D-Bundestag
14.Wahlperiode		   Drucksache 14/4329
13.10.00
  [ ][ ‹ ][ » ]

Vorblatt BT-Drucks.14/4329 S.1+2

Gesetzentwurf der Bundesregierung

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes
und anderer Gesetze

A. Zielsetzung

Der Gesetzentwurf dient der Anpassung des Bundesdatenschutzgesetzes und anderer Gesetze an die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl.EG L Nr.281 vom 23.November 1995,8, 31 ff). Die Richtlinie war bis zum 24.Oktober 1998 in deutsches Recht umzusetzen. Sie stärkt die Informationsrechte des Bürgers und verpflichtet die Mitgliedstaaten zur Einrichtung staatlicher Kontrollstellen, die die Einhaltung der in Umsetzung der Richtlinie geschaffenen nationalen Vorschriften überwachen. Durch die Richtlinie wird ein einheitliches Datenschutzniveau für die Ausführung und Anwendung des Gemeinschaftsrechts durch die Mitgliedstaaten der EU geschaffen. Daher ist der innergemeinschaftliche Datenverkehr künftig dem inländischen gleichzustellen. Für den Austausch personenbezogener Daten mit Drittstaaten sieht die Richtlinie ebenfalls die grundsätzliche Geltung der gemeinschaftlichen Standards vor, ohne den Wirtschaftsverkehr unangemessen zu beeinträchtigen.

Ferner wird mit dem Gesetzentwurf die Phase der Modernisierung und Vereinfachung des Datenschutzrechts durch Vorgaben an eine datenminimierende Gestaltung und Auswahl von Kommunikationstechnik eingeleitet.

B. Lösung

Mit dem Gesetz wird die Richtlinie im Rahmen der Bundeskompetenzen in innerstaatliches Recht umgesetzt.

C. Alternativen

Keine.

D. Kosten der öffentlichen Haushalte

Kosteneffekte für die öffentlichen Haushalte lassen sich derzeit nicht abschätzen. Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in dem zwingend erforderlichen Umfang umzusetzen und dabei von den zur Verfügung stehenden Optionen in einer für Bund, Länder, Gemeinden und Wirtschaft möglichst kostengünstigen Weise Gebrauch zu machen. Die aufgrund von Artikel 11 der Richtlinie in das Bundesdatenschutzgesetz einzuführende Benachrichtigungspflicht des Betroffenen im öffentlichen Bereich über die Speicherung bzw. Übermittlung seiner Daten wird sich angesichts des weitgehenden Ausnahmekatalogs (vgl § 19a Abs.2) für die öffentlichen Stellen nahezu kostenneutral auswirken. Die vorgesehene Pflicht zur Bestellung behördlicher Datenschutzbeauftragter kann bei einzelnen Behörden zu zusätzlichem Personalaufwand und damit erhöhten Kosten führen. Ferner können die im Zuge der geplanten Modernisierung des Datenschutzrechts bereits eingeführten Anforderungen zur datenminimierenden Gestaltung und Auswahl von Kommunikationstechnik Mehrausgaben der Bundesbehörden erfordern.

E. Sonstige Kosten

Die Auswirkungen auf die Wirtschaft sind nicht quantifizierbar. Die geplante Regelung wird voraussichtlich durch folgende Änderungen zu Mehrbelastungen der Wirtschaft führen:

Durch die Einführung von Informationspflichten im Rahmen der Erhebung personenbezogener Daten beim Betroffenen auch im nicht-öffentlichen Bereich sowie durch die Einführung der sog. Vorabkontrolle für bestimmte automatisierte Verarbeitungen. Ferner kann die nach dem Gesetzentwurf gebotene Auswahl von Kommunikationstechnik am Maßstab des Prinzips der Datenvermeidung und - Sparsamkeit Mehrausgaben verursachen.

Messbare Auswirkungen auf das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.

