Datenschutz und Recht
Startseite

Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Entwurf zur Änderung des BDSG und anderer Gesetze

vom 6.7.1999

Synopse zum Entwurf des neuen BDSG
Begründung zum Entwurf des neuen BDSG
Der Entwurf steht zusammen mit der Begründung zum Entwurf auch zum Download (ZIP, RTF-Format) bereit.

Artikel 1
Änderung des Bundesdatenschutzgesetzes

< siehe Synopse >

Artikel 2
Änderung des Bundesverfassungsschutzgesetzes

§ 27 des Bundesverfassungsschutzgesetzes vom 20. Dezember 1990 (BGBl. I S. 2970), geändert durch § 38 Abs. 2 des Gesetzes vom 20. April 1994 (BGBl. I S. 867, 876), wird wie folgt gefaßt:

"Bei der Erfüllung der Aufgaben nach § 3 durch das Bundesamt für Verfassungsschutz finden § 3 Abs. 2 und 8 Satz 1 und 2, § 4 Abs. 2 bis 4, §§ 4 b und 4 c sowie §§ 10 und 13 bis 20 des Bundesdatenschutzgesetzes keine Anwendung."

Artikel 3
Änderung des MAD-Gesetzes

§ 13 des MAD-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2977), geändert durch § 38 Abs. 3 des Gesetzes vom 20. April 1994 (BGBl. I S. 867, 876), wird wie folgt gefaßt:

"Bei der Erfüllung der Aufgaben nach § 1 Abs. 1 bis 3 und § 2 finden § 3 Abs. 2 und 8 Satz 1 und 2, § 4 Abs. 2 bis 4, §§ 4 b und 4 c sowie §§ 10 und 13 bis 20 des Bundesdatenschutzgesetzes keine Anwendung."

Artikel 4
Änderung des BND-Gesetzes

§ 11 des BND-Gesetzes vom 20. Dezember 1990 (BGBl. I S. 2954), geändert durch § 38 Abs. 5 des Gesetzes vom 10. April 1994 (BGBl. I S. 867, 877), wird wie folgt gefaßt:

"Bei der Erfüllung der Aufgaben des Bundesnachrichtendienstes finden § 3 Abs. 2 und 8 Satz 1 und 2, § 4 Abs. 2 bis 4, §§ 4 b und 4 c sowie §§ 10 und 13 bis 20 des Bundesdatenschutzgesetzes keine Anwendung."

Artikel 5
Änderung des Sicherheitsüberprüfungsgesetzes

In § 36 Abs. 1 des Sicherheitsüberprüfungsgesetzes vom 20. April 1994 (BGBl. I S. 867) werden nach den Wörtern "Vorschriften des Ersten Abschnitts" die Wörter "mit Ausnahme von § 3 Abs. 2 und 8 Satz 1 und 2, § 4 Abs. 2 bis 4, §§ 4 b und 4 c" eingefügt.

Artikel 6
Änderung des Bundesgrenzschutzgesetzes

§ 37 des Bundesgrenzschutzgesetz vom 19. Oktober 1994 (BGBl. I S. 2978), geändert durch $___$, wird wie folgt gefaßt:

"Bei Erfüllung der dem Bundesgrenzschutz nach den §§ 1 bis 7 obliegenden Aufgaben finden § 3 Abs. 2 und 8 Satz 1 und 2, § 4 Abs. 2 bis 4, §§ 4 b und 4 c, 10 Abs. 1, §§ 13, 14 Abs. 1, 2 und 5, §§ 15, 16, 18 Abs. 2 Satz 2 bis 4 sowie §§ 19 a und 20 des Bundesdatenschutzgesetzes keine Anwendung."

Artikel 7
Änderung des Bundeskriminalamtgesetzes

§ 37 des Bundeskriminalamtgesetzes vom 7. Juli 1997 (BGBl. I S. 1650) wird wie folgt gefaßt:

"Bei der Erfüllung der Aufgaben nach den §§ 2, 3, 5 und 6 durch das Bundeskriminalamt finden § 3 Abs. 2 und 8 Satz 1 und 2, § 4 Abs. 2 bis 4, §§ 4 b und 4 c, 10 Abs. 1, §§ 13, 14 Abs. 1, 2, 4 und 5, §§ 15, 16, 18 Abs. 2 Satz 2 bis 4 sowie die §§ 19 a und 20 des Bundesdatenschutzgesetzes keine Anwendung."

Artikel 8
Änderung des Zehnten Buches Sozialgesetzbuch – Verwaltungsverfahren –

Das Zehnte Buch Sozialgesetzbuch – Verwaltungsverfahren – (Artikel 1 des Gesetzes vom 18. August 1980, BGBl. I S. 1469), zuletzt geändert durch $___$, wird wie folgt geändert:

1. § 67 wird wie folgt geändert:

a) Absatz 3 wird wie folgt gefaßt:

"(3) Automatisiert im Sinne dieses Gesetzbuches ist die Erhebung, Verarbeitung oder Nutzung von Sozialdaten, wenn sie unter Einsatz von Datenverarbeitungsanlagen durchgeführt wird (automatisierte Verarbeitung). Datei ist jede nicht-automatisierte Sammlung personenbezogener Daten, die nach äußerlich vergleichbaren Merkmalen aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann (Datei)."

b) Absatz 4 wird aufgehoben.

c) Absatz 6 Satz 2 Nr. 3 wird wie folgt geändert:

aa) Nach den Wörtern "an einen Dritten" wird der Klammerzusatz "(Empfänger)" gestrichen.

bb) In Buchstabe a werden die Wörter "durch die speichernde Stelle" gestrichen und das Wort "Empfänger" durch das Wort "Dritten" ersetzt.

cc) In Buchstabe b werden das Wort "Empfänger" durch das Wort "Dritte" ersetzt und die Wörter "von der speichernden Stelle" gestrichen.

d) In Absatz 7 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

e) Nach Absatz 8 wird folgender Absatz eingefügt:

"(8a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren."

f) Absatz 9 wird wie folgt geändert:

aa) Die Sätze 1 und 2 werden wie folgt gefaßt:

"Verantwortliche Stelle ist jede Person oder Stelle, die Sozialdaten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen läßt. Werden Sozialdaten von einem Leistungsträger im Sinne von § 12 des Ersten Buches erhoben oder bei ihm verarbeitet oder genutzt, ist verantwortliche Stelle der Leistungsträger."

bb) In Satz 3 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.

g) Absatz 10 wird wie folgt gefaßt:

"(10) Empfänger ist jede Person oder Stelle, die Sozialdaten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union Sozialdaten im Auftrag erheben, verarbeiten oder nutzen."

h) Nach Absatz 11 wird folgender Absatz angefügt:

"(12) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind solche, die nur mit Hilfe eines besonderen elektronischen Gerätes gelesen oder beschrieben werden und vom Betroffenen mit sich geführt werden können, insbesondere Chipkarten. Mobile personenbezogene Speicher- und Verarbeitungsmedien sind auch solche, die mit besonderen elektronischen Geräten direkt kommunizieren können."

2. § 67 a wird wie folgt geändert:

a) Dem Absatz 1 werden folgende Sätze angefügt:

"Daten nach § 3 Abs. 9 des Bundesdatenschutzgesetzes mit Ausnahme von Daten über die Gesundheit dürfen ohne Einwilligung des Betroffenen nach § 4 a Abs. 3 des Bundesdatenschutzgesetzes nicht erhoben werden. Ist für die Erhebung von Daten über die Gesundheit die Einwilligung des Betroffenen erforderlich, findet § 4 a Abs. 3 des Bundesdatenschutzgesetzes Anwendung."

b) Absatz 3 wird wie folgt gefaßt:

"(3) Werden Sozialdaten beim Betroffenen erhoben, ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und die Identität der verantwortlichen Stelle zu unterrichten. Über Kategorien von Empfängern ist der Betroffene nur zu unterrichten, soweit

1. er nach den Umständen des Einzelfalles nicht mit der Nutzung oder der Übermittlung an diese rechnen muß,

2. es sich nicht um eine Verarbeitung oder Nutzung innerhalb eines Leistungsträgers im Sinne von § 12 des Ersten Buches oder einer Organisationseinheit im Sinne von § 67 Abs. 9 Satz 3 handelt oder

3. es sich nicht um eine Kategorie von Leistungsträgern im Sinne von § 12 des Ersten Buches oder Organisationseinheiten im Sinne von § 67 Abs. 9 Satz 3 handelt, die auf Grund eines Gesetzes zur engen Zusammenarbeit verpflichtet sind.

Werden Sozialdaten beim Betroffenen auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, ist der Betroffene hierauf sowie auf die Rechtsvorschrift, die zur Auskunft verpflichtet und die Folgen der Verweigerung von Angaben, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen."

c) Nach Absatz 4 wird folgender Absatz angefügt:

"(5) Werden Sozialdaten weder beim Betroffenen noch bei einer in § 35 des Ersten Buches genannten Stelle erhoben und hat der Betroffene davon keine Kenntnis, ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. Eine Pflicht zur Unterrichtung besteht nicht, wenn

1. der Betroffene bereits auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,

2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder

3. die Speicherung oder Übermittlung der Sozialdaten auf Grund eines Gesetzes ausdrücklich vorgesehen ist.

Über Kategorien von Empfängern ist der Betroffene nur zu unterrichten, soweit

1. er nach den Umständen des Einzelfalles nicht mit der Nutzung oder der Übermittlung an diese rechnen muß,

2. es sich nicht um eine Verarbeitung oder Nutzung innerhalb eines Leistungsträgers im Sinne von § 12 des Ersten Buches oder einer Organisationseinheit im Sinne von § 67 Abs. 9 Satz 3 handelt oder

3. es sich nicht um eine Kategorie von Leistungsträgern im Sinne von § 12 des Ersten Buches oder Organisationseinheiten im Sinne von § 67 Abs. 9 Satz 3 handelt, die auf Grund eines Gesetzes zur engen Zusammenarbeit verpflichtet sind.

Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. Die verantwortliche Stelle unterrichtet den jeweils zuständigen Bundesbeauftragten oder Landesbeauftragten für den Datenschutz bei der erstmaligen Inanspruchnahme einer Ausnahmekategorie nach Satz 2 Nr. 2 und 3 und kennzeichnet die Datensätze der Betroffenen, die unterrichtet wurden, oder bei denen eine Unterrichtung unterblieben ist. § 83 Abs. 2 bis 4 gilt entsprechend."

3. § 67 b wird wie folgt geändert:

a) Dem Absatz 1 wird folgender Satz angefügt:

"§ 67 a Abs. 1 Satz 2 und 3 gilt entsprechend."

b) Nach Absatz 3 wird folgender Absatz angefügt:

"(4) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung von Sozialdaten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient."

4. § 67 c wird wie folgt geändert:

a) In Absatz 1 Satz 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

b) In Absatz 3 Satz 1 und 2 wird jeweils das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.

5. § 67 d wird wie folgt geändert:

a) In Absatz 2 Satz 2 werden die Wörter "des Empfängers" durch die Wörter "des Dritten, an den die Daten übermittelt werden" ersetzt.

b) In Absatz 3 werden die Wörter "in Akten" gestrichen.

6. In § 69 Abs. 1 Nr. 1 werden die Wörter "des Empfängers" durch die Wörter "des Dritten, an den die Daten übermittelt werden" ersetzt.

7. § 75 wird wie folgt geändert:

a) In Absatz 2 Satz 3 Nr. 1 wird das Wort "Empfänger" durch die Wörter "Dritten, an den die Daten übermittelt werden" ersetzt.

b) Absatz 4 wird wie folgt gefaßt:

"(4) Ist der Dritte, an den Daten übermittelt werden, eine nicht-öffentliche Stelle, gilt § 38 des Bundesdatenschutzgesetzes mit der Maßgabe, daß die Kontrolle auch erfolgen kann, wenn die Daten nicht automatisiert oder nicht in Dateien verarbeitet oder genutzt werden."

8. In § 76 Abs. 2 Nr. 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

9. § 77 wird wie folgt gefaßt:

"§ 77
Übermittlung ins Ausland und an über- und zwischenstaatliche Stellen

(1) Die Übermittlung von Sozialdaten an Personen oder Stellen in Mitgliedstaaten der Europäischen Union ist zulässig, soweit

1. dies für die Erfüllung einer gesetzlichen Aufgabe der in § 35 des Ersten Buches genannten übermittelnden Stelle nach diesem Gesetzbuch oder zur Erfüllung einer solchen Aufgabe von ausländischen Stellen erforderlich ist, soweit diese Aufgaben wahrnehmen, die denen der in § 35 des Ersten Buches genannten Stellen entsprechen,

2. die Voraussetzungen des § 69 Abs. 1 Nr. 3 oder des § 70 oder einer Übermittlungsvorschrift nach dem Dritten Buch oder dem Arbeitnehmerüberlassungsgesetz vorliegen und die Aufgaben der ausländischen Stelle den in diesen Vorschriften genannten entsprechen oder

3. die Voraussetzungen des § 74 vorliegen und die Rechte des Empfängers den in dieser Vorschrift genannten entsprechen.

(2) Absatz 1 gilt entsprechend für die Übermittlung an Personen oder Stellen in ein Drittland sowie an über- und zwischenstaatliche Stellen, wenn das Drittland oder die über- und zwischenstaatliche Stelle ein angemessenes Datenschutzniveau gewährleistet. Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Sozialdaten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. Bis zur Feststellung der Kommission der Europäischen Gemeinschaften entscheidet das Bundesversicherungsamt, ob ein angemessenes Datenschutzniveau gewährleistet ist.

(3) Eine Übermittlung von Sozialdaten an Personen oder Stellen im Ausland oder an über- und zwischenstaatliche Stellen ist auch zulässig, wenn

1. der Betroffene seine Einwilligung gegeben hat,

2. die Übermittlung in Anwendung zwischenstaatlicher Übereinkommen auf dem Gebiet der sozialen Sicherheit erfolgt oder

3. die Voraussetzungen des § 69 Abs. 1 Nr. 2 oder des § 73 vorliegen, die Aufgaben der ausländischen Stelle den in diesen Vorschriften genannten entsprechen und der ausländische Staat oder die über- und zwischenstaatliche Stelle ein angemessenes Datenschutzniveau (Absatz 2) gewährleistet; für die Anordnung einer Übermittlung nach § 73 ist ein Gericht im Inland zuständig.

Die Übermittlung ist nur zulässig, soweit der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.

(4) Gewährleistet das Drittland oder die über- und zwischenstaatliche Stelle ein angemessenes Datenschutzniveau (Absatz 2) nicht, ist die Übermittlung von Sozialdaten an diese Stelle auch zulässig, soweit die Voraussetzungen des § 69 Abs. 1 Nr. 1 und 2, des § 70 oder einer Übermittlungsvorschrift nach dem Dritten Buch oder dem Arbeitnehmerüberlassungsgesetz vorliegen und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.

(5) Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, daß die übermittelten Sozialdaten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.

(6) Das Bundesversicherungsamt unterrichtet das Bundesministerium des Innern über Drittländer und über- und zwischenstaatliche Stellen, die kein angemessenes Datenschutzniveau gewährleisten."

10. § 78 wird wie folgt geändert:

a) In der Überschrift werden die Wörter "des Empfängers" durch die Wörter "eines Dritten, an den Daten übermittelt werden" ersetzt.

b) In Absatz 1 Satz 2 und 3 wird jeweils das Wort "Empfänger" durch das Wort "Dritten" ersetzt.

11. In § 78 a Satz 1 werden vor dem Wort "verarbeiten" das Wort "erheben," und nach dem Wort "verarbeiten" die Wörter "oder nutzen" eingefügt.

12. Nach § 78 a werden folgende Paragraphen eingefügt:

"§ 78 b
Datenvermeidung und Datensparsamkeit

Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig Sozialdaten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

§ 78 c
Mobile personenbezogene Speicher- und Verarbeitungsmedien

(1) Vor der Ausgabe mobiler personenbezogener Speicher- und Verarbeitungsmedien ist der Betroffene darüber zu unterrichten,

1. welche Stellen oder Kategorien von Stellen zu welchen Arten von Daten zu welchen Zwecken in welcher Weise zugreifen und diese verarbeiten können,

2. welche Verarbeitungsbeschränkungen bestehen oder vom Betroffenen bewirkt werden können,

3. wie und nach welchen Regeln Daten automatisch gelöscht werden oder auf Veranlassung des Betroffenen oder einer nutzenden Stelle gelöscht werden können,

4. welche Maßnahmen vom Betroffenen bei Verlust oder beim Verdacht nicht ordnungsgemäßer Verarbeitung zu ergreifen sind,

5. wo der Betroffene seine ihm nach diesem Gesetzbuch zustehenden Rechte geltend machen kann (verantwortliche Stelle).

(2) Sofern zur Wahrnehmung der Informationsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür Sorge zu tragen, daß diese in angemessenem Umfang zur Verfügung stehen.

(3) Verantwortliche Stelle ist diejenige, die Kontrolle über das Verfahren oder über den jeweiligen Verfahrensteil hat.

(4) Die Tatsache der Kommunikation zwischen dem mobilen Speicher- und Verarbeitungsmedium und einem elektronischen Lese- oder Schreibgerät und die verantwortliche Stelle müssen für den Betroffenen erkennbar sein.

§ 78 d
Datenschutzaudit

Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt."

13. § 79 wird wie folgt geändert:

a) In Absatz 2 Satz 2 Nr. 2 wird das Wort "Datenempfänger" durch die Wörter "Dritte, an die übermittelt wird" ersetzt.

b) In Absatz 4 Satz 1 wird das Wort "Empfänger" durch die Wörter "Dritte, an den übermittelt wird" ersetzt.

14. § 80 wird wie folgt geändert:

a) Die Überschrift wird wie folgt gefaßt:

"Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag"

b) In Absatz 1 Satz 1 wird nach dem Wort "Stellen" die Angabe "erhoben," eingefügt.

c) In Absatz 2 werden die Sätze 1 und 2 wie folgt gefaßt:

"Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind."

d) In Absatz 3 Satz 1 werden die Nummern 2 und 3 wie folgt gefaßt:

"2. die Art der Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden sollen, und den Kreis der Betroffenen,

3. die Aufgabe, zu deren Erfüllung die Erhebung, Verarbeitung oder Nutzung der Daten im Auftrag erfolgen soll, sowie".

e) In Absatz 5 wird vor den Wörtern "Verarbeitung oder Nutzung" das Wort "Erhebung," eingefügt.

f) In Absatz 6 Satz 1 wird die Angabe "§ 18 Abs. 2 und 3 und die §§ 24, 25, 26 Abs. 1 bis 4 des Bundesdatenschutzgesetzes" durch die Angabe "§ 4 g Abs. 2, § 18 Abs. 2 und die §§ 24 bis 26 des Bundesdatenschutzgesetzes" ersetzt.

g) Nach Absatz 6 wird folgender Absatz 7 angefügt:

"(7) Die Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der verantwortlichen Stelle gilt als Datenverarbeitung im Auftrag im Sinne von Absatz 1 Satz 1."

15. § 81 wird wie folgt geändert:

a) Absatz 2 Satz 1 wird wie folgt gefaßt:

"Bei der Wahrnehmung von Aufgaben nach diesem Gesetzbuch gelten für die in § 35 des Ersten Buches genannten Stellen die §§ 24 bis 26 des Bundesdatenschutzgesetzes."

b) Absatz 4 wird wie folgt gefaßt:

"(4) Auf die in § 35 des Ersten Buches genannten Stellen und die Vermittlungsstellen nach § 67 d Abs. 4 sind die §§ 4 f, 4 g und 18 Abs. 2 des Bundesdatenschutzgesetzes entsprechend anzuwenden, auch soweit es sich um landesunmittelbare Sozialversicherungsträger und ihre Verbände handelt. Absatz 2 Satz 2 und 3 gilt. In räumlich getrennten Organisationseinheiten ist sicherzustellen, daß der Beauftragte für den Datenschutz bei der Erfüllung seiner Aufgaben unterstützt wird."

16. § 82 wird wie folgt gefaßt:

§ 82

Schadensersatz

Fügt eine in § 35 des Ersten Buches genannte Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzbuches oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Sozialdaten schuldhaft einen Schaden zu, ist § 7 des Bundesdatenschutzgesetzes entsprechend anzuwenden. Für den Ersatz des Schadens bei unzulässiger oder unrichtiger automatisierter Erhebung, Verarbeitung oder Nutzung von personenbezogenen Sozialdaten gilt auch § 8 des Bundesdatenschutzgesetzes entsprechend."

17. § 83 wird wie folgt geändert:

a) Absatz 1 wird wie folgt geändert:

aa) Satz 1 wird wie folgt gefaßt:

"Dem Betroffenen ist auf Antrag Auskunft zu erteilen über

1. die zu seiner Person gespeicherten Sozialdaten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,

2. die Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und

3. den Zweck der Speicherung."

bb) In Satz 3 werden die Wörter "in Akten" durch die Wörter "nicht automatisiert oder nicht in Dateien" ersetzt.

cc) In Satz 4 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.

b) Absatz 2 wird wie folgt gefaßt:

"(2) Für Sozialdaten, die nur deshalb gespeichert sind, weil sie auf Grund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, gilt Absatz 1 nicht, wenn eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde."

c) In Absatz 4 Nr. 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

18. § 84 wird wie folgt geändert:

a) In der Überschrift wird nach dem Wort "Daten" das Wort "; Widerspruchsrecht" angefügt.

b) Absatz 1 Satz 2 wird wie folgt gefaßt:

"Wird die Richtigkeit von Sozialdaten von dem Betroffenen bestritten und läßt sich weder die Richtigkeit noch die Unrichtigkeit der Daten feststellen, bewirkt dies keine Sperrung, soweit es um die Erfüllung sozialer Aufgaben geht; die ungeklärte Sachlage ist in geeigneter Weise festzuhalten."

c) Nach Absatz 1 wird folgender Absatz eingefügt:

"(1a) § 20 Abs. 5 des Bundesdatenschutzgesetzes gilt entsprechend."

d) In Absatz 2 Satz 2 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.

e) In Absatz 4 Nr. 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

f) Absatz 5 wird wie folgt gefaßt:

"(5) Von der Tatsache, daß Sozialdaten bestritten oder nicht mehr bestritten sind, von der Berichtigung unrichtiger Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen."

19. § 84 a Abs. 2 wird wie folgt geändert:

a) In Satz 1 werden die Wörter ",die speichernde Stelle festzustellen," durch die Wörter "festzustellen, welche Stelle die Daten gespeichert hat," ersetzt.

b) In Satz 2 werden die Wörter "speichernde Stelle" durch die Wörter "Stelle, die die Daten gespeichert hat," ersetzt.

c) In Satz 3 werden die Wörter "die speichernde" durch das Wort "jene" ersetzt.

20. § 85 wird wie folgt geändert:

a) Die Absätze 1 und 2 werden wie folgt gefaßt:

"(1) Wer unbefugt Sozialdaten, die nicht offenkundig sind,

1. erhebt oder verarbeitet,

2. zum Abruf mittels automatisierten Verfahrens bereithält oder

3. abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder Dateien verschafft,

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer

1. die Übermittlung von Sozialdaten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht oder

2. entgegen § 67 c Abs. 5 Satz 1 oder § 78 Abs. 1 Satz 1 die Sozialdaten für andere Zwecke nutzt, in dem er sie an Dritte weitergibt."

b) Absatz 4 wird wie folgt gefaßt:

"(4) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, der Bundesbeauftragte für den Datenschutz oder der zuständige Landesbeauftragte für den Datenschutz."

21. In § 85 a Abs. 1 Nr. 3 wird die Angabe "§ 36 Abs. 1" durch die Angabe "§ 4 f Abs. 1" ersetzt.

22. Nach § 85 a wird vor dem Dritten Kapitel folgender Paragraph eingefügt:

"§ 85 b
Übergangsvorschriften

Erhebungen, Verarbeitungen oder Nutzungen von Sozialdaten, die am $___$ [ Tag des Inkrafttretens dieses Gesetzes] bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen."

23. Die Anlage zu § 78 a wird wie folgt gefaßt:

"Werden Sozialdaten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Sozialdaten oder Kategorien von Sozialdaten geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen Sozialdaten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, daß Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und daß Sozialdaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, daß Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und daß überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, ob und von wem Sozialdaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, daß Sozialdaten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, daß Sozialdaten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, daß zu unterschiedlichen Zwecken erhobene Sozialdaten getrennt verarbeitet werden können."

Artikel 9
Inkrafttreten

Artikel 1 § 20 Abs. 5 und § 35 Abs. 5 sowie Artikel 8 § 84 Abs. 1 a treten am ersten Tage des 36. auf die Verkündung folgenden Kalendermonats in Kraft. Im übrigen tritt dieses Gesetz am Tage nach der Verkündung in Kraft.

 

Begründung

Zu Artikel 1 (Änderung des Bundesdatenschutzgesetzes)

A. Allgemeines

1. Allgemeine Vorgaben

1.1 Zielsetzung

Der Gesetzentwurf dient der Anpassung des Bundesdatenschutzgesetzes (BDSG) an die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG L Nr. 281 vom 23. November 1995, S. 31 ff; im folgenden: Richtlinie).

Die Richtlinie ist am 13. Dezember 1995 in Kraft getreten.

Die Richtlinie konkretisiert und ergänzt die Grundsätze der Datenschutzkonvention des Europarates von 1981 (BGBl. 1985 II, S. 538 ff). Sie erweitert die Informationsrechte des Bürgers und verpflichtet die Mitgliedstaaten zur Einrichtung staatlicher Kontrollstellen, die die Einhaltung der in Umsetzung der Richtlinie geschaffenen nationalen Vorschriften überwachen.

Durch die Richtlinie wird ein einheitliches Datenschutzniveau für die Ausführung und Anwendung des Gemeinschaftsrechts durch die Mitgliedstaaten der EU geschaffen. Daher ist der innergemeinschaftliche Datenverkehr innerhalb des Anwendungsbereichs der Richtlinie künftig dem inländischen gleichzustellen. Für den Austausch personenbezogener Daten mit Drittländern sieht die Richtlinie ebenfalls die grundsätzliche Geltung der gemeinschaftlichen Standards vor, ohne den Wirtschaftsverkehr unangemessen zu beeinträchtigen.

1.2 Gesetzgebungskompetenz

Eine ausdrückliche Kompetenz des Bundes zu einer umfassenden Regelung der Querschnittsmaterie des Datenschutzes enthält das Grundgesetz nicht. Die Gesetzgebungskompetenz des Bundes ergibt sich aber im Rückgriff auf die dem Bund zustehenden Gesetzgebungskompetenzen für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. So folgt im Anwendungsbereich der öffentlichen Verwaltung die Gesetzgebungsbefugnis aus der Annexkompetenz des Verwaltungsverfahrens zu den jeweiligen Sachkompetenzen der Artikel 73 bis 75 des Grundgesetzes (GG). Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, soweit diese Bundesrecht ausführen, erlassen werden.

Für die gesetzliche Regelung im nicht-öffentlichen Bereich beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also insbesondere auf Artikel 74 Nr. 1, 11 und 12 GG. Im Hinblick auf die Gegenstände der konkurrierenden Gesetzgebung ist maßgeblich, daß ein unterschiedlicher Datenschutzstandard im nicht-öffentlichen Bereich gravierende Auswirkungen auf die hierdurch in erster Linie betroffene Wirtschaft hätte, die in ihrer unternehmerischen Tätigkeit durch im Kern unterschiedliche Länderregelungen gehemmt würde. Eine einheitliche Regelung durch den Bund zur Erzielung eines einheitlichen Datenschutzstandards ist daher zur Wahrung der Rechts- und Wirtschaftseinheit im gesamtstaatlichen Interesse zwingend erforderlich.

1.3 Kosten

Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in dem erforderlichen Umfang umzusetzen und dabei von den zur Verfügung stehenden Optionen in einer für Bund, Länder, Gemeinden und Wirtschaft möglichst kostengünstigen Weise Gebrauch zu machen. Die geplante Regelung wird voraussichtlich durch folgende Änderungen zu Mehrbelastungen der Wirtschaft und Verwaltung führen:

Durch die Aufnahme des Grundsatzes der Datenvermeidung und -sparsamkeit und des Vorrangs pseudonymer und anonymer Formen der Datenverarbeitung (§ 3 a), die Einführung von Informationspflichten im Rahmen der Erhebung personenbezogener Daten beim Betroffenen auch im nicht-öffentlichen Bereich (§ 4 Abs. 3) und vor der Ausgabe mobiler personenbezogener Speicher- und Verarbeitungsmedien (§ 6 c), die Verpflichtung zur Kenntlichmachung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (§ 6 b), die prinzipielle Benachrichtigungspflicht gegenüber dem Betroffenen im öffentlichen Bereich (§ 19 a), die Einführung eines Auskunftsrechts bei sog. automatisierten Einzelentscheidungen (§ 6 a Abs. 3), die Modifizierung der bestehenden Meldepflicht für nicht-öffentliche Stellen, Einführung der sog. Vorabkontrolle für bestimmte Dateien (§ 4 d Abs. 5) sowie die obligatorische Bestellung von behördlichen Datenschutzbeauftragten im öffentlichen Bereich.

Im Einzelnen:

Durch die Einführung des Grundsatzes der Datenvermeidung und -sparsamkeit in § 3 a soll Einfluß auf die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden, genommen werden. Insbesondere in Verbindung mit dem Vorrang pseudonymer und anonymer Formen der Datenverarbeitung sind daher Mehrausgaben im Bereich der EDV sowohl für die Unternehmen als auch für die Verwaltung vorstellbar. Da der Grundsatz der Datenvermeidung und -sparsamkeit erstmalig in das allgemeine Datenschutzrecht aufgenommen wird, sind konkrete Aussagen hierzu jedoch derzeit nicht möglich.

Im Gegensatz zur bisherigen Rechtslage sind nunmehr auch nicht-öffentliche Stellen, die personenbezogene Daten beim Betroffenen erheben, nach § 4 Abs. 3 diesem gegenüber u.a. zur Nennung der Identität der verantwortlichen Stelle sowie der Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung verpflichtet. Die Rechtsänderung beruht auf den Vorgaben von Artikel 10 der Richtlinie. Betroffen sind alle Wirtschaftsunternehmen, die personenbezogene Daten beim Betroffenen erheben. Es ist davon auszugehen, daß die Unternehmen ihrer Verpflichtung vorwiegend durch Ergänzungen ihrer formularmäßigen Hinweise nachkommen werden.

Die erstmals in das allgemeine Datenschutzrecht aufgenommene Regelung mobiler personenbezogener Speicher- und Verarbeitungsmedien (§ 6 c) sieht eine Reihe von Informationspflichten vor der Ausgabe derartiger Medien vor.

Betroffen sind diejenigen Wirtschaftsunternehmen, die sich derartiger Medien bedienen wollen. Es ist davon auszugehen, daß die Unternehmen ihren Informationspflichten vorwiegend durch Ergänzungen ihrer formularmäßigen Hinweise nachkommen werden.

Die Pflicht zur Kenntlichmachung des Umstandes der Beobachtung und der verantwortlichen Stelle im Rahmen der Beobachtung öffentlich zugänglicher Räme mit optisch-elektronischen Einrichtungen (§ 6 b Abs. 2) betrifft sowohl die Unternehmen als auch die Verwaltung. Da diese Kenntlichmachungspflicht nach den bereits bestehenden Erfahrungen im Regelfall durch entsprechende Hinweisschilder erfüllt wird, kann davon ausgegangen werden, daß die hierdurch verursachte Mehrbelastung im unteren Bereich anzusiedeln sein dürfte.

Die aufgrund von Artikel 11 der Richtlinie einzuführende Benachrichtigungspflicht des Betroffenen im öffentlichen Bereich über die Speicherung bzw. Übermittlung seiner Daten wird sich angesichts des weitgehenden Ausnahmekatalogs (vgl. § 19 a Abs. 2) für die öffentlichen Stellen nahezu kostenneutral auswirken.

Die Richtlinie verpflichtet in Artikel 12 Buchstabe a dritter Spiegelstrich zur Schaffung eines Auskunftsrechts über den "logischen Aufbau automatisierter Verarbeitungen". Dieses neue Auskunftsrecht war gemäß der Richtlinie "zumindest im Fall automatisierter Entscheidungen" zwingend umzusetzen. Nur in diesem Bereich wurde es umgesetzt durch die Einstellung in § 6 a Abs. 3. Betroffen sind hiervon die öffentliche Verwaltung und alle Wirtschaftsunternehmen, die automatisierte Einzelentscheidungen im Sinne des § 6 a treffen. In der Vorschrift werden alle Ausnahmen vom Verbot derartiger automatisierter Einzelentscheidungen ausgeschöpft (§ 6 a Abs. 2). Der Anwendungsbereich der Vorschrift und somit auch des Auskunftsrechts wird daher eher gering sein, die zu erwartende Mehrbelastung der öffentlichen Verwaltung und der betroffenen Wirtschaftsunternehmen dürfte im unteren Bereich anzusiedeln sein.

Im Hinblick auf die Meldepflicht für Dateien von Wirtschaftsunternehmen macht der Gesetzentwurf - ausgehend von dem in Artikel 18 Abs. 1 zwingend vorgeschriebenen Prinzip der allgemeinen Meldepflicht - Gebrauch von der Option, von der Meldepflicht abzusehen, sofern entweder ein betrieblicher/behördlicher Datenschutzbeauftragter bestellt wird oder es sich um eine sog. weniger beeinträchtigende Verarbeitung handelt (Artikel 18 Abs. 2 erster und zweiter Spiegelstrich der Richtlinie). Der Entwurf zielt auf die möglichst weitgehende Abschaffung von Meldepflichten und setzt daher beide Ausnahmen von der Meldepflicht um (§ 4 d Abs. 2 und 3). Für den öffentlichen Bereich hat dies die völlige Abschaffung der Meldepflicht und damit auch den Verzicht auf das beim Bundesbeauftragten für den Datenschutz eingerichtete Register der bei öffentlichen Stellen des Bundes geführten automatisierten Dateien zur Folge. Im nicht-öffentlichen Bereich verbleibt es bei der derzeit bereits geltenden Verpflichtung, betriebliche Datenschutzbeauftragte zu bestellen, soweit mehr als vier Arbeitnehmer mit automatisierter Datenverarbeitung beschäftigt sind. In diesem Fall entfällt zukünftig die Meldepflicht. Zur Vermeidung der Meldepflicht kann ein betrieblicher Datenschutzbeauftragter auch auf freiwilliger Basis bestellt werden (§ 4 d Abs. 2 Satz 2). In den übrigen Fällen besteht eine Meldepflicht, sofern es sich nicht um "weniger beeinträchtigende Verarbeitungen" handelt. Diese Voraussetzung wird häufig bei der Datenverarbeitung von kleinen und mittleren Betrieben vorliegen, deren Datenbestand sich regelmäßig auf Daten wie Name und Adresse beschränken wird. Auch bei der Verarbeitung sensitiver Daten nach § 3 Abs. 9 ist eine Beeinträchtigung im Rahmen alltäglicher Vertragsverhältnisse (Sanitätshäuser, Optiker, Fitnesstudios) und bei Vorliegen anderer geeigneter Garantien (§ 203 StGB in Verbindung mit den jeweiligen berufsständischen Regelungen) zu verneinen. Auch in diesen Fällen entfällt die Meldepflicht.

Die in § 4 d Abs. 5 vorgesehene Vorabkontrolle betrifft Unternehmen, die meldepflichtig sind und besonders risikoreiche Datenverarbeitungen durchführen sowie den Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien. Da es sich bei der Vorabkontrolle um eine neue Einrichtung handelt, ist der damit verbundene Zeit- und Kostenaufwand noch nicht absehbar. Zuständig für die Durchführung der Vorabkontrolle ist der betriebliche Datenschutzbeauftragte bzw. falls ein solcher nicht bestellt worden ist, die Aufsichtsbehörde.

Der Arbeitsaufwand des betrieblichen Datenschutzbeauftragten wird durch zwei neue Aufgaben vermutlich nur geringfügig erhöht: Die bereits erwähnte Vorabkontrolle sowie die ebenfalls durch den betrieblichen Datenschutzbeauftragten zu erfüllende Aufgabe nach § 4 g Abs. 2 Satz 2, Dateiübersichten "auf Antrag jedermann in geeigneter Weise verfügbar zu machen". Diese zweite Aufgabe beruht auf Artikel 21 Abs. 3 der Richtlinie. Sie obliegt auch dem behördlichen Datenschutzbeauftragten, der bereits jetzt in allen obersten Bundesbehörden ohne bisherige gesetzliche Verpflichtung existiert. Mit Blick auf die vergleichbaren Regelungen in § 38 Abs. 2 Satz 3 und § 26 Abs. 5 Satz 4 BDSG a.F. (Einsichtsrecht in das Register der Aufsichtsbehörden und des Bundesbeauftragten für den Datenschutz), die in der Praxis kaum eine Rolle gespielt haben, ist insoweit nicht von einer wesentlichen Mehrbelastung der betrieblichen bzw. behördlichen Datenschutzbeauftragten auszugehen. Die Auskunft kann im übrigen in pauschalierter Form erfolgen.

2. Wesentliche Inhalte des Gesetzentwurfs

2.1 Grundzüge der Novellierung

Der Anwendungsbereich der Richtlinie ist beschränkt auf den Geltungsbereich des EG-Vertrages. Die Datenverarbeitung von Polizei- und Nachrichtendiensten ist daher von der Richtlinie nicht unmittelbar berührt. Allerdings erscheint es nicht sinnvoll, eine lediglich auf den Geltungsbereich des EG-Vertrages beschränkte Anpassung des Bundesdatenschutzgesetzes vorzunehmen. Sonst würden unterschiedliche Regelungen gelten, je nachdem, ob Gemeinschaftsrecht oder ausschließlich deutsches Recht auszuführen und anzuwenden ist. Dies wäre mit dem Querschnittscharakter und der subsidiären Geltung des Bundesdatenschutzgesetzes nicht vereinbar.

Die Transparenz der Datenverarbeitung für den Bürger wurde u.a. erhöht durch die Ausdehnung der Benachrichtigungspflicht des Betroffenen von der Speicherung / Weitergabe seiner Daten auch auf den öffentlichen Bereich, durch eine grundsätzliche Informationspflicht des Betroffenen bei der Erhebung seiner Daten auch im nicht-öffentlichen Bereich und eine geringfügige Erweiterung des Auskunftsrechts. Ebenfalls der Bürgerfreundlichkeit dient die Vorschrift des § 6 a, wonach belastende Entscheidungen, die aufgrund von Persönlichkeitsprofilen ohne zusätzliche Überprüfung durch einen Menschen erfolgen, grundsätzlich verboten sind.

Die Richtlinie sieht eine Reihe von Restriktionen im Zusammenhang mit der Verarbeitung sog. sensitiver Daten vor, die den Bürger in diesem empfindlichen Bereich besonders schützen sollen. Die Richtlinie versteht unter sensitiven Daten solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben. In Umsetzung der Vorgaben der Richtlinie unterliegt nun der Umgang mit diesen Daten besonderen Kautelen sowohl im öffentlichen als auch im nicht-öffentlichen Bereich.

Wichtig unter dem Aspekt der Erhaltung der unternehmerischen Freiheit und möglichst uneingeschränkter wirtschaftlicher Betätigung ist die Neuregelung der Übermittlung personenbezogener Daten in Drittländer. Übermittlungen personenbezogener Daten dürfen grundsätzlich nur bei Vorliegen eines angemessenen Datenschutzniveaus im Drittland vorgenommen werden. Durch einen breiten Ausnahmekatalog wird aber sichergestellt, daß der Wirtschaftsverkehr mit Drittländern nicht unangemessen beeinträchtigt wird.

Der Entbürokratisierung dient die Neuregelung der Meldepflicht automatisierter Dateien. Diese ist dahingehend modifiziert worden, daß die in der Richtlinie vorgesehene Möglichkeit der Einschränkung der allgemeinen Meldepflicht weitestgehend genutzt wurde. So entfällt nach der Regelung des § 4 d Abs. 2 die Meldepflicht, wenn die speichernde Stelle einen internen Datenschutzbeauftragten bestellt hat und im Falle des Vorliegens einer weniger beeinträchtigenden Verarbeitung (§ 4 d Abs. 3). Da durch § 4 f Abs. 1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird, kann die Meldepflicht im öffentlichen Bereich vollständig entfallen.

Die Wahrung des sog. Medienprivilegs wird in weitem Umfang gewährleistet. Die durch die Richtlinie erforderlich gewordene Erweiterung des Anwendungsbereichs für Unternehmen der Presse oder des Films wurde restriktiv vorgenommen.

2.2 Die wesentlichen Änderungen aufgrund der Richtlinie im einzelnen

— Der Anwendungsbereich des Bundesdatenschutzgesetzes war durch die Vorschrift des § 1 Abs. 5 zu ergänzen: Diese betrifft zum einen die Datenverarbeitung innerhalb der Europäischen Union. Das Bundesdatenschutzgesetz kommt hier nicht zur Anwendung, wenn die Verarbeitung personenbezogener Daten durch eine verantwortliche Stelle eines anderen Mitgliedstaates der Europäischen Union im Inland ausgeführt wird. Als Ausnahme dieser Regelung findet das Bundesdatenschutzgesetz aber Anwendung, sofern die verantwortliche Stelle eine Niederlassung im Inland unterhält. Zum anderen soll mit der Vorschrift verhindert werden, daß ein möglicherweise geringerer Datenschutzstandard als der in den Mitgliedstaaten der Europäischen Union vorhandene in den Fällen zur Geltung kommt, in denen Datenerhebungen, -verarbeitungen oder -nutzungen innerhalb der Europäischen Union durch außerhalb der Europäischen Union belegene speichernde Stellen vorgenommen werden.

Darüber hinaus waren die Kriterien für den sachlichen Anwendungsbereich des Bundesdatenschutzgesetzes insofern in Übereinstimmung mit Artikel 3 Abs. 1 der Richtlinie zu bringen, als es bei automatisierten Verarbeitungen nicht mehr auf den Dateibegriff ankommt. Das Kriterium der Datei ist nur noch von Bedeutung, soweit es um die nicht-automatisierte Verarbeitung personenbezogener Daten geht.

— Da die Richtlinie die Erhebung personenbezogener Daten als Teil der Verarbeitung begreift, das Bundesdatenschutzgesetz bisher aber nur die Erhebung für den öffentlichen Bereich regelt, bedurfte es der Einführung eines Gesetzesvorbehaltes auch für die Erhebung im nicht-öffentlichen Bereich.

— Im Gegensatz zur bisherigen Rechtslage kommt dem Begriff des "Empfängers" nunmehr neben dem des "Dritten" eigenständige Bedeutung zu. Er war daher in § 3 Abs. 8 zu definieren, seine bisherige Verwendung im Bundesdatenschutzgesetz anzupassen.

— Die Übermittlung personenbezogener Daten in Drittländer wurde in § 4 b und § 4 c neu geregelt. Diese Vorschriften sollen zum einen ein koordiniertes Verhalten der Mitgliedstaaten beim Transfer in Drittländer sicherstellen und zum anderen - durch einen breiten Katalog von Ausnahmebestimmungen - dafür Sorge tragen, daß der Wirtschaftsverkehr mit Drittländern nicht unangemessen beeinträchtigt wird.

Da nach Umsetzung der Richtlinie durch die Mitgliedstaaten der Europäischen Union innerhalb des Anwendungsbereichs der Richtlinie von einem angemessenen Datenschutzniveau innerhalb der Europäischen Union auszugehen ist, gelten insoweit die §§ 15, 16 und 28 ff.

— In den neu eingefügten §§ 4 d und 4 e ist die Meldepflicht für automatisierte Dateien öffentlicher und nicht-öffentlicher Stellen geregelt.

Nach der Regelung des § 4 d Abs. 2 und 3 entfällt die Meldepflicht, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat oder eine weniger beeinträchtigende Verarbeitung vorliegt. Damit kann die Meldepflicht im öffentlichen Bereich vollständig entfallen, da durch § 4 f Abs. 1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird. Neu ist die sog. Vorabkontrolle, d.h. bestimmte automatisierte Dateien werden vor Inbetriebnahme einer Prüfung durch den Datenschutzbeauftragten unterzogen.

— Die neue Vorschrift des § 6 a beinhaltet die Regelung der sog. automatisierten Einzelentscheidung. Durch die Vorschrift soll verhindert werden, daß Entscheidungen ausschließlich aufgrund von automatisiert erstellten Persönlichkeitsprofilen getroffen werden, ohne daß eine Person den Sachverhalt erneut überprüft hat.

— Die Regelungen über die Erhebung und zweckändernde Verarbeitung personenbezogener Daten waren sowohl im öffentlichen als auch im nicht-öffentlichen Bereich um Sonderregelungen hinsichtlich sog. sensitiver Daten zu ergänzen (§§ 13, 14 Abs. 5, 28 Abs. 6 und 7, 29 Abs. 5, 30 Abs. 5). Entsprechendes gilt für die Voraussetzungen der Einwilligung, § 4 a Abs. 3.

— Der neu geschaffene § 19 a führt eine Benachrichtigungspflicht im öffentlichen Bereich für die Fälle ein, in denen Daten nicht beim Betroffenen selbst erhoben werden.

— Da die Richtlinie keine Beschränkung der Datenschutzkontrolle auf eine Anlaßkontrolle vorsieht, wie sie in § 38 Abs. 1 und § 24 Abs. 1 Satz 2 a.F. geregelt war, waren die entsprechenden Einschränkungen zu streichen. Darüber hinaus war in Übereinstimmung mit dem Wortlaut von Artikel 28 Abs. 1 Satz 2 der Richtlinie die Rechtstellung der Aufsichtsbehörden im nicht-öffentlichen Bereich dahingehend zu verändern, daß diese in Ausübung ihrer Rechte unabhängig und nur dem Gesetz unterworfen sind.

— Die neue Vorschrift des § 38 a beinhaltet Regelungen im Zusammenhang mit den sog. Verhaltensregeln zur Förderung der ordnungsgemäßen Durchführung datenschutzrechtlicher Regelungen, die u.a. eine Vereinheitlichung derartiger interner Regeln bewirken sollen. Berufsverbände und ähnliche Vereinigungen erhalten die Möglichkeit, von ihnen erarbeitete Verhaltensregeln der Aufsichtsbehörde zur Überprüfung vorzulegen. Diese ist verpflichtet, derartige Entwürfe auf ihre Vereinbarkeit mit dem geltenden Recht zu überprüfen.

Die Vorschrift des § 41, die die Verarbeitung und Nutzung personenbezogener Daten durch Medien regelt, ist als Rahmenvorschrift für die Landesgesetzgebung ausgestaltet worden. Der Anwendungsbereich der Datenschutzbestimmungen für die Medien ist auf die Vorschriften über den betrieblichen Datenschutzbeauftragten, das Verbot automatisierter Einzelentscheidungen, die Haftung, die besondere Zweckbindung, die Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen, ein Auskunfts- und Berichtigungsrecht für den Betroffenen und eine Bußgeldvorschrift erweitert worden. Auch der Anwendungsbereich des sog. Medienprivilegs war zu erweitern, da nunmehr auch die Verarbeitung personenbezogener Daten zu literarischen Zwecken hiervon erfaßt wird.

— Die Anlage zu § 9 wurde gestrafft, um die Anforderungen der Richtlinie ergänzt, sprachlich überarbeitet sowie den heutigen Gegebenheiten der Informations- und Kommunikationstechnik angepaßt.

2.3 Sonstige wesentliche Änderungen des Bundesdatenschutzgesetzes

Neben den unmittelbar durch die Umsetzung der Datenschutzrichtlinie bedingten Änderungen des Bundesdatenschutzgesetzes sieht diese Novelle folgende neue Regelungen vor:

Der Grundsatz der Datenvermeidung und -sparsamkeit (§ 3 a) besagt, daß sich die Gestaltung und Auswahl von Systemen der Datenverarbeitungsanlagen an dem Ziel auszurichten hat, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Die Regelung soll dazu führen, daß durch den gezielten Einsatz datenschutzfreundlicher Technik die Gefahren für das informationelle Selbstbestimmungsrecht der Betroffenen reduziert werden.

Die in weiten Bereichen durch öffentliche und nicht-öffentliche Stellen bereits durchgeführte Videoüberwachung öffentlich zugänglicher Räume erhält durch die Vorschrift des § 6 b eine gesetzliche Grundlage, die der Wahrung des informationellen Selbstbestimmungsrechts durch einen angemessenen Interessensausgleich Rechnung trägt.

Die neuen mobilen Speicher- und Verarbeitungsmedien finden zunehmend im öffentlichen wie im nicht-öffentlichen Bereich Verwendung. Vielfach erfolgt sowohl ihre Ausgabe wie auch ihre Verwendung im Einzelfall auf Wunsch des Betroffenen oder im Rahmen rechtsgeschäftlicher Beziehungen des Betroffenen mit den beteiligten Stellen. Im Vordergrund der Regelung des § 6 c steht daher die Sicherung der tatsächlichen, insbesondere informatorischen Voraussetzungen dafür, daß der einzelne sein informationelles Verhalten kompetent steuern kann. Hierzu muß er insbesondere erkennen können, welche Möglichkeiten ihm und den beteiligten Stellen eingeräumt werden, wenn er beispielsweise eine Chipkarte benutzt. Dem dienen die Unterrichtungspflichten der neuen Vorschrift.

Die neue Regelung des Datenschutzaudits (§ 9 a) verfolgt das Ziel, datenschutzfreundliche Produkte auf dem Markt zu fördern, indem deren Datenschutzkonzept geprüft und bewertet wird.

Bereits bei der Novellierung des BDSG 1990 waren zuvor bestehende Unsicherheiten in der Rechtsanwendungspraxis hinsichtlich personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, durch Klarstellung im Rahmen der damaligen Neufassung von § 24 Abs. 1 und 2 beseitigt worden. Keine ausdrückliche Regelung bestand für die Kontrolle des Bundesbeauftragten für den Datenschutz hinsichtlich der von öffentlichen Stellen des Bundes erlangten personenbezogenen Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs. Vielmehr verwehrte § 24 Abs. 2 Satz 3 a.F., der den Inhalt des Post- und Fernmeldeverkehrs von der Kontrolle ausnahm, es dem Bundesbeauftragten für den Datenschutz, die Verwendung der durch Eingriffe in das Brief-, Post- und Fernmeldegeheimnis erlangten Daten zu kontrollieren. Dies soll mit der neuen Regelung des § 24 Abs. 2 ermöglicht werden.

Der neu eingefügte § 29 Abs. 3 beinhaltet eine Regelung, mit der folgendes erreicht wird: In den Fällen, in denen es sich bei Herausgebern elektronischer oder gedruckter Verzeichnisse nicht um Diensteanbieter im Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) handelt, bestand bisher nur unzureichender Schutz der Betroffenen vor nicht gewollten Eintragungen in diese Verzeichnisse. Diese Regelungslücke schließt der neue § 29 Abs. 3.

 

2.4 Ausblick

Der vorliegende Gesetzentwurf sieht Änderungen des Bundesdatenschutzgesetzes überwiegend in dem Umfang vor, den die Richtlinie vorgibt. Noch in dieser Legislaturperiode soll eine umfassende Neukonzeption des BDSG verabschiedet werden, die das Gesetz modernisiert, vereinfacht und seine Lesbarkeit erhöht sowie geprüft werden, inwieweit die in der Richtlinie für Zwecke der Forschung eingeräumten Spielräume genutzt werden sollen.

Ferner soll die Beratungs- und Servicefunktion der Datenschutzbeauftragten ausgebaut und gestärkt werden. Ziel dieser Neufassung ist die Verbesserung und Vereinheitlichung des Schutzes der Betroffenen im öffentlichen und im privaten Bereich.

Darüber hinaus wird im Laufe dieser Legislaturperiode das gesamte bereichsspezifische Datenschutzrecht daraufhin zu überprüfen sein, ob über die bereits vorgenommenen Änderungen hinaus weitere Anpassungen an die Richtlinie geboten sind, und zwar auch, soweit keine europarechtliche Anpassungspflicht besteht. Nur so kann vermieden werden, daß es auf Dauer zweierlei Datenschutzrecht mit unterschiedlich hohem Schutzniveau gibt.

In diesem Zusammenhang wird ein Arbeitnehmerdatenschutzgesetz und ein Informationszugangsgesetz zu kodifizieren sein.

B. Im einzelnen

< siehe Synopse >

Zu Artikel 2 (Änderung des Bundesverfassungsschutzgesetzes)

Die Neufassung der Konkurrenzklausel ist überwiegend durch die im Rahmen der Novellierung geänderte Zählweise der Vorschriften im Bundesdatenschutzgesetz bedingt.

Da die Geltung der Richtlinie auf das EG-Recht (1. Säule des EU-Vertrages) begrenzt ist und der Bereich der öffentlichen Sicherheit dort ausdrücklich ausgenommen ist (Artikel 3 Abs. 2), betreffen die Ausnahmen teilweise auch solche Vorgaben der Richtlinie, die im Anwendungsbereich der Sicherheitsgesetze nicht gelten sollen oder dort speziell geregelt sind. Der Entwurf sieht vor, daß einige gemäß der Richtlinie neu gefaßte Vorschriften des Bundesdatenschutzgesetzes grundsätzlich auch im Sicherheitsbereich Anwendung finden (Bestellung behördlicher Datenschutzbeauftragter, §§ 4 f und 4 g; Regelung zur automatisierten Einzelentscheidung, § 6 a). Noch in dieser Legislaturperiode wird das gesamte bereichspezifische Datenschutzrecht umfassend daraufhin zu überprüfen sein, ob weitere Anpassungen an die Richtlinie geboten sind, auch soweit keine europarechtliche Umsetzungspflicht besteht. Nur so kann vermieden werden, daß auf Dauer zweierlei Datenschutzrecht mit unterschiedlichem Schutzniveau besteht.

Zu Artikel 3 (Änderung des MAD-Gesetzes)

Auf die Begründung zu Artikel 2 wird verwiesen.

Zu Artikel 4 (Änderung des BND-Gesetzes)

Auf die Begründung zu Artikel 2 wird verwiesen.

Zu Artikel 5 (Änderung des Sicherheitsüberprüfungsgesetzes)

Auf die Begründung zu Artikel 2 wird verwiesen.

Zu Artikel 6 (Änderung des Bundesgrenzschutzgesetzes)

Auf die Begründung zu Artikel 2 wird verwiesen.

Zu Artikel 7 (Änderung des Bundeskriminalamtgesetzes)

Auf die Begründung zu Artikel 2 wird verwiesen.

Zu Artikel 8 (SGB X)

Zu Nummer 1 (§ 67)

Zu Buchstabe a

Durch Neufassung des Absatzes 3 wird entsprechend § 3 Abs. 2 BDSG die automatisierte Verarbeitung und der Dateibegriff aus Gründen der Transparenz neu definiert; § 3 a BDSG gilt insoweit nicht.

Zu Buchstabe b

Durch Streichung des Absatzes 4 wird wie im Bundesdatenschutzgesetz aus Gründen der Transparenz auf die Definition des Begriffs "Akte" verzichtet.

Zu Buchstaben c, d, f und g

Der Begriff "Empfänger" hat durch die Richtlinie einen anderen Inhalt als im bisherigen deutschen Datenschutzrecht erhalten. Er umfaßt außer einem Dritten im Sinne von § 67 Abs. 10 SGB X auch den von der Datenverarbeitung Betroffenen, den Auftragsdatenverarbeiter und die verschiedenen Organisationseinheiten innerhalb der speichernden Stelle. Zur Beschränkung des Anwendungsbereichs auf das gesetzlich Gewollte wird in Anlehnung an die Änderungen in Artikel 1 das Wort "Empfänger" durch die Wörter "Dritter, an den die Daten übermittelt werden" ersetzt. Ergibt sich allerdings, wie in § 67 SGB X, aus dem Gesetzestext, daß der Dritte nur ein solcher sein kann, an den die Daten übermittelt werden, beschränkt sich die Gesetzesänderung darauf, das Wort "Empfänger" durch das Wort "Dritten" zu ersetzen.

§ 67 Abs. 10 Satz 2 und 3 entspricht § 3 Abs. 8 Satz 2 und 3 BDSG.

Im übrigen wird die "speichernde Stelle" in Anlehnung an die Richtlinie und das BDSG als "verantwortliche Stelle" bezeichnet.

Zu Buchstabe e

Der Begriff "Pseudonymisieren" wird wie im § 3 BDSG neu eingeführt und definiert, da in § 78 b SGB X erstmals der vorrangige Einsatz (anonymer und) pseudonymer Formen der Datenverarbeitung vorgesehen ist.

Zu Buchstabe h

Im Hinblick auf den neu eingefügten § 78 c SGB X wird der Begriff "mobile personenbezogene Speicher- und Verarbeitungsmedien" wie im § 3 Abs. 10 BDSG definiert.

Zu Nummer 2 (§ 67a)

Zu Buchstabe a

§ 67 a Abs. 1 Satz 2 und 3 setzt Artikel 8 Abs. 2 Buchstabe a der Richtlinie (Verarbeitung besonderer Kategorien personenbezogener Daten) um; dies entspricht § 4 a Abs. 3 BDSG.

Zu Buchstabe b

Die Vorschrift wird auf Grund von Artikel 10 Buchst. a und b der Richtlinie (Information der betroffenen Person bei der Erhebung personenbezogener Daten bei ihr selbst) geändert und grundsätzlich an § 4 Abs. 3 BDSG angepaßt. Es sind nur der Erhebungszweck und die Zweckänderungen anzugeben, die im Zeitpunkt der Erhebung abzusehen sind.

Satz 2 (neu) trägt der von der EG-Richtlinie geforderten "Datenverarbeitung nach Treu und Glauben" (vgl. Erwägungsgrund (38) und Artikel 6 Abs. 1 a, Artikel 10 letzter Halbsatz der Richtlinie) Rechnung. Eine umfassende und ordnungsgemäße Unterrichtung des Betroffenen über die Bedingungen einer Datenerhebung bei ihm selbst, wie sie die Richtlinie fordert, ist auch dann nach Treu und Glauben sichergestellt, wenn er nicht über interne organisatorische Stufen der Verarbeitung oder Nutzung seiner Daten innerhalb eines Leistungsträgers unterrichtet wird. Das gleiche gilt, wenn eine Kategorie von z.B. Leistungsträgern gesetzlich zur engen Zusammenarbeit verpflichtet ist, wie es beispielsweise § 5 Rehabilitationsangleichungsgesetz vorsieht. Hinzu kommt, daß der Betroffene in diesen Fällen der Übermittlung an andere Sozialleistungsträger in den allermeisten Fällen bereits unterrichtet sein dürfte, um eine verfahrensmäßige Verzögerung zu vermeiden. Der Betroffene muß in diesen Fällen jedenfalls mit einer Nutzung innerhalb des Sozialleistungsträgers bzw. der Übermittlung an andere Träger rechnen. Im übrigen ist die Notwendigkeit zur engen Zusammenarbeit lediglich eine Folge des gegliederten Systems der sozialen Sicherheit in der Bundesrepublik Deutschland. Die Richtlinie läßt es nach Artikel 5 zu, daß die Mitgliedstaaten ihrer Rechtstradition Rechnung tragen und situationsspezifische Konkretisierungen treffen.

Zu Buchstabe c

Artikel 11 der Richtlinie schreibt umfangreiche Benachrichtigungspflichten vor, wenn Daten nicht beim Betroffenen erhoben worden sind. Die Neuregelung übernimmt weitgehend § 19 a BDSG. Die Sozialleistungsträger müssen in ihrer Aufgabenstellung eng zusammenarbeiten; dieser Notwendigkeit trägt § 69 Abs. 1 Nr. 1 SGB X Rechnung. Eine Unterrichtung des Betroffenen bei einer Datenerhebung ohne seine Kenntnis bei einer Stelle, die in § 35 SGB I genannt worden ist, würde einen unverhältnismäßigen Aufwand im Sinne von Artikel 11 Abs. 2 der Richtlinie erfordern. Der Betroffene ist also in diesen Fällen weder von der Speicherung noch von der Identität der verantwortlichen Stelle noch von der Zweckbestimmung der Verarbeitung zu unterrichten. Außerdem ist in § 69 Abs. 1 Nr. 1 SGB X eine Vorschrift zu sehen, die die Datenübermittlung ausdrücklich zuläßt und in Verbindung mit Amtshilfeverpflichtungen sowie der Verpflichtung zur Zusammenarbeit der Träger untereinander nach § 86 SGB X zu einer Verpflichtung wird. Diese Voraussetzungen sind bei Erhebungen unter den in § 35 SGB I genannten Stellen regelmäßig gegeben. Damit wird den Anforderungen der Richtlinie entsprochen; die gesetzliche Regelung macht die Situation für den Betroffenen berechenbar, indem sie ihm mit hinreichender Wahrscheinlichkeit die Möglichkeit verschafft, in Erfahrung bringen zu können, welche verantwortliche Stelle zu welchem Zweck welche Daten verarbeitet. Deshalb wird entsprechend Artikel 11 Abs. 2 der Richtlinie bei einer Datenerhebung im Rahmen der Stellen, die in § 35 SGB I genannt sind, eine Benachrichtigungspflicht von vornherein ausdrücklich gesetzlich ausgeschlossen.

Zu den in Absatz 5 Satz 2 Nr. 3 genannten gesetzlichen Regelungen einer Speicherung oder Übermittlung zählen alle auf Grund eines Gesetzes vorgesehenen Regelungen, nicht nur z.B. die des SGB X, sondern auch die in den sonstigen Büchern des Sozialgesetzbuches.

Durch Absatz 5 Satz 5 wird das Erfordernis der "geeigneten Garantien" gemäß Artikel 11 Abs. 2 Satz 2 der Richtlinie umgesetzt.

Absatz 5 Satz 6 stellt sicher, daß auch in den Fallkonstellationen des § 83 Abs. 2 bis 4 SGB X die Pflicht zur Unterrichtung des Betroffenen entfällt.

Im übrigen wird auf die Begründung zu Buchstabe b verwiesen.

Zu Nummer 3 (§ 67b)

Zu Buchstabe a

Vgl. Begründung zu Nummer 2 Buchstabe a.

Zu Buchstabe b

Die Vorschrift setzt Artikel 15 der Richtlinie um; sie soll verhindern, daß Entscheidungen auf Grund von Persönlichkeitsprofilen ergehen, ohne daß der Betroffene die zugrundeliegenden Angaben und Bewertungsmaßstäbe erfährt.

Zu Nummer 4 (§ 67 c Abs. 1 und 3)

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1).

Zu Nummer 5 (§ 67 d Abs. 2 und 3)

Zu Buchstabe a

Auf die Begründung zu Nummer 1 wird verwiesen.

Zu Buchstabe b

Angleichung an § 15 Abs. 5 BDSG.

Zu Nummer 6 (§ 69 Abs. 1)

Auf die Begründung zu Nummer 1 wird verwiesen.

Zu Nummer 7 (§ 75 Abs. 2 und 4)

Zu Buchstabe a

Auf die Begründung zu Nummer 1 wird verwiesen.

Zu Buchstabe b

Angleichung an die Regelung des BDSG.

Zu Nummer 8 (§ 76 Abs. 2)

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1).

Zu Nummer 9 (§ 77)

Zu Absatz 1

Entsprechend dem umfassenden Geltungsanspruch der Richtlinie auf dem Gebiet der sozialen Sicherheit und deren Ziel, das Schutzniveau der Daten in den Mitgliedstaaten der Europäischen Union anzugleichen und besondere Hemmnisse für den Datenverkehr zwischen den Mitgliedstaaten zu beseitigen, läßt Absatz 1 die Übermittlung von Sozialdaten zwischen Sozialleistungsträgern und zu anderen Stellen, soweit es der Aufgabenerfüllung eines Sozialleistungsträgers dient, im notwendigen Umfang zu (Nummer 1). Sollen die Daten darüber hinaus an andere ausländische Stellen, aber von einem Sozialleistungsträger übermittelt werden, schreiben die Nummern 2 und 3 einen engen Rahmen vor; dieser wird nach Absatz 3 Satz 1 insbesondere bei Einwilligung des Betroffenen, bei Anwendung zwischenstaatlicher Übereinkommen oder für die Durchführung von Strafverfahren (§ 73 SGB X) praxisgerecht erweitert.

Die deutschen Träger sind im Ersten Buch Sozialgesetzbuch ihrer Art nach genau bezeichnet. In den Mitgliedstaaten gibt es zum Teil erheblich unterschiedliche Organisationsstrukturen. In Absatz 1 wird klargestellt, daß es im Datenverkehr über Grenzen auf die Funktionsgleichheit zwischen deutschen und ausländischen Stellen in den Mitgliedstaaten ankommt. Es muß nicht die gesamte ausländische Behörde die gleiche Funktion wie die deutsche haben. Es genügt bereits partielle Funktionsgleichheit. Es wird davon ausgegangen, daß sich die zuständigen Verwaltungseinheiten im Inland zur Wahrung einer einheitlichen Rechtsanwendung auf eine gemeinsame Beurteilung ausländischer Stellen verständigen. Die Übermittlung an andere Stellen als Sozialleistungsträger ist – soweit überhaupt – nur in dem Umfang zulässig, in dem es im Inland gestattet wäre.

Zu Absatz 2

In Anlehnung an die Vorschriften des BDSG (§§ 4 b, 4 c), das die Anforderungen von Artikel 25 Abs. 1 der Richtlinie umsetzt, wird unter Berücksichtigung sozialrechtlicher Erfordernisse die Übermittlungsbefugnis ins Ausland außerhalb der Mitgliedstaaten der EU sowie an über- und zwischenstaatliche Stellen, die ein angemessenes Datenschutzniveau gewährleisten, auf den in Absatz 1 innerhalb der EG zulässigen Umfang begrenzt. Die Zwecke der Übermittlung sind gesetzlich festgelegt. Darüber hinaus ist eine Übermittlung (wie in Fällen des Absatzes 1) entsprechend Absatz 3 Satz 1 zulässig.

Eine Bezugnahme auf § 16 Abs. 1 BDSG war nicht erforderlich, da insoweit die besonderen Regelungen im 2. Kapitel des Zehnten Buches Sozialgesetzbuch gelten, insbesondere § 69 Abs. 1 Nr. 1 SGB X. Die Übernahme von § 4 b Abs. 4 BDSG wird von der Richtlinie nicht verlangt; auf § 67 a Abs. 5 des Entwurfs wird verwiesen. In § 67 d Abs. 2 SGB X ist generell bestimmt, daß im Bereich des Sozialdatenschutzes die übermittelnde Stelle die Verantwortung für die Richtigkeit der übermittelten Daten trägt. Eine Übernahme von § 4 b Abs. 5 BDSG war daher nicht erforderlich. Um eine bundeseinheitliche Handhabung zu gewährleisten und Haftungsprobleme zu vermeiden, soll das Bundesversicherungsamt für die inländischen übermittelnden Stellen feststellen, ob ein angemessenes Datenschutzniveau gewährleistet ist.

Zu Absatz 3

Die Regelung läßt eine Datenübermittlung ins Ausland nach Absatz 3 Satz 1 unabhängig vom Vorliegen der Voraussetzungen der Absätze 1 und 2, also z.B. in den Fällen des § 71 SGB X, oder auch bei nicht angemessenem Datenschutzniveau, aber auch solange dessen Vorliegen nicht geklärt ist, zu, wenn der Betroffene einwilligt oder entsprechende zwischenstaatliche Abkommen vorliegen. Außerdem wird die Zulässigkeit der Datenübermittlung für die Durchführung eines Strafverfahrens (§ 73 SGB X) oder eines gerichtlichen Verfahrens nach § 69 Abs. 1 Nr. 2 SGB X hier geregelt, weil sich die Richtlinie nicht auf diesen Bereich erstreckt. Durch die Bezugnahme auf Absatz 2 in Absatz 3 Nr. 3 wird klargestellt, daß in diesen Fällen auch das Bundesversicherungsamt die Angemessenheit des Datenschutzniveaus feststellt, solange die EU-Entscheidung noch aussteht. Solange solche Entscheidungen nicht vorliegen, hat in den Fällen des § 73 SGB X allein das inländische Gericht zu entscheiden.

Diese Regelungen gelten nicht, wenn schutzwürdige Belange des Betroffenen berührt sind.

Zu Absatz 4

Nach Absatz 4 ist die Übermittlung bei unzureichendem Datenschutzniveau auch in den dort genannten Fällen zulässig.

Diese Regelungen gelten nicht, wenn schutzwürdige Belange des Betroffenen berührt sind.

Zu Absatz 5

Die empfangende Stelle ist in den Fällen des § 77 Abs. 1 bis 4 - wie im bisher geltenden Recht - auf die Zweckbindung hinzuweisen.

Zu Absatz 6

Um die Erfüllung der in Artikel 25 Abs. 3 und Artikel 26 Abs. 3 der Richtlinie geregelten Unterrichtungspflichten zu ermöglichen, unterrichtet das Bundesversicherungsamt das Bundesministerium des Innern über Drittländer und über- und zwischenstaatliche Stellen ohne angemessenes Datenschutzniveau. Das Bundesministerium des Innern nimmt insoweit als zentrale Stelle die oben genannten Unterrichtungspflichten für die Bundesrepublik wahr.

Zu Nummer 10 (§ 78)

Auf die Begründung zu Nummer 1 wird verwiesen.

Zu Nummer 11 (§ 78 a)

Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung und Nutzung einbezieht, war entsprechend dem § 9 BDSG die Vorschrift zu ergänzen.

Zu Nummer 12 (§§ 78 b, 78 c, 78 d)

Entsprechend den Änderungen des BDSG (§§ 3 b, 6 c und 9 a) sollen auch für den Bereich der Sozialdaten der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 78 a SGB X), die Regelungen zu mobilen Speicher- und Verarbeitungsmedien (§ 78 b) sowie zum Datenaudit (§ 78 c) aufgenommen werden.

Zu Nummer 13 (§ 79)

Auf die Begründung zu Nummer 1 wird verwiesen.

Zu Nummer 14 (§ 80)

Zu Buchstabe a bis e

Die Regelung bezieht - entsprechend der bisherigen Praxis - die Erhebung von Sozialdaten ausdrücklich in die Bestimmung über die Erledigung von Aufgaben im Auftrag ein.

Zu Buchstabe f

Folgeänderung zu Änderungen des BDSG.

Zu Buchstabe g

Folgeänderung zu Änderung des BDSG (§ 11 Abs. 5).

Zu Nummer 15 (§ 81)

Zu Buchstabe a

In der alten Fassung des Absatzes 2 war nur auf § 24 Abs. 2 Satz 1 BDSG Bezug genommen worden; die folgenden Sätze geben den Betroffenen ein Widerspruchsrecht gegen Kontrollen des Bundesdatenschutzbeauftragten bei Daten, die dem Arztgeheimnis unterliegen. Die Einschränkung des Kontrollrechts wurde durch die bisherige Form der Bezugnahme nicht ins Sozialgesetzbuch übernommen. Da diese Einschränkung in § 24 BDSG nicht mehr enthalten ist, kann die ganze Vorschrift in Bezug genommen werden.

Zu Buchstabe b

Die §§ 36 und 37 BDSG, auf die Bezug genommen wird, werden durch Artikel 1 gestrichen.

Die Meldepflicht für automatische Datenverarbeitung (§ 4 d Abs. 1 BDSG) entfällt nach § 4 d Abs. 2 BDSG wenn die speichernde Stelle einen Beauftragten für den Datenschutz bestellt. Da § 81 Abs. 4 SGB X, der in der neuen Fassung auf die §§ 4 f und 4 g BDSG Bezug nimmt, allen in § 35 SGB I genannten Stellen, auch soweit sie landesunmittelbare Sozialversicherungsträger oder deren Verbände sind, die Bestellung von behördeninternen Datenschutzbeauftragten zur Pflicht macht, entfallen immer die Voraussetzungen für die Meldepflicht. In diesem Bereich sind daher solche Meldepflichten entbehrlich. Hierbei wird auch berücksichtigt, daß § 26 Abs. 5 BDSG, wonach der Datenschutzbeauftragte ein Register automatisierter Dateien zu führen hat, in der Neufassung ersatzlos entfällt.

Satz 2 stellt klar, daß bei landesunmittelbaren Stellen der Landesbeauftragte für den Datenschutz an die Stelle des Bundesbeauftragten tritt.

Zu Nummer 16 (§ 82)

In § 82 SGB X sind bisher Schadenersatzansprüche lediglich gegenüber in § 35 SGB I genannten Stellen des Bundes geregelt, weil nach der früheren Kompetenzordnung des Grundgesetzes ein Bundesgesetz nicht die Haftung von Landesbehörden regeln konnte. Nach dem Gesetz zur Änderung des Grundgesetzes vom 27. Oktober 1994 besitzt der Bund nunmehr auch die Gesetzgebungskompetenz für die Staatshaftung (Art. 74 Nr. 25 GG). Da auch Stellen der Länder zu den in § 35 SGB I genannten Stellen gehören und insoweit eine einheitliche Haftungsregelung sinnvoll ist, werden in § 82 SGB X die Wörter "des Bundes" gestrichen.

Außerdem wird die Regelung auf die Haftung bei Erhebungen und Nutzungen erstreckt. Artikel 23 der Richtlinie spricht zwar von "Verarbeitung". Da Artikel 2 Buchstabe b der Richtlinie in den Begriff der "Verarbeitung" aber die "Erhebung" und die "Nutzung" einbezieht, ist § 82 ebenso wie §§ 7 und 8 BDSG durch die Begriffe der Datenerhebung und -nutzung zu ergänzen.

Zu Nummer 17 (§ 83)

Zu Buchstabe a aa

§ 83 Abs. 1 Satz 1 Nr. 1 und 2 werden an § 19 Abs. 1 Satz 1 BDSG angepaßt, in dem Artikel 12 Buchstabe a erster Spiegelstrich der Richtlinie umgesetzt wird. Der Unterrichtung über Empfänger oder Kategorien von Empfängern (Satz 1 Nr. 2) kann durch Merkblätter entsprochen werden, in denen auf regelmäßig im Verwaltungsverfahren durchzuführende Erhebungen, Verarbeitungen und Nutzungen in allgemein verständlicher Form hingewiesen wird.

Zu Buchstabe a bb

Angleichung an § 19 BDSG.

Zu Buchstabe a cc und c

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1).

Zu Buchstabe b

Entsprechend der Regelung in § 19 Abs. 2 BDSG werden die Ausnahmen von den Auskunftsrechten des Betroffenen in Anwendung des Artikels 13 Abs. 1 Buchstabe g der Richtlinie modifiziert.

Zu Nummer 18 (§ 84)

Zu Buchstabe a

Durch die Behandlung des Widerspruchsrechts in Absatz 1 a ist auch eine entsprechende Ergänzung der Überschrift erforderlich.

Zu Buchstabe b

§ 84 Abs. 1 Satz 2 hält den gegenwärtigen Rechtszustand aufrecht, wonach bei Sozialdaten das Bestreiten von Daten keine Sperrung bewirkt. Die Neuregelung trägt den Erfordernissen der Praxis Rechnung.

Zu Buchstabe c

Absatz 1a entspricht der Regelung des BDSG. Nach derzeitiger Erkenntnis ist das Widerspruchsrecht eines Betroffenen nach Artikel 14 Satz 1 Buchstabe a der Richtlinie, das in § 20 Abs. 5 BDSG aufgenommen werden soll, jedoch auf Dauer generell auszuschließen, um in einem gegliederten sozialen System wie dem deutschen eine system- und beitragsgerechte Leistungsabwicklung sicherzustellen. Dieser ausdrückliche Ausschluß ist nach Artikel 14 Satz 1 Buchstabe a der Richtlinie zulässig und notwendig, um die finanzielle Basis der Träger im gegliederten System sicherzustellen. Ansonsten könnte der Betroffene mit seinem Widerspruch z.B. den Beitragseinzug oder die Abwicklung von Erstattungsansprüchen oder Verrechnungsersuchen der Leistungsträger untereinander blockieren oder ungerechtfertigt hohe Leistungen beanspruchen; auch ungerechtfertigt niedrigere Leistungen sind nicht auszuschließen, da ein Widerspruch die Verwertung der Daten nicht zulassen dürfte mit der weiteren Folge, daß nachrangig zuständige Träger leistungspflichtig würden, z.B. das Sozialamt. Diese hätten dann ggf. einen Erstattungsanspruch.

Zu Buchstabe d und e

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1).

Zu Buchstabe f

In Absatz 5 erfolgt eine Anpassung an Artikel 12 Buchstabe c der Richtlinie.

Zu Nummer 19 (§ 84 a)

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1).

Zu Nummer 20 (§ 85)

Folgeänderung zu Änderungen in § 43 BDSG.

Zu Nummer 21 (§ 85 a Abs. 1)

Folgeänderung zu Änderungen des BDSG.

Zu Nummer 22 (§ 85 b)

Die Vorschrift ist entsprechend Artikel 32 Abs. 2 der Richtlinie gefaßt.

Zu Nummer 23 (Anlage zu § 78 a)

Die Anlage entspricht der zu § 9 BDSG. Deshalb wird auf die Begründung hierzu verwiesen.

Zu Artikel 9 (Inkrafttreten)

Die Ausnahme in Satz 1, die das Widerspruchsrecht bei rechtmäßiger Verarbeitung betrifft, füllt den Vorbehalt nationalen Rechts in Artikel 14 Abs. 1 der Richtlinie aus und eröffnet den verantwortlichen Stellen insoweit eine Übergangsfrist.

Seitenanfang
 Letzte Änderung:
 am 15.03.1999
E-Mail an den Berliner Datenschutzbeauftragten