- Ein einziges Opt-In für mehrere Werbekanäle ausreichend
- (Video): Rechtliche Zulässigkeit von Kontrolladressen in Adresshandelsverträgen
- (Video): Wann sind Blacklists erlaubt?
- Politik-Hysterie aufgrund Adresshandel-"Skandals"
- Das Reformgesetz zu den 0180-Gebühren
- Änderungen im Direktmarketing:
- Das Reformgesetz zum datenschutzrechtlichen Scoring - Teil 1
- Das Reformgesetz zum datenschutzrechtlichen Scoring - Teil 2
- Datenschutzreform 2009: Die Änderungen im gewerblichen Adresshandel
- (Video): Sorgfaltspflichten beim Kauf von Adressdaten
- (Video): Wann gilt das Bundesdatenschutzgesetz im Adresshandel überhaupt?
- (Podcast): Wann gilt das Bundesdatenschutzgesetz überhaupt? - Teil 1
- (Podcast): Wann gilt das Bundesdatenschutzgesetz überhaupt? - Teil 2
- Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten
- Gewinnspiele und Datenschutz - Teil 1: Verwendung der Daten zu Vertragszwecken
- Gewinnspiele und Datenschutz - Teil 2: Die datenschutzrechtliche Einwilligung
- Gewinnspiele und Datenschutz - Teil 3: Kopplung von Gewinnspiel und Newsletter
Datenschutzreform 2009: Die Änderungen im gewerblichen Adresshandel
Vorbemerkung:
Wir haben die Entstehungsgeschichte des Gesetzes ausführlich begleitet und kommentiert. Die bisherigen Dokumente, die durch die Verabschiedung des Gesetzes nunmehr überholt sind, finden Sie aber auch weiterhin online: Teil 1 und Teil 2.
Hinweis: Wir haben zur Datenschutzreform ein 14-minütiges Video (Law Vodcast) produziert, das Sie hier anschauen können.
Im Überblick:
1. Wegfall des Listenprivilegs / zukünftige Systematik des BDSG:
2. Verschärfungen der Anforderungen an datenschutzrechtliche Einwilligung
3. Koppelungsverbot nur in Ausnahmefällen
4. Kündigungsschutz für betrieblichen Datenschutzbeauftragten
5. Dokumentationspflichten bei Datenauftragsverwaltung
6. Datenschutz bei Arbeitsverhältnissen
7. Erweiterte Auskunftsrechte des Betroffenen
8. Kein Datenschutzaudit
9. Einführung neuer datenschutzrechtlicher Informationspflichten
10. Erhöhung des Bußgeldrahmens
11. Inkrafttreten / Übergangsvorschriften
Im Detail:
1. Wegfall des Listenprivilegs / zukünftige Systematik des BDSG:
1. Wegfall des Listenprivilegs / zukünftige Systematik des BDSG:
Das zukünftige BDSG differenziert auch weiterhin zwischen der Datenspeicherung für eigene Geschäftszwecke (§§ 28 - 28 b BDSG) und Datenspeicherung zum Zwecke der geschäftlichen Übermittlung (Adresshandel) (§§ 29-30 BDSG).
a) Datenspeicherung für eigene Geschäftszwecke:
aa) Zur Erfüllung eigener vertraglicher Verpflichtungen (§ 28 Abs.1 BDSG):
Hier bleibt - bis auf eine rein sprachliche Korrektur - alles beim alten. Die Datenspeicherung ist also erlaubt zur Abwicklung eines Vertrages mit dem Kunden, zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder wenn die Daten allgemein zugänglich sind.
bb) Weitere Speicherungsmöglichkeiten (§ 28 Abs.2 BDSG):
Ein Teil der bisherigen Regelungen aus § 28 Abs.3 BDSG a.F. findet sich nun in § 28 Abs.2 BDSG wieder. Nach diesem Absatz ist der verantwortlichen Stelle eine Speicherung auch in nachfolgenden Fällen erlaubt:
- Wahrung der berechtigten Interessen eines Dritten
- zur Abwehr von Gefahren für die öffentliche Sicherheit und zur Verfolgung von Straftaten
- und bei wissenschaftlichen Forschungsvorhaben.
cc) Streichung Listenprivileg, Einführung eines Listendatenprivilegs (§ 28 Abs.3 BDSG):
Dreh- und Angelpunkt der Datenschutzreform ist der neue § 28 Abs.3 BDSG. Danach ist zukünftig in nachfolgenden Fällen eine Datenspeicherung erlaubt.
