BDSG-Novelle II wurde verabschiedet

von Dipl.-Ök. Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH

Nach langem Ringen der Koalitionsparteien wurde am 10. Juli 2009 im Bundesrat die BDSG-Novelle II verabschiedet. Diese Novelle, die am 1. September 2009 in Kraft tritt, hat erhebliche Auswirkungen auf Steuerberatungskanzleien. Die wichtigsten Normen aus der Fülle der Gesetzesänderungen sind in diesem Beitrag beschrieben.

Stärkung der Stellung des internen Datenschutzbeauftragten (§ 4f Abs. 3 BDSG 2009)

Der interne Kanzlei-Datenschutzbeauftragte ist einerseits Berater der Kanzleileitung und andererseits Mitarbeiter. Die Tätigkeiten als Datenschutzbeauftragter bergen zwangsläufig ein Konfliktpotential gegenüber der Kanzleileitung und Kollegen. Bisher ist der interne Datenschutzbeauftragte durch ein Benachteiligungsverbot und eine erschwerte Abberufung geschützt. Mit Einführung des § 4f Abs. 3 Satz 5 BDSG gleicht der Gesetzgeber den Kündigungsschutz an vergleichbare Funktionsträger, zum Beispiel Betriebsratsmitgliedern, an (§ 15 Abs. 1 Satz 1, 2 KSchG). Eine Kündigung des Arbeitsverhältnisses ist ohne Einhaltung der Kündigungsfristen dann nur noch aus wichtigem Grund möglich. Dieser Kündigungsschutz wird auf ein Jahr nach der Abberufung des internen Datenschutzbeauftragten erweitert (§ 4f Abs. 3 Satz 6 BDSG).

Zur Wahrnehmung seiner Pflichten muss sich der interne Datenschutzbeauftragte permanent fortbilden. Die verantwortliche Stelle (hier: Kanzleileitung) hat die Teilnahme an Fortbildungen zu ermöglichen und die entstehenden Kosten zu übernehmen (§ 4f Abs. 3 Satz 7 BDSG). Umfang und Inhalt der Fortbildungen sind abhängig vom Umfang der Datenverarbeitung, dem Schutzbedarf der personenbezogenen Daten und der Fortentwicklung von Recht und Technik (zur Ausbildung und Ausstattung des Datenschutzbeauftragten s. StC 9/2008, S. 56 f.).

Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG 2009)

Häufig wird die Verarbeitung von personenbezogenen Daten nicht durch die Kanzlei sondern durch Dritte ausgeführt. Typische Fälle sind die Datenträgervernichtung oder auch Wartungsverträge mit Systemhäusern (zur Auftragsdatenverarbeitung siehe StC 4/2008, 50). Der Auftraggeber hatte den Auftragnehmer bisher nach seiner Eignung in Bezug auf die erforderlichen technischen und organisatorischen Maßnahmen auszuwählen (zu technischen und organisatorischen Maßnahmen s. StC 6/2008, 60 f.). Der Gesetzgeber stellt in der neuen Fassung des § 11 BDSG klar, das vom Auftraggeber vor der Erteilung eines Auftrages zur Auftragsdatenverarbeitung die Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen zu überprüfen sind. Bei längerfristigen Verträgen zur Auftragsdatenverarbeitung sind diese Prüfungen in regelmäßigen Intervallen zu wiederholen. Als Nachweis gegenüber den Aufsichtsbehörden sind die Prüfungen zu dokumentieren. Aufgrund der Bandbreite an Auftragsdatenverarbeitungen gibt der Gesetzgeber in der Begründung keinen Hinweis auf den Umfang der Dokumentation und das Prüfungsintervall. Die Prüfung durch den Auftraggeber muss nicht zwingend vor Ort durchgeführt werden. Ein Testat eines Sachverständigen oder eine schriftliche Auskunft des Auftragnehmers kann ausreichend sein.

Die Anforderungen an einen Vertrag zur Auftragsdatenverarbeitungen wurden in einem 10-Punkte-Katalog konkretisiert. Diese 10 Punkte entsprechen den aktuellen Empfehlungen der Aufsichtsbehörden, bzw. auch der Fachliteratur. Ein Verstoß gegen die Regelungen des § 11 Abs. 2 Satz 2 BDSG n.F. ist nun bußgeldbewehrt (§ 43 Abs. 1 Nr. 2b BDSG).