Durch die Folgeänderungen der Richtlinie im Sozialdatenschutz des Ersten und Zehnten Buches Sozialgesetzbuch (Art.8 des Entwurfs) entstehen für die sozialen Sicherungssysteme durch den Vollzug des Gesetzes wie bei öffentlichen Haushalten derzeit nicht abschätzbare Kosteneffekte.

§§§


Begründung (BT-Drucks.14/4329 S.27 - 31)

Zu Artikel 1 (Änderung des Bundesdatenschutzgesetzes)

A. Allgemeines

1. Allgemeine Vorgaben

1.1 Zielsetzung

Der Gesetzentwurf dient der Anpassung des Bundesdatenschutzgesetzes (BDSG) an die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI.EG L Nr.281 vom 23.November 1995, S.31 ff; im folgenden: Richtlinie).

Die Richtlinie ist am 13.Dezember 1995 in Kraft getreten.

Die Richtlinie konkretisiert und ergänzt die Grundsätze der Datenschutzkonvention des Europarates von 1981 (BGBl.1985 II, S.538 ff). Sie erweitert die Informationsrechte des Bürgers und verpflichtet die Mitgliedstaaten zur Einrichtung staatlicher Kontrollstellen, die die Einhaltung der in Umsetzung der Richtlinie geschaffenen nationalen Vorschriften überwachen.

Durch die Richtlinie wird ein einheitliches Datenschutzniveau für die Ausführung und Anwendung des Gemeinschaftsrechts durch die Mitgliedstaaten der EU geschaffen. Daher ist der innergemeinschaftliche Datenverkehr innerhalb des Anwendungsbereichs der Richtlinie künftig dem inländischen gleichzustellen. Für den Austausch personenbezogener Daten mit Drittstaaten sieht die Richtlinie ebenfalls die grundsätzliche Geltung der gemeinschaftlichen Standards vor, ohne den Wirtschaftsverkehr unangemessen zu beeinträchtigen.

1.2 Gesetzgebungskompetenz

Eine ausdrückliche Kompetenz des Bundes zu einer umfassenden Regelung der Querschnittsmaterie des Datenschutzes enthält das Grundgesetz nicht. Die Gesetzgebungskompetenz des Bundes ergibt sich aber im Rückgriff auf die dem Bund zustehenden Gesetzgebungskompetenzen für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. So folgt im Anwendungsbereich der öffentlichen Verwaltung die Gesetzgebungsbefugnis aus der Annexkompetenz des Verwaltungsverfahrens zu den jeweiligen Sachkompetenzen der Artikel 73 bis 75 des Grundgesetzes (GG). Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, soweit diese Bundesrecht ausführen, erlassen werden.

Für die gesetzliche Regelung im nicht-öffentlichen Bereich beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also insbesondere auf Artikel 74 Nr.1, 11 und 12 GG. Im Hinblick auf die Gegenstände der konkurrierenden Gesetzgebung ist maßgeblich, dass ein unterschiedlicher Datenschutzstandard im nicht öffentlichen Bereich gravierende Auswirkungen auf die hierdurch in erster Linie betroffene Wirtschaft hätte, die in ihrer unternehmerischen Tätigkeit durch im Kern unterschiedliche Länderregelungen gehemmt würde. Eine einheitliche Regelung durch den Bund zur Erzielung eines einheitlichen Datenschutzstandards ist daher zur Wahrung der Rechts- und Wirtschaftseinheit im gesamtstaatlichen Interesse zwingend erforderlich.

1.3 Kosten

Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in dem erforderlichen Umfang umzusetzen und dabei von den zur Verfügung stehenden Optionen in einer für Bund, Länder, Gemeinden und Wirtschaft möglichst kostengünstigen Weise Gebrauch zu machen. Die geplante Regelung wird voraussichtlich durch folgende Änderungen zu Mehrbelastungen der Wirtschaft und Verwaltung führen: durch die Aufnahme des Grundsatzes der Datenvermeidung und -Sparsamkeit und des Vorrangs pseudonymer und anonymer Formen der Datenverarbeitung (§ 3a), die Einführung von Informationspflichten im Rahmen der Erhebung personenbezogener Daten beim Betroffenen auch im nicht öffentlichen Bereich (§ 4 Abs.3), die Verpflichtung zur Kenntlichmachung der Beobachtung öffentlich zugänglicher Räume mit optischelektronischen Einrichtungen (§ 6b), die prinzipielle Benachrichtigungspflicht gegenüber dem Betroffenen im öffentlichen Bereich (§ 19a), die Einführung eines Auskunftsrechts bei sog automatisierten Einzelentscheidungen (§ 6a Abs.3), die Modifizierung der bestehenden Meldepflicht für nicht öffentliche Stellen, die Einführung der sog Vorabkontrolle für bestimmte automatisierte Verarbeitungen (§ 4d Abs.5) sowie die obligatorische Bestellung von behördlichen Datenschutebeauftragten im öffentlichen Bereich.

Im Einzelnen:

Durch die Einführung des Grundsatzes der Datenvermeidung und -Sparsamkeit in § 3a soll Einfluss auf die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden, genommen werden. Insbesondere in Verbindung mit dem Vorrang pseudonymer und anonymer Formen der Datenverarbeitung sind daher Mehrausgaben im Bereich der EDV sowohl für die Unternehmen als auch für die Verwaltung vorstellbar. Da der Grundsatz der Datenvermeidung und -Sparsamkeit erstmalig in das allgemeine Datenschutzrecht aufgenommen wird, sind konkrete Aussagen hierzu jedoch derzeit nicht möglich.

Im Gegensatz zur bisherigen Rechtslage sind nunmehr auch nicht öffentliche Stellen, die personenbezogene Daten beim Betroffenen erheben, nach § 4 Abs.3 diesem gegenüber ua zur Nennung der Identität der verantwortlichen Stelle sowie der Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung verpflichtet. Die Rechtsänderung beruht auf den Vorgaben von Artikel 10 der Richtlinie. Betroffen sind alle Wirtschaftsunternehmen, die personenbezogene Daten beim Betroffenen erheben. Es ist davon auszugehen, dass die Unternehmen ihrer Verpflichtung vorwiegend durch Ergänzungen ihrer formularmäßigen Hinweise nachkommen werden.

Die Pflicht zur Kenntlichmachung des Umstandes der Beobachtung und der verantwortlichen Stelle im Rahmen der Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (§ 6 b Abs.2) betrifft sowohl die Unternehmen als auch die Verwaltung. Da diese Kenntlichmachungspflicht nach den bereits bestehenden Erfahrungen im Regelfall durch entsprechende Hinweisschilder erfüllt wird, kann davon ausgegangen werden, dass die hierdurch verursachte Mehrbelastung insgesamt gering bleiben dürfte.

Die aufgrund von Artikel 11 der Richtlinie einzuführende Benachrichtigungspflicht des Betroffenen im öffentlichen Bereich über die Speicherung bzw Übermittlung seiner Daten wird sich angesichts des weitgehenden Ausnahmekatalogs (vgl § 19a Abs.2) für die öffentlichen Stellen nahezu kostenneutral auswirken.

Die Richtlinie verpflichtet in Artikel 12 Buchstabe a dritter Spiegelstrich zur Schaffung eines Auskunftsrechts über den "logischen Aufbau automatisierter Verarbeitungen". Dieses neue Auskunftsrecht war gemäß der Richtlinie "zumindest im Fall automatisierter Entscheidungen" zwingend umzusetzen. Nur in diesem Bereich wurde es umgesetzt durch die Einstellung in § 6a Abs.3. Betroffen sind hiervon die öffentliche Verwaltung und alle Wirtschaftsunternehmen, die automatisierte Einzelentscheidungen im Sinne des § 6a treffen. In der Vorschrift werden alle Ausnahmen vom Verbot derartiger automatisierter Einzelentscheidungen ausgeschöpft (§ 6a Abs.2). Der Anwendungsbereich der Vorschrift und somit auch des Auskunftsrechts wird daher eher gering sein, die zu erwartende Mehrbelastung der öffentlichen Verwaltung und der betroffenen Wirtschaftsunternehmen dürfte insgesamt gering bleiben.

Im Hinblick auf die Meldepflicht für automatisierte Verarbeitungen durch Wirtschaftsunternehmen macht der Gesetzentwurf - ausgehend von dem in Artikel 18 Abs.1 der Richtlinie zwingend vorgeschriebenen Prinzip der allgemeinen Meldepflicht - Gebrauch von der Option, von der Meldepflicht abzusehen, sofern entweder ein betrieblicher/behördlicher Datenschutzbeauftragter bestellt wird oder es sich um eine sog weniger beeinträchtigende Verarbeitung handelt (Artikel 18 Abs.2 erster und zweiter Spiegelstrich der Richtlinie). Der Entwurf zielt auf die möglichst weitgehende Abschaffung von Meldepflichten und setzt daher beide Ausnahmen von der Meldepflicht um (§ 4d Abs.2 und 3). Für den öffentlichen Bereich hat dies die völlige Abschaffung der Meldepflicht und damit auch den Verzicht auf das beim Bundesbeauftragten für den Datenschutz eingerichtete Register der bei öffentlichen Stellen des Bundes geführten automatisierten Dateien zur Folge. Im nicht öffentlichen Bereich verbleibt es insoweit bei der derzeit bereits geltenden Verpflichtung, betriebliche Datenschutzbeauftragte zu bestellen, soweit mehr als vier Arbeitnehmer mit automatisierter Datenverarbeitung beschäftigt sind. In diesem Fall entfällt zukünftig die Meldepflicht. Zur Vermeidung der Meldepflicht kann ein betrieblicher Datenschutzbeauftragter auch auf freiwilliger Basis bestellt werden (§ 4d Abs.2 Satz 2). In den übrigen Fällen besteht eine Meldepflicht, sofern es sich nicht um "weniger beeinträchtigende Verarbeitungen" im Sinne des Artikel 18 Abs.2 erster Spiegelstrich der Richtlinie handelt. Dies ist der Fall, wenn personenbezogene Daten für eigene Zwecke erhoben, verarbeitet oder genutzt werden, hierbei höchstens vier Arbeitnehmer beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses dient (§ 4d Abs.3).

Diese Voraussetzung wird regelmäßig bei der Datenverarbeitung einer Reihe von selbständig Berufstätigen, etwa Architekten, Ärzten, Apothekern ua, vorliegen.

Die in § 4d Abs.5 vorgesehene Vorabkontrolle betrifft besonders risikoreiche Datenverarbeitungen. Da es sich bei der Vorabkontrolle um eine neue Einrichtung handelt, ist der damit verbundene Zeit- und Kostenaufwand noch nicht absehbar. Zuständig für die Durchführung der Vorabkontrolle ist der betriebliche Datenschutzbeauftragte.

Der Arbeitsaufwand des betrieblichen Datenschutzbeauftragten wird durch zwei neue Aufgaben vermutlich nur geringfügig erhöht: Die bereits erwähnte Vorabkontrolle sowie die ebenfalls durch den betrieblichen Datenschutzbeauftragten zu erfüllende Aufgabe nach § 4g Abs.2 Satz 2, Angaben zu automatisierten Verarbeitungen "auf Antrag jedermann in geeigneter Weise verfügbar zu machen". Diese zweite Aufgabe beruht auf Artikel 21 Abs.3 der Richtlinie. Sie obliegt auch dem behördlichen Datenschutzbeauftragten, der bereits jetzt in allen obersten Bundesbehörden ohne gesetzliche Verpflichtung existiert. Mit Blick auf die vergleichbaren Regelungen in § 38 Abs.2 Satz 3 und § 26 Abs.5 Satz 4 BDSG aF (Einsichtsrecht in das Register der Aufsichtsbehörden und des Bundesbeauftragten für den Datenschutz), die in der Praxis kaum eine Rolle gespielt haben, ist insoweit nicht von einer wesentlichen Mehrbelastung der betrieblichen bzw behördlichen Datenschutzbeauftragten auszugehen. Die Auskunft kann im übrigen in pauschalierter Form erfolgen.

Die obligatorische Bestellung von Datenschutzbeauftragten im öffentlichen Bereich wird aufgrund der besonderen Struktur des Bundesministeriums der Verteidigung und seines Geschäftsbereichs dort zu zusätzlichem Personalaufwand und somit zu erhöhten Kosten führen. Da - unabhängig von der Anzahl der Arbeitnehmer - künftig betriebliche Datenschutzbeauftragte zu bestellen sind, wenn nicht öffentliche Stellen zur Durchführung einer Vorabkontrolle verpflichtet sind oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen (§ 4f Abs.1 Satz 6), kann es auch in diesem Bereich zu Mehrkosten kommen.

§§§

2. Wesentliche Inhalte des Gesetzentwurfs

2.1 Grundzüge der Novellierung

Der Anwendungsbereich der Richtlinie ist beschränkt auf den Geltungsbereich des EG-Vertrages. Die Datenverarbeitung von Polizei- und Nachrichtendiensten ist daher von der Richtlinie nicht unmittelbar berührt. Allerdings erscheint es nicht sinnvoll, eine lediglich auf den Geltungsbereich des EG-Vertrages beschränkte Anpassung des Bundesdatenschutzgesetzes vorzunehmen. Sonst würden unterschiedliche Regelungen gelten, je nachdem, ob Gemeinschaftsrecht oder ausschließlich deutsches Recht

auszuführen und anzuwenden ist. Dies wäre mit dem Querschnittscharakter und der subsidiären Geltung des Bundesdatenschutzgesetzes nicht vereinbar.

Die Transparenz der Datenverarbeitung für den Bürger wurde ua erhöht durch die Ausdehnung der Benachrichtigungspflicht des Betroffenen von der Speicherung / Weitergabe seiner Daten auch auf den öffentlichen Bereich, durch eine grundsätzliche Informationspflicht des Betroffenen bei der Erhebung seiner Daten auch im nichtöffentlichen Bereich und eine geringfügige Erweiterung des Auskunftsrechts. Ebenfalls der Bürgerfreundlichkeit dient die Vorschrift des § 6 a, wonach belastende Entscheidungen, die aufgrund von Persönlichkeitsprofilen ohne zusätzliche Überprüfung durch einen Menschen erfolgen, grundsätzlich verboten sind.

Die Richtlinie sieht eine Reihe von Restriktionen im Zusammenhang mit der Verarbeitung sog. sensitiver Daten vor, die den Bürger in diesem empfindlichen Bereich besonders schützen sollen. Die Richtlinie versteht unter sensitiven Daten solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben. In Umsetzung der Vorgaben der Richtlinie unterliegt nun der Umgang mit diesen Daten besonderen Einschränkungen sowohl im öffentlichen als auch im nicht öffentlichen Bereich.

Wichtig unter dem Aspekt der Erhaltung der unternehmerischen Freiheit und möglichst uneingeschränkter wirtschaftlicher Betätigung ist die Neuregelung der Übermittlung personenbezogener Daten in Drittstaaten. Übermittlungen personenbezogener Daten dürfen grundsätzlich nur bei Vorliegen eines angemessenen Datenschutzniveaus im Drittstaat vorgenommen werden. Durch einen breiten Ausnahmekatalog wird aber sichergestellt, dass der Wirfschaftsverkehr mit Drittstaaten nicht unangemessen beeinträchtigt wird.

Der Entbürokratisierung dient die Neuregelung der Meldepflicht automatisierter Verarbeitungen. Diese ist dahingehend modifiziert worden, dass die in der Richtlinie vorgesehene Möglichkeit der Einschränkung der allgemeinen Meldepflicht weitestgehend genutzt wurde. So entfällt nach der Regelung des § 4 d Abs.2 die Meldepflicht, wenn die speichernde Stelle einen internen Datenschutzbeauftragten bestellt hat und im Falle des Vorliegens einer weniger beeinträchtigenden Verarbeitung (§ 4 d Abs.3). Da durch § 4 f Abs.1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird, kann die Meldepflicht im öffentlichen Bereich vollständig entfallen.

Die Wahrung des sog Medienprivilegs wird in weitem Umfang gewährleistet. Die durch die Richtlinie erforderlich gewordene Erweiterung des Anwendungsbereichs für Unternehmen der Presse wurde restriktiv vorgenommen.

2.2 Die wesentlichen Änderungen aufgrund der Richtlinie im einzelnen

  1. Der Anwendungsbereich des Bundesdatenschutzgesetzes war durch die Vorschrift des § 1 Abs.5 zu ergänzen: Diese betrifft zum einen die Datenverarbeitung innerhalb der Europäischen Union. Das Bundesdatenschutzgesetz kommt hier nicht zur Anwendung, wenn die Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle eines anderen Mitgliedstaates der Europäischen Union im Inland ausgeführt wird. Als Ausnahme dieser Regelung findet das Bundesdatenschutzgesetz aber Anwendung, sofern die verantwortliche Stelle eine Niederlassung im Inland unterhält. Zum anderen soll mit der Vorschrift verhindert werden, dass ein möglicherweise geringerer Datenschutzstandard als der in den Mitgliedstaaten der Europäischen Union vorhandene in den Fällen zur Geltung kommt, in denen Datenerhebungen, -verarbeitungen oder -nutzungen innerhalb der Europäischen Union durch außerhalb der Europäischen Union belegene speichernde Stellen vorgenommen werden.

    Darüber hinaus waren die Kriterien für den sachlichen Anwendungsbereich des Bundesdatenschutzgesetzes insofern in Übereinstimmung mit Artikel 3 Abs.1 der Richtlinie zu bringen, als es bei automatisierten Verarbeitungen nicht mehr auf den Dateibegriff ankommt. Das Kriterium der Datei ist nur noch von Bedeutung, soweit es um die nicht automatisierte Verarbeitung personenbezogener Daten geht.


  2. Da die Richtlinie die Erhebung personenbezogener Daten als Teil der Verarbeitung begreift, das Bundesdatenschutzgesetz bisher aber nur die Erhebung für den öffentlichen Bereich regelt, bedurfte es der Einführung eines Gesetzesvorbehaltes auch für die Erhebung im nicht öffentlichen Bereich.


  3. Im Gegensatz zur bisherigen Rechtslage kommt dem Begriff des "Empfängers" nunmehr neben dem des "Dritten" eigenständige Bedeutung zu. Er war daher in § 3 Abs.8 zu definieren, seine bisherige Verwendung im Bundesdatenschutzgesetz anzupassen.


  4. Die Übermittlung personenbezogener Daten in Drittstaaten wurde in § 4b und § 4c neu geregelt. Diese Vorschriften sollen zum einen ein koordiniertes Verhalten der Mitgliedstaaten beim Transfer in Drittstaaten sicherstellen und zum anderen - durch einen breiten Katalog von Ausnahmebestimmungen - dafür Sorge tragen, dass der Wirtschaftsverkehr mit Drittstaaten nicht unangemessen beeinträchtigt wird.

    Da nach Umsetzung der Richtlinie durch die Mitgliedstaaten der Europäischen Union innerhalb des Anwendungsbereichs der Richtlinie von einem angemessenen Datenschutzniveau innerhalb der Europäischen Union auszugehen ist, gelten insoweit die §§ 15, 16 und 28 ff.


  5. In den neu eingefügten §§4d und 4e ist die Meldepflicht für automatisierte Verarbeitungen öffentlicher und nicht öffentlicher Stellen geregelt.

    Nach der Regelung des § 4d Abs.2 und 3 entfällt die Meldepflicht, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat oder eine weniger beeinträchtigende Verarbeitung vorliegt. Damit kann die Meldepflicht im öffentlichen Bereich vollständig entfallen, da durch § 4f Abs.1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird. Neu ist die sog Vorabkontrolle, dh bestimmte automatisierte Verarbeitungen werden vor Inbetriebnahme einer Prüfung durch den Datenschutzbeauftragten unterzogen.


  6. Die neue Vorschrift des § 6a beinhaltet die Regelung der sog automatisierten Einzelentscheidung. Durch die Vorschrift soll verhindert werden, dass Entscheidungen ausschließlich aufgrund von automatisiert erstellten Persönlichkeitsprofilen getroffen werden, ohne dass eine Person den Sachverhalt erneut überprüft hat.


  7. Die Regelungen über die Erhebung und zweckändernde Verarbeitung personenbezogener Daten waren sowohl im öffentlichen als auch im nicht öffentlichen Bereich um Sonderregelungen hinsichtlich sog sensitiver Daten zu ergänzen (§§ 13,: 14 Abs.5, 28 Abs.6 und 7, 29 Abs.5, 30 Abs.5). Entsprechendes gilt für die Voraussetzungen der Einwilligung, § 4a Abs.3.


  8. Der neu geschaffene § 19a führt eine Benachrichtigungspflicht im öffentlichen Bereich für die Fälle ein, in denen Daten nicht beim Betroffenen selbst erhoben werden.


  9. Da die Richtlinie keine Beschränkung der Datenschutzkontrolle auf eine Anlasskontrolle vorsieht, wie sie in § 38 Abs.1 und § 24 Abs.1 Satz 2 aF geregelt war, waren die entsprechenden Einschränkungen zu streichen.


  10. Die neue Vorschrift des § 38a beinhaltet Regelungen im Zusammenhang mit den sog. Verhaltensregeln zur Förderung der ordnungsgemäßen Durchführung datenschutzrechtlicher Regelungen, die ua eine Vereinheitlichung derartiger interner Regeln bewirken sollen. Berufsverbände und ähnliche Vereinigungen erhalten die Möglichkeit, von ihnen erarbeitete Verhaltensregeln der Aufsichtsbehörde zu unterbreiten. Diese überprüft die Vereinbarkeit der Entwürfe mit dem geltenden Datenschutzrecht.


  11. Die Vorschrift des § 41, die die Verarbeitung und Nutzung personenbezogener Daten durch Medien regelt, ist als Rahmenvorschrift für die Landesgesetzgebung ausgestaltet worden. Der Anwendungsbereich der Datenschutzbestimmungen für die Medien ist auf die Vorschriften über die Haftung (insoweit nur eingeschränkt) und die Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen erweitert worden. Gleichzeitig war der Anwendungsbereich des sog Medienprivilegs zu erweitern, da nunmehr auch die Verarbeitung personenbezogener Daten zu literarischen Zwecken hiervon erfasst wird.


  12. Die Anlage zu § 9 wurde gestrafft, um die Anforderungen der Richtlinie ergänzt, sprachlich überarbeitet sowie den heutigen Gegebenheiten der Informations- und Kommunikationstechnik angepasst.

2.3 Sonstige wesentliche Änderungen des Bundesdatenschutzgesetzes

Neben den unmittelbar durch die Umsetzung der Datenschutzrichtlinie bedingten Änderungen des Bundesdatenschutzgesetzes sieht diese Novelle folgende neue Regelungen vor:

Der Grundsatz der Datenvermeidung und -Sparsamkeit (§ 3 a) besagt, dass sich die Gestaltung und Auswahl von Systemen der Datenverarbeitungsanlagen an dem Ziel auszurichten hat, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Die Regelung soll dazu führen, dass durch den gezielten Einsatz datenschutzfreundlicher Technik die Gefahren für das informationelle Selbstbestimmungsrecht der Betroffenen reduziert werden.

Die in weiten Bereichert durch öffentliche und nicht öffentliche Stellen bereits durchgeführte Videoüberwachung öffentlich zugänglicher Räume erhält durch die Vorschrift des § 6b eine gesetzliche Grundlage, die der Wahrung des informationellen Selbstbestimmungsrechts durch einen angemessenen Interessensausgleich Rechnung trägt.

Die neue Regelung des Datenschutzaudits (§ 9a) verfolgt das Ziel, datenschutzfreundliche Produkte auf dem Markt zu fördern, indem deren Datenschutzkonzept geprüft und bewertet wird.

Bereits bei der Novellierung des BDSG 1990 waren zuvor bestehende Unsicherheiten in der Rechtsanwendungspraxis hinsichtlich personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, durch Klarstellung im Rahmen der damaligen Neufassung von § 24 Abs.1 und 2 beseitigt worden. Keine ausdrückliche Regelung bestand für die Kontrolle des Bundesbeauftragten für den Datenschutz hinsichtlich der von öffentlichen Stellen des Bundes erlangten personenbezogenen Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs. Vielmehr verwehrte § 24 Abs.2 Satz 3 aF, der den Inhalt des Post- und Fernmeldeverkehrs von der Kontrolle ausnahm, es dem Bundesbeauftragten für den Datenschutz, die Verwendung der durch Eingriffe in das Brief-, Post- und Fernmeldegeheimnis erlangten Daten zu kontrollieren. Dies soll mit der neuen Regelung des § 24 Abs.2 ermöglicht werden.

Der neu eingefügte § 29 Abs.3 beinhaltet eine Regelung, mit der folgendes erreicht wird:

In den Fällen, in denen es sich bei Herausgebern elektronischer oder gedruckter Verzeichnisse nicht um Diensteanbieter im Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) handelt, bestand bisher nur unzureichender Schutz der Betroffenen vor nicht gewollten Eintragungen in diese Verzeichnisse. Diese Regelungslücke schließt der neue § 29 Abs.3.

2.4 Ausblick

Der vorliegende Gesetzentwurf sieht Änderungen des Bundesdatenschutzgesetzes überwiegend in dem Umfang vor, den die Richtlinie vorgibt. Noch in dieser Legislaturperiode soll eine umfassende Neukonzeption des BDSG vorbereitet werden, die das Gesetz modernisiert, vereinfacht und seine Lesbarkeit erhöht, sowie geprüft werden, inwieweit die in der Richtlinie für Zwecke der Forschung und der Statistik eingeräumten Spielräume genutzt werden sollen.

Ferner soll die Beratungs- und Servicefunktion der Datenschutzbeauftragten ausgebaut und gestärkt werden. Ziel dieser Neufassung ist die Verbesserung und Vereinheitlichung des Schutzes der Betroffenen im öffentlichen und im privaten Bereich.

Darüber hinaus wird das gesamte bereichsspezifische Datenschutzrecht daraufhin zu überprüfen sein, ob über die bereits vorgenommenen Änderungen hinaus weitere Anpassungen an die Richtlinie geboten sind, und zwar auch, soweit keine europarechtliche Anpassungspflicht besteht. Nur so kann vermieden werden, dass es auf Dauer zweierlei Datenschutzrecht mit unterschiedlich hohem Schutzniveau gibt.

In diesem Zusammenhang wird ein Arbeitnehmerdatenschutzgesetz und ein Informationszugangsgesetz zu kodifizieren sein.

§§§

[ - ] Regierungsentwurf [ ][ » ]

Saar-Daten-Bank (SaDaBa)   -   Frisierte Gesetzestexte   -   © H-G Schmolke 1998-2005
K-Adenauer-Allee 13, 66740 Saarlouis, Tel: 06831-988099, Fax: 06831-988066, Email: hgs@sadaba.de
Der schnelle Weg durch's Paragraphendickicht!
www.sadaba.de