1. Möglichkeit: Listendatenprivileg
Das bisherige Listenprivileg des § 28 Abs.3 S.1 Nr.3 BDSG a.F. wird gestrichen. Dafür wird in § 28 Abs.3 S.2 BDSG ein Listendatenprivileg eingeführt. Danach ist die Speicherung von folgenden Merkmalen erlaubt:
- Personengruppen-Zugehörigkeit
- Berufs-, Branchen- oder Geschäftsbezeichnung
- Name
- Titel und akademischer Grad
- Anschrift
- Geburtsjahr
Weitere Daten (z.B. E-Mail oder Geburtsdatum) sind somit nicht privilegiert.
Dieses Listendatenprivileg findet nur Anwendung,
(1) wenn die verantwortliche Stelle die Daten beim Betroffenen direkt oder aus allgemein zugänglichen Adress-, Rufnummer- oder Branchen-Verzeichnissen oder vergleichbaren Verzeichnissen erhebt oder
(2) im B2B-Bereich zu Werbezwecke für die berufliche Tätigkeit des Betroffenen oder
(3) zu Werbezwecken bei Spendensammlungen.
Hinweis für die Praxis: |
Liegt nun ein Fall des o.g. Listendatenprivilegs vor, so darf im Falle von (1) die verantwortliche Stelle darüber hinaus weitere Daten hinzuspeichern. Sollen die Daten übermittelt werden, muss eindeutig hervorgehen, wer die Daten erstmalig erhoben hat.
2. Möglichkeit: Fremdwerbung
Die Nutzung der Daten für Fremdwerbung ist zukünftig dann erlaubt, wenn für den Betroffenen die verantwortliche Stelle "eindeutig erkennbar" ist.
Unter Fremdwerbung fallen zukünftig nicht nur die Fälle der sogenannten "Beipackwerbung", sondern auch die Fälle der "Empfehlungswerbung", d.h. wenn ein Unternehmen seine Kundendaten im Interesse eines anderen Unternehmens nutzt, indem es seinen Kunden im Werbeanschreiben ein Angebot des anderen Unternehmens empfiehlt.
Hinweis für die Praxis: |
Im Falle der Fremdwerbung hat die verantwortliche Stelle die Herkunft der Daten für die Dauer von 2 Jahren nach Übermittlung zu speichern und dem Betroffenen auf Anfrage mitzuteilen (§ 34 Abs.1a BDSG).
dd) Sondervorschriften für Auskunfteien und Scoring-Fälle:
Der Gesetzgeber hat für die Fälle der Auskunfteien (§ 28 b BDSG) und des Scoring (§ 28 b BDSG) nunmehr eigenständige Regelungen eingeführt.
b) Datenspeicherung zum Zwecke der geschäftlichen Übermittlung (Adresshandel):
aa) Der Regelfall des Adresshandels (§ 29 BDSG):
Da das Listenprivileg in § 28 Abs.3 S.1 Nr.3 BDSG a.F. gestrichen wurde, wurde der entsprechende Verweis in § 29 BDSG a.F. ebenfalls entfernt. Neu eingefügt wurden Querverweise zu den Vorschriften der Auskunfteien und des Scoring. § 29 BDSG verweist nun umfassend auf den neuen § 28 Abs.3 BDSG.
Neu ist, dass den Adresshändler nunmehr die Pflicht trifft, im Falle des automatisierten Abrufverfahrens gewisse Stichproben vorzunehmen, um das berechtigte Interesse des Dritten festzustellen und zu überprüfen.
bb) Sonderregelung für Markt- und Meinungsforschung (§ 30 a BDSG):
Für Unternehmen aus dem Markt- und Meinungsforschungsbereich gilt zukünftig nicht die regide Regelung des § 29 BDSG, sondern es existiert hier ab sofort eine eigenständige Norm, nämlich § 30 a BDSG.
Die Regelung bringt übrigens nicht nur Vorteile. Zukünftig müssen Markt- und Meinungsforschungs-Einrichtungen in jedem Fall, also unabhängig von ihrer Betriebsgröße, einen betrieblichen Datenschutzbeauftragten bestellen (§ 4 f Abs.1 S.4 BDSG). Der Gesetzgeber will damit die Einhaltung der privilegierenden Vorschriften gewährleisten.
2. Verschärfungen der Anforderungen an datenschutzrechtliche Einwilligung
Die grundsätzliche Regelung des § 4 a BDSG für datenschutzrechtliche Einwilligungen bleibt bestehen.
Es wird nunmehr gesetzlich festgeschrieben, dass eine Einwilligung nicht zwingend schriftlich erfolgen muss, sondern auch die mündliche oder elektronische Form ausreichend ist. Im Falle der Mündlichkeit muss die verantwortliche Stelle den Inhalt der Einwilligung schriftlich bestätigen. Im Falle der elektronischen Form reicht es hingegen, wenn die Erklärung protokolliert wird und der Betroffene jederzeit hierauf Zugriff hat. Der Wortlaut entspricht § 13 TMG.
Aus dem Gesetzeswortlaut ergibt sich nunmehr eindeutig, dass die Einwilligung zusammen mit anderen Erklärungen abgegeben werden kann, es bedarf also keiner gesonderten, getrennten Zustimmungshandlung. Der Einwilligungstext muss jedoch "in drucktechnisch deutlicher Gestaltung besonders hervorgehoben" sein.
Hinweis für die Praxis: |
3. Koppelungsverbot nur in Ausnahmefällen
Das ursprünglich vorgesehene Koppelungsverbot bei marktbeherrschenden Unternehmen wurde nicht übernommen. Das neue Gesetz statuiert somit kein generelles Koppelungsverbot, sondern begrenzt es auf die Fälle, in denen der Anbieter über ein Monopol oder Oligopol verfügt.
Hinweis für die Praxis: |
4. Kündigungsschutz für betrieblichen Datenschutzbeauftragten
Neu eingeführt wurde auch, dass der betriebliche Datenschutzbeauftragte während seiner Tätigkeit und auch noch ein Jahr nach Abberufung als Datenschutzbeauftragter nicht ordentlich gekündigt werden kann. Die außerordentliche Kündigung bleibt hiervon unberührt. Der betriebliche Datenschutzbeauftragte soll damit arbeitsrechtlich noch besser vor etwaigen Einflussnahmen durch den Arbeitgeber geschützt werden.
Hinweis für die Praxis: |
5. Dokumentationspflichten bei Datenauftragsverwaltung:
Zukünftig trifft den Auftraggeber im Rahmen der Datenauftragsverwaltung nach § 11 BDSG eine umfassende Dokumentations- und Prüfungspflicht.
Der Auftrag ist schriftlich zu erteilen und muss folgenden Mindestinhalt haben:
- Gegenstand und Dauer des Auftrags,
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Der Auftraggeber muss vor Beginn der Datenverarbeitung und dann regelmäßig die Einhaltung der Datenschutzvorschriften beim Auftragnehmer prüfen. Das Ergebnis ist jeweils schriftlich zu dokumentieren.
Hinweis für die Praxis: |
6. Datenschutz bei Arbeitsverhältnissen
6. Datenschutz bei Arbeitsverhältnissen
In § 32 BDSG findet sich erstmalig eine ausdrückliche Regelung zum Datenschutz bei Arbeitsverhältnissen.
Die Norm statuiert vor allem, dass der Arbeitgeber zukünftig Daten zur Aufdeckung von Straftaten nur noch dann verwenden darf, wenn tatsächliche Anhaltspunkte den Verdacht eines strafbaren Handelns begründen.
Hinweis für die Praxis: |
7. Erweiterte Auskunftsrechte des Betroffenen
§ 34 BDSG gewährt dem Betroffenen erweiterte Auskunftsrechte und verpflichtet die verantwortliche Stelle zu einer umfassenden Auskunft.
Die Auskunft hat grundsätzlich in Textform und unentgeltlich zu erfolgen.
8. Kein Datenschutzaudit
Von der Einführung des ursprünglich vorgesehenen Datenschutzauditgesetzes hat der Gesetzgeber abgesehen.
Hinweis für die Praxis:
Die Streichung des Datenschutzauditgesetzes dürfte nicht zuletzt auf die massive Kritik durch den Bundesrat zurückzuführen sein. Wörtlich hieß es in seiner Stellungnahme: "Der Gesetzesentwurf bringt eine überbordende, überflüssige Bürokratie mit sich. [Das Gesetz] führt zu einem unverhältnismäßig hohen Verwaltungsaufwand (...)."
In § 42 a BDSG wird nunmehr die Pflicht des Unternehmers statuiert, die behördlichen Stellen zu informieren, wenn er feststellt, dass Teile der bei ihm gespeicherten personenbezogenen Daten unrechtmäßig an Dritte weitergegeben wurden. Die Norm sieht zwar grundsätzlich eine unverzügliche Vorlagepflicht vor, beinhaltet jedoch zahlreiche Ausnahmen.
Zum Beispiel kann der Unternehmer die Benachrichtigung dann hinausschieben, wenn zunächst angemessene Maßnahmen zur Sicherung der Daten ergriffen werden müssen und die Strafverfolgung nicht mehr gefährdet ist. Ist eine Benachrichtigung aufgrund der Vielzahl der Fälle nicht mehr möglich, so muss der Unternehmer die allgemeine Öffentlichkeit informieren.
Die hier ursprünglich vorgesehene Verpflichtung zur Schaltung von Anzeigen in Tageszeitungen hat das Gesetz nunmehr aufgeweicht, indem es auch "gleich geeignete Maßnahmen" zulässt.
Hinweis für die Praxis: |
10. Erhöhung des Bußgeldrahmens
10. Erhöhung des Bußgeldrahmens
Der Gesetzesentwurf sieht für den Bereich des Bußgeldes eine Erhöhung des Bußgeldrahmens vor. Und zwar von bisher 25.000 € auf 50.000 € bzw. von bisher 250.000 € auf 300.000 €. Nicht neu ist hingegen die Regelung, dass diese Bußgelder überschritten werden können, wenn sie nicht ausreichen, den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, abzugreifen.
Hinweis für die Praxis: |
Neu ist hingegen, dass auch die Nutzung rechtswidrig erhobener personenbezogener Daten eine Ordnungswidrigkeit darstellt. Bislang war in diesen Fällen nur die Erhebung oder Verarbeitung sanktioniert.
Hinweis für die Praxis: |
11. Inkrafttreten / Übergangsvorschriften
11. Inkrafttreten / Übergangsvorschriften
Das Gesetz tritt zum 1.9.2009 in Kraft.
Für die Nutzung von Altbeständen von Adressdaten, die nicht den neuen Regeln entsprechen, sieht das Gesetz eine differenzierte Übergangszeit vor:
- für Zwecke der Werbung:
bis zum 31.08.2012, also eine dreijährige Übergangsvorschrift
- für Zwecke der Markt- oder Meinungsforschung:
bis zum 31.08.2010, also eine einjährige Übergangsvorschrift.
Hinweis für die Praxis: |