Arbeitnehmerdatenschutz (§ 32 BDSG 2009)

Die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten wurde bisher durch den Arbeitgeber über die allgemeinen Zulässigkeitsnormen des BDSG beurteilt. Mit Einführung des § 32 BDSG wurde eine Spezialnorm geschaffen, die die Mitarbeiterdatenverarbeitung auch außerhalb automatisierter Datenverarbeitungen regelt (§ 32 Abs. 2 BDSG). Weiterhin dürfen Mitarbeiterdaten erhoben werden, „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist“ (§ 32 Abs. 1 Satz 1 BDSG). Insoweit dürften sich keine Änderungen zum bisherigen Rechtsstand ergeben.
Heftig diskutiert und kritisiert werden die neuen Regelungen zur Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten bei der Aufdeckung von Straftaten im Beschäftigungsverhältnis. Diese Daten dürfen nur erhoben, verarbeitet und genutzt werden, wenn

1. ein tatsächlicher Anhaltspunkt für eine Straftat vorliegt und dokumentiert ist,
2. das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung  und Nutzung nicht überwiegt und
3. Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig ist.

Deutsch/Diller, DB 2009, 1465 ziehen zu dieser Regelung ein treffendes Fazit: „Vor allem aber wirft der Entwurf die gerade anlaufenden Compliance-Bemühungen vieler Unternehmen zurück in die Steinzeit“.

Informationspflichten bei Datenabfluss (§ 42a BDSG 2009)

Im neu geschaffenen § 42a BDSG wird geregelt, dass Unternehmen und Kanzleien einen unrechtmäßigen Datenabfluss personenbezogener Daten der Aufsichtsbehörde und auch den Betroffenen melden müssen. Die Meldung an den Betroffenen erfolgt im Rahmen einer verantwortungsvollen Offenlegung. Dies bedeutet, dass der Betroffene erst informiert werden darf, wenn ein etwaiger polizeilicher Ermittlungserfolg durch die Informierung nicht mehr gefährdet wird. Die Informationspflicht gilt für die folgenden vier Datenkategorien:

1. besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den  Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Sollte die Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht werden, so ist dies eine Ordnungswidrigkeit gem. § 42 Abs. 2 Nr. 7 BDSG.

Beispiel:
Einem Kanzlei-Mitarbeiter wird auf einer Dienstreise ein Notebook gestohlen, auf dem Mandantendaten gespeichert sind, (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). In diesem Fall muss dieser Datenabfluss unter Beteiligung des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde gemeldet werden. Sobald eine Information an die Betroffenen einen polizeilichen Ermittlungserfolg nicht mehr gefährdet, sind alle betroffenen Mandanten über diesen unrechtmäßigen Datenabfluss zu informieren.

Bußgeldvorschriften (§ 43 BDSG)

Fahrlässige oder vorsätzliche Handlungen gem. § 43 Abs. 1 BDSG wurden bisher mit einem maximalen Bußgeld in Höhe von 25.000 EUR geahndet. Dieses Bußgeld ist auf 50.000 EUR angehoben worden. Für Verstöße gem. § 43 Abs. 2 BDSG wurde das maximale Bußgeld von 250.000 EUR auf 300.000 EUR erhöht.

Weiterhin wurde ergänzt, dass "die Geldbuße […] den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen [soll]. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden."

Der Bußgeldkatalog wurde um diverse Tatbestände erweitert. Beispielsweise ist eine fehlerhaft erteilte Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2 BDSG) eine Ordnungswidrigkeit im Sinne des § 43 Abs. 1 BDSG und nun bußgeldbewehrt.

Weitere Hinweise

Die BDSG-Novellen enthalten noch eine Fülle weiterer Änderungen, zum Beispiel Änderungen des Listenprivilegs beim Adresshandel, Neuregelung für Markt- und Meinungsforschung, Erweiterung der Befugnisse der Aufsichtsbehörden, Regelungen zum Scoring. In der Steuerberatung dürften diese Sachverhalte allerdings nur eine untergeordnete Rolle spielen.

Übersicht über die Novellen:

• BDSG-Novelle I  Scoring und Datenübermittlung an Auskunfteien (BT-Druck 16/13219, 16/10581, 16/10529)
• BDSG-Novelle II  (BT-Druck 16/12011, 16/13657, BR-Druck 636/09)
• BDSG-Novelle III  Auskunftspflichten von Auskunfteien und kreditgebende Wirtschaft (BT-Druck 16/11643)
  

Hinweis

scope & focus ist auf die Stellung externer Datenschutzbeauftragter spezialisiert. Weitere Informationen können Sie auf der Firmen-Web-Seite aufrufen oder sich direkt an die Geschäftsstelle von scope & focus wenden: Tel.: 0511 / 8 112 162 Auch bieten wir in unserem aktuellen Seminarprogramm Kurse in Niedersachsen zum Kanzlei-Datenschutz an:

• "Einführung in das Datenschutzrecht in der Steuerberatungskanzlei"

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt