehmers statuiert, die behördlichen Stellen zu informieren, wenn er feststellt, dass Teile der bei ihm gespeicherten personenbezogenen Daten unrechtmäßig an Dritte weitergegeben wurden. Die Norm sieht zwar grundsätzlich eine unverzügliche Vorlagepflicht vor, beinhaltet jedoch zahlreiche Ausnahmen.

Zum Beispiel kann der Unternehmer die Benachrichtigung dann hinausschieben, wenn zunächst angemessene Maßnahmen zur Sicherung der Daten ergriffen werden müssen und die Strafverfolgung nicht mehr gefährdet ist. Ist eine Benachrichtigung aufgrund der Vielzahl der Fälle nicht mehr möglich, so muss der Unternehmer die allgemeine Öffentlichkeit informieren.

Die hier ursprünglich vorgesehene Verpflichtung zur Schaltung von Anzeigen in Tageszeitungen hat das Gesetz nunmehr aufgeweicht, indem es auch "gleich geeignete Maßnahmen" zulässt.

Hinweis für die Praxis:
Die Regelung scheint auf den ersten Blick erhebliche Nachteile für den Unternehmer festzulegen. Bei näherer Betrachtung fällt jedoch auf, dass die Vorschrift zahlreiche Auslegungs- und Ermessensspielräume beinhaltet, die gewährleisten, dass der Unternehmer in der Praxis nicht unverhältnismäßig eingeschränkt wird. Dabei ist besonders hervorzuheben, dass ein Verstoß gegen die Informationspflicht grundsätzlich keine rechtlichen Sanktionen nach sich zieht.

10. Erhöhung des Bußgeldrahmens

Der Gesetzesentwurf sieht für den Bereich des Bußgeldes eine Erhöhung des Bußgeldrahmens vor. Und zwar von bisher 25.000 € auf 50.000 € bzw. von bisher 250.000 € auf 300.000 €. Nicht neu ist hingegen die Regelung, dass diese Bußgelder überschritten werden können, wenn sie nicht ausreichen, den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, abzugreifen.

Hinweis für die Praxis:
Das Überschreiten des Bußgeldrahmens bei Abschöpfung des wirtschaftlichen Vorteils ist keine Besonderheit des Datenschutzrechts, sondern findet sich vielmehr auch in anderen Bereichen des Verwaltungsrechts wieder, so z.B. im Telekommunikations- oder im Kartellrecht.

Die Regelung ist nicht neu, da bereits heute § 17 Abs.4 OWiG diese Befugnis vorsieht. In der Praxis spielte diese Norm im Datenschutzrecht bislang keine Rolle. Es ist daher davon auszugehen, dass sich dies auch zukünftig nicht ändern wird.


Neu ist hingegen, dass auch die Nutzung rechtswidrig erhobener personenbezogener Daten eine Ordnungswidrigkeit darstellt. Bislang war in diesen Fällen nur die Erhebung oder Verarbeitung sanktioniert.

Hinweis für die Praxis:
Neben dem Wegfall des Listenprivilegs dürfte dies für den Bereich des Adresshandels die wichtigste Änderung sein. Bislang konnte der Adresshändler im Zweifelsfall die Verantwortung stets auf die Drittfirma verlagern, die die Adressdaten erhoben hatte.

Aber: Die Verhängung einer Geldbuße setzt auch zukünftig voraus, dass die Behörde dem Unternehmen nachweisen kann, dass es bei der Nutzung der Daten von der Rechtswidrigkeit Kenntnis hatte. Diese Kenntnis wird in der Praxis nur sehr schwer zu beweisen sein.

11. Inkrafttreten / Übergangsvorschriften

Das Gesetz tritt zum 1.9.2009 in Kraft.

Für die Nutzung von Altbeständen von Adressdaten, die nicht den neuen Regeln entsprechen, sieht das Gesetz eine differenzierte Übergangszeit vor:

- für Zwecke der Werbung:
  bis zum 31.08.2012, also eine dreijährige Übergangsvorschrift

- für Zwecke der Markt- oder Meinungsforschung:
  bis zum 31.08.2010, also eine einjährige Übergangsvorschrift.

Hinweis für die Praxis:
Der Wortlaut der Übergangsregelung in § 47 BDSG spricht grundsätzlich nur von § 28 BDSG a.F. D.h. für neu eingeführte, hiervon losgelöste Pflichten, so z.B. die neuen Dokumentationspflichten bei der Datenauftragsverwaltung, existiert keine Übergangszeit, sondern die Bestimmungen gelten ab dem 01.09.2009.

Unklar ist hingegen, was für die Alt-Regelungen gilt, die zwar nicht direkt in § 28 BDSG a.F. standen, aber auf diese Norm verwiesen haben.