Datenschutz und Recht
Homepage

Wir über Uns
Berlin
Deutschland
Europäische Union
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

NOVELLIERUNG DES
BUNDESDATENSCHUTZGESETZ (BDSG)

Begründung zum Referentenentwurf der Bundesregierung
(Stand: 8.Dezember 1997)

Inhaltsübersicht:

  1. Allgemeine Vorgaben
  2. Wesentliche Inhalte des Gesetzentwurfs

1. Allgemeine Vorgaben

1.1 Zielsetzung

Der Gesetzentwurf dient der Anpassung des Bundesdatenschutzgesetzes (BDSG) an die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG L 281 vom 23. November 1995, S. 31 ff) (im folgenden: Richtlinie). Die Richtlinie ist bis zum 24. Oktober 1998 in nationales Recht umzusetzen.

Die Richtlinie konkretisiert und ergänzt die Grundsätze der Datenschutzkonvention des Europarates von 1981 (BGBl. 1985 II, S. 538 ff). Sie erweitert die Informationsrechte des Bürgers und verpflichtet die Mitgliedstaaten zur Einrichtung staatlicher Kontrollstellen, die die Einhaltung der in Umsetzung der Richtlinie geschaffenen nationalen Vorschriften überwachen.

Durch die Richtlinie wird ein einheitliches Datenschutzniveau für die Ausführung und Anwendung des Gemeinschaftsrechts durch die Mitgliedstaaten der EU geschaffen. Daher ist der innergemeinschaftliche Datenverkehr künftig dem inländischen gleichzustellen. Für den Austausch personenbezogener Daten mit Drittländern sieht die Richtlinie ebenfalls die grundsätzliche Geltung der gemeinschaftlichen Standards vor, ohne den Wirtschaftsverkehr unangemessen zu beeinträchtigen.

1.2 Gesetzgebungskompetenz

Eine ausdrückliche Kompetenz des Bundes zu einer umfassenden Regelung der Querschnittsmaterie des Datenschutzes enthält das Grundgesetz nicht. Die Gesetzgebungskompetenz des Bundes ergibt sich aber im Rückgriff auf die dem Bund zustehenden Gesetzgebungskompetenzen für verschiedene Bereiche, die für den Datenschutz von Bedeutung sind. So folgt im Anwendungsbereich der öffentlichen Verwaltung die Gesetzgebungsbefugnis aus der Annexkompetenz des Verwaltungsverfahrens zu den jeweiligen Sachkompetenzen der Artikel 73 bis 75 des Grundgesetzes (GG). Bundesrechtliche Datenschutzbestimmungen können daher für die Verwaltungstätigkeit des Bundes sowie für die der Länder, soweit diese Bundesrecht ausführen, erlassen werden.

Für die gesetzliche Regelung im nicht-öffentlichen Bereich beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen Sachkompetenz, also insbesondere auf Artikel 74 Nr. 1, 11 und 12 GG. Im Hinblick auf die Gegenstände der konkurrierenden Gesetzgebung ist maßgeblich, daß ein unterschiedlicher Datenschutzstandard im nicht-öffentlichen Bereich graviernde Auswirkungen auf die hierdurch in erster Linie betroffene Wirtschaft hätte, die in ihrer unternehmerischen Tätigkeit durch im Kern unterschiedliche Länderregelungen gehemmt würde. Eine einheitliche Regelung durch den Bund zur Erzielung eines einheitlichen Datenschutzstandards ist daher zur Wahrung der Rechts- und Wirtschaftseinheit im gesamtstaatlichen Interesse zwingend erforderlich.

1.3 Kosten

Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in dem zwingend erforderlichen Umfang umzusetzen und dabei von den zur Verfügung stehenden Optionen in einer für Bund, Länder, Gemeinden und Wirtschaft möglichst kostengünstigen Weise Gebrauch zu machen. Die geplante Regelung wird voraussichtlich durch folgende Änderungen zu Mehrbelastungen der Wirtschaft führen:

Durch die Einführung von Informationspflichten im Rahmen der Erhebung personenbezogener Daten beim Betroffenen auch im nicht-öffentlichen Bereich (§ 4 Abs. 3), die prinzipielle Benachrichtigungspflicht gegenüber dem Betroffenen im öffentlichen Bereich (§ 19 a), die Einführung eines Auskunftsrechts bei sog. automatisierten Einzelentscheidungen (§ 6a Abs. 3), die Einführung einer Meldepflicht für nicht-öffentliche Stellen, die sensitive Daten für eigene Zwecke verarbeiten (§ 4d Abs. 5) sowie durch die Einführung der sog. Vorabkontrolle für bestimmte Dateien (§ 4d Abs. 6 und 7).

Im Einzelnen:

Im Gegensatz zur bisherigen Rechtslage sind nunmehr auch nicht-öffentliche Stellen, die personenbezogene Daten beim Betroffenen erheben, gemäß § 4 Abs. 3 diesem gegenüber zur Nennung der Identität der verantwortlichen Stelle sowie der Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung verpflichtet. Die Rechtsänderung beruht auf der zwingend umzusetzenden Vorgabe von Artikel 10 Buchstaben a und b der Richtlinie. Betroffen sind alle Wirtschaftsunternehmen, die personenbezogene Daten beim Betroffenen erheben. Es ist davon auszugehen, daß die Unternehmen ihrer Verpflichtung vorwiegend durch Ergänzungen ihrer formularmäßigen Hinweise nachkommen werden.

Die aufgrund von Artikel 11 der Richtlinie einzuführende Benachrichtigungspflicht des Betroffenen im öffentlichen Bereich über die Speicherung bzw. Übermittlung seiner Daten wird sich angesichts des weitgehenden Ausnahmekatalogs (vg. § 19a Abs. 2) für die öffentlichen Stellen nahezu kostenneutral auswirken.

Die Richtlinie verpflichtet in Artikel 12 Buchstabe a dritter Spiegelstrich zur Schaffung eines Auskunftsrechts über den "logischen Aufbau automatisierter Verarbeitungen". Dieses neue Auskunftsrecht war gemäß Artikel 12 Buchstabe a dritter Spiegelstrich der Richtlinie "zumindest im Fall automatisierter Entscheidungen" zwingend umzusetzen. Nur in diesem Bereich wurde es umgesetzt durch die Einstellung in § 6a Abs. 3. Betroffen sind hiervon die öffentliche Verwaltung und alle Wirtschaftsunternehmen, die automatisierte Einzelentscheidungen im Sinne des § 6a treffen. In der Vorschrift werden alle Ausnahmen vom Verbot derartiger automatisierter Einzelentscheidungen ausgeschöpft (§ 6a Abs. 2). Der Anwendungsbereich der Vorschrift und somit auch des Auskunftsrechts wird daher eher gering sein, die zu erwartende Mehrbelastung der öffentlichen Verwaltung und der betroffenen Wirtschaftsunternehmen dürfte im unteren Bereich anzusiedeln sein.

§ 4d Abs. 5 führt eine Meldepflicht für Dateien von Wirtschaftsunternehmen ein, die maximal vier Arbeitnehmer mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, sog. sensitive Daten i.S.d. § 3 Abs. 9 für eigene Zwecke verarbeiten und nicht unter § 4d Abs. 3 fallen. Im übrigen macht der Gesetzentwurf - ausgehend von dem in Art. 18 Abs. 1 zwingend vorgeschriebenen Prinzip der allgemeinen Meldepflicht - Gebrauch von der Option, von der Meldepflicht abzusehen, sofern entweder ein betrieblicher/behördlicher Datenschutzbeauftragter bestellt wird oder es sich um eine sog. weniger beeinträchtigende Verarbeitung handelt (Artikel 18 Abs. 2 erster und zweiter Spiegelstrich der Richtlinie). Der Entwurf zielt auf die möglichst weitgehende Abschaffung von Meldepflichten und setzt daher beide Ausnahmen von der Meldepflicht um (§ 4d Abs. 2 und 3). Für den öffentlichen Bereich hat dies die völlige Abschaffung der Meldepflicht und damit auch den Verzicht auf das beim Bundesbeauftragten für den Datenschutz eingerichtete Register der bei öffentlichen Stellen des Bundes geführten automatisierten Dateien zur Folge. Im nicht-öffentlichen Bereich verbleibt es bei der derzeit bereits geltenden Verpflichtung, betriebliche Datenschutzbeauftragte zu bestellen. soweit mehr als 4 Arbeitnehmer mit automatisierter Datenverarbeitung beschäftigt sind. In diesem Fall entfällt zukünftig die Meldepflicht. Nicht-öffentliche Stellen, die weniger als 5 Arbeitnehmer mit der automatisierten Verarbeitung nicht sensitiver Daten beschäftigen, sind nicht meldepflichtig. Über die bereits derzeit bestehenden Meldepflichten hinaus war daher allein für die o.g. Gruppe von Unternehmen die Meldepflicht einzuführen. Betroffen sind beispielsweise Optiker, Sanitätshäuser, Fitneßstudios und häusliche Krankenpflegedienste. Für diese wurde alternativ zur Einführung einer Meldepflicht die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten erwogen, wegen des hiermit verbundenen deutlich höheren Kostenaufwandes im Vergleich zur Meldepflicht aber verworfen. Gleichzeitig mit der Einführung einer Meldepflicht wurde auch eine gesetzliche Ermächtigung der Landesregierungen zur Bestimmung des Meldeverfahrens geschaffen (§ 38 Abs. 6). Diesen obliegt es, den Meldeweg möglichst praxisgerecht und kostensparend auszugestalten. Zu denken ist hierbei beispielsweise an eine Verbindung der Meldung mit der Gewerbeanmeldung. Von einer wesentlichen Mehrbelastung ist - allerdings in Abhängigkeit von der konkreten Ausgestaltung durch die Landesregierungen - nicht auszugehen.

Artikel 20 der Richtlinie sieht die Einführung der sog. Vorabkontrolle vor. Die Umsetzung erfolgt in § 4d Abs. 6 und 7. Betroffen sind Unternehmen, die bereits nach geltendem Recht (§ 32 Abs. 1 BDSG a.F.) meldepflichtig sind (Auskunfteien, Detekteien, Adreßverlage, Markt-, Meinungs- und Sozialforschungsinstitute), sowie die o.g. Unternehmen, die für eigene Zwecke sensitive Daten verarbeiten. Da es sich bei der Vorabkontrolle um eine neue Einrichtung handelt, ist der damit verbundene Zeit- und Kostenaufwand noch nicht absehbar. Zuständig für die Durchführung der Vorabkontrolle ist der betriebliche Datenschutzbeauftragte bzw. falls ein solcher nicht bestellt worden ist, die Aufsichtsbehörde.

Der Arbeitsaufwand des betrieblichen Datenschutzbeauftragten wird durch zwei neue Aufgaben vermutlich nur geringfügig erhöht: Die bereits erwähnte Vorabkontrolle sowie die ebenfalls durch den betrieblichen Datenschutzbeauftragten zu erfüllende Aufgabe gemäß § 4g Abs. 2 Satz 2, Dateiübersichten ,,auf Antrag jedermann in geeigneter Weise verfügbar zu machen". Diese zweite Aufgabe beruht auf Artikel 21 Abs. 3 der Richtlinie. Sie obliegt auch dem behördlichen Datenschutzbeauftragten, der bereits jetzt in allen obersten Bundesbehörden ohne bisherige gesetzliche Verpflichtung existiert. Mit Blick auf die vergleichbaren Regelungen in § 38 Abs. 2 satz 3 und § 26 Abs. 5 Satz 4 BDSG a.F. (Einsichtsrecht in das Register der Aufsichtsbehörden und des Bundesbeauftragten für den Datenschutz), die in der Praxis kaum eine Rolle gespielt haben, ist insoweit nicht von einer wesentlichen Mehrbelastung der betrieblichen bzw. behördlichen Datenschutzbeauftragten auszugehen. Die Auskunft kann im übrigen in pauschalierter Form erfolgen.

2. Wesentliche Inhalte des Gesetzentwurfs

2.1 Grundzüge der Novellierung

Der Anwendungsbereich der Richtlinie ist beschränkt auf den Geltungsbereich des EG-Vertrages. Die Datenverarbeitung von Polizei- und Nachrichtendiensten ist daher von der Richtlinie nicht unmittelbar berührt. Allerdings erscheint es nicht sinnvoll, eine lediglich auf den Geltungsbereich des EG-Vertrages beschränkte Anpassung des BDSG vorzunehmen. Sonst würden unterschiedliche Regelungen gelten, je nachdem, ob Gemeinschaftsrecht oder ausschließlich deutsches Recht auszuführen und anzuwenden ist. Dies wäre mit dem Querschnittscharakter und der subsidiären Geltung des BDSG nicht vereinbar.

Die zur Umsetzung der Richtlinie erforderliche Anpassung bereichsspezifischer Datenschutz-regelungen muß in anderen Gesetzen durch gesonderte Novellierung dieser Gesetze erfolgen.

Von wenigen Ausnahmen abgesehen sieht der Gesetzentwurf Änderungen des BDSG nur in dem Umfang vor, den die Richtlinie als zwingend vorgibt.

An der Unterscheidung zwischen Vorschriften für den öffentlichen und den nicht-öffentlichen Bereich kann festgehalten werden.

Die Vorschriften der Richtlinie erlauben das Fortbestehen der im BDSG vorgesehenen Kontrolleinrichtungen und deren Befugnisse. So findet sich in Artikel 28 der Richtlinie die Grundlage sowohl für die Einrichtung unabhängiger staatlicher Kontrollstellen für den öffentlichen Bereich als auch für die dem Weisungsrecht der obersten Landesbehörde unterliegenden Aufsichtsbehörden der Länder für den nicht-öffentlichen Bereich.

Die Transparenz der Datenverarbeitung für den Bürger wurde u.a. erhöht durch die Ausdehnung der Benachrichtigungspflicht des Betroffenen von der Speicherung/Weitergabe seiner Daten auch auf den öffentlichen Bereich, durch eine grundsätzliche Informationspflicht des Betroffenen bei der Erhebung seiner Daten auch im nicht-öffentlichen Bereich und eine geringfügige Erweiterung des Auskunftsrechts. Ebenfalls der Bürgerfreundlichkeit dient die Vorschrift des § 6a, wonach belastende Entscheidungen, die aufgrund von Persönlichkeitsprofilen ohne zusätzliche Überprüfung durch einen Menschen erfolgen, grundsätzlich verboten sind.

Wichtig unter dem Aspekt der Erhaltung der unternehmerischen Freiheit und möglichst uneingeschränkter wirtschaftlicher Betätigung ist die Neuregelung der Übermittlung personenbezogener Daten in Drittländer. Übermittlungen personenbezogener Daten dürfen grundsätzlich nur bei Vorliegen eines angemessenen Datenschutzniveaus im Drittland vorgenommen werden. Durch einen breiten Ausnahmekatalog wird aber sichergestellt, daß der Wirtschaftsverkehr mit Drittländem nicht unangemessen beeinträchtigt wird.

Der Entbürokratisierung dient die Neuregelung der Meldepflicht automatisierter Dateien. Diese ist dahingehend modifiziert worden, daß die in der Richtlinie vorgesehene Möglichkeit der Einschränkung der allgemeinen Meldepflicht weitestgehend genutzt wurde. So entfällt nach der Regelung des § 4d Abs. 2 die Meldepflicht, wenn die speichernde Stelle einen internen Datenschutzbeauftragten bestellt hat. Da durch § 4f Abs. 1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird, kann die Meldepflicht im öffentlichen Bereich vollständig entfallen.

Die Wahrung des sog. Medienprivilegs im weitestmöglichen Umfang wird gewährleistet. Die durch die Richtlinie erforderlich gewordene Erweiterung des Anwendungsbereichs für Unternehmen der Presse oder des Films wurde so restriktiv wie möglich vorgenommen.

2.2 Die wesentlichen Änderungen aufgrund der Richtlinie im einzelnen

  • Der Anwendungsbereich des BDSG war durch die Vorschrift des § 1 Abs. 5 zu ergänzen: Diese betrifft zum einen die Datenverarbeitung innerhalb der Europäischen Union. Das BDSG kommt hier nicht zur Anwendung, wenn die Verarbeitung personenbezogener Daten durch eine speichernde Stelle eines anderen Mitgliedstaates der Europäischen Union im Inland ausgeführt wird. Als Ausnahme dieser Regelung findet das BDSG aber Anwendung, sofern die speichernde Stelle eine Niederlassung im Inland unterhält. Zum anderen soll mit der Vorschrift verhindert werden, daß ein möglicherweise geringerer Datenschutzstandard als der in den Mitgliedstaaten der Europäischen Union vorhandene in den Fällen zur Geltung kommt, in denen Datenerhebungen, -verarbeitungen oder -nutzungen innerhalb der Europäischen Union durch außerhalb der Europäischen Union belegene speichernde Stellen vorgenommen werden.

Darüber hinaus waren die Kriterien für den sachlichen Anwendungsbereich des BDSG insofern in Übereinstimmung mit Artikel 3 Abs. 1 der Richtlinie zu bringen, als es bei automatisierten Verarbeitungen nicht mehr auf den Dateibegriff ankommt. Das Kriterium der Datei ist nur noch von Bedeutung, soweit es um die nicht-automatisierte Verarbeitung personenbezogener Daten geht.

  • Da die Richtlinie die Erhebung personenbezogener Daten als Teil der Verarbeitung begreift, das BDSG bisher aber nur die Erhebung für den öffentlichen Bereich regelt, bedurfte es der Einführung eines Gesetzesvorbehaltes auch für die Erhebung im nicht-öffentlichen Bereich.
  • Im Gegensatz zur bisherigen Rechtslage kommt dem Begriff des "Empfängers" nunmehr neben dem des "Dritten" eigenständige Bedeutung zu. Er war daher in § 3 Abs. 8 zu definieren, seine bisherige Verwendung im BDSG anzupassen.
  • Die Übermittlung personenbezogener Daten in Drittländer wurde in § 4b und § 4c neu geregelt. Diese Vorschriften sollen zum einen ein koordiniertes Verhalten der Mitgliedstaaten beim Transfer in Drittländer sicherstellen und zum anderen - durch einen breiten Katalog von Ausnahmebestimmungen - dafür Sorge tragen, daß der Wirtschaftsverkehr mit Drittländern nicht unangemessen beeinträchtigt wird.

Da nach Umsetzung der Richtlinie durch die Mitgliedstaaten der Europäischen Union von einem angemessenen Datenschutzniveau innerhalb der Europäischen Union auszugehen ist, gelten insoweit die §§ 15, 16 und 28ff.

  • In den neu eingefügten §§ 4d und 4e ist die Meldepflicht für automatisierte Dateien öffentlicher und nicht-öffentlicher Stellen geregelt.

Nach der Regelung des § 4d Abs. 2 entfällt die Meldepflicht, wenn die speichernde Stelle einen Datenschutzbeauftragten bestellt hat. Damit kann die Meldepflicht im öffentlichen Bereich vollständig entfallen, da durch § 4f Abs. 1 der behördliche Datenschutzbeauftragte als obligatorische Institution eingeführt wird. Neu ist die sog. Vorabkontrolle, d.h. bestimmte automatisierte Dateien werden vor Inbetriebnahme einer Prüfung durch den Datenschutzbeauftragten unterzogen.

  • Die neue Vorschrift des § 6a beinhaltet die Regelung der sog. automatisierten Einzelentscheidung. Durch die Vorschrift soll verhindert werden, daß Entscheidungen ausschließlich aufgrund von automatisiert erstellten Persönlichkeitsprofilen getroffen werden, ohne daß eine Person den Sachverhalt erneut überprüft hat.
  • Der neu geschaffene § 19a führt eine Benachrichtigungspflicht im öffentlichen Bereich für die Fälle ein, in denen Daten nicht beim Betroffenen selbst erhoben werden.
  • Da die Richtlinie keine Beschränkung der Datenschutzkontrolle auf eine Anlaßkontrolle vorsieht, wie sie in § 38 Abs. 1 a.F. geregelt war, waren die entsprechenden Einschränkungen zu streichen.
  • Die neue Vorschrift des § 38a beinhaltet Regelungen im Zusammenhang mit den sog. Verhaltensregeln zur Förderung der ordnungsgemäßen Durchführung datenschutzrechtlicher Regelungen, die u.a. eine Vereinheitlichung derartiger interner Regeln bewirken sollen. Berufsverbände und ähnliche Vereinigungen erhalten die Möglichkeit, von ihnen erarbeitete Verhaltensregeln der Aufsichtsbehörde zur Überprüfung vorzulegen. Diese ist verpflichtet, derartige Entwürfe auf ihre Vereinbarkeit mit dem geltenden Recht zu überprüfen.
  • Die Vorschrift des § 41, die die Verarbeitung und Nutzung personenbezogener Daten durch Medien regelt, ist in zweifacher Hinsicht geändert: Zum einen ist der Anwendungsbereich des BDSG hinsichtlich der Verarbeitung und Nutzung personenbezogener Daten durch Medien insofern erweitert worden, als nunmehr auch die Vorschriften der Regelung zur Beweis-lastumkehr des Geschädigten, die Strafvorschriften sowie die neugeschaffene Vorschrift des § 38a einzubeziehen waren. Gleichzeitig war aber auch der Anwendungsbereich des sog. Medienprivilegs zu erweitern, da nunmehr auch die Verarbeitung personenbezogener Daten zu künstlerischen oder literarischen Zwecken hiervon erfaßt wird.
  • Die Anlage zu § 9 wurde gestrafft, um die Anforderungen der Richtlinie ergänzt, sprachlich überarbeitet sowie den heutigen Gegebenheiten der Information- und Kommunikationstechnik angepaßt.

2.3 Sonstige wesentliche Änderungen des BDSG

Neben den unmittelbar durch die Umsetzung der Datenschutzrichtlinie bedingten Änderungen des BDSG sieht diese Novelle im neu eingefügten § 29 Abs. 3 eine Regelung vor, mit der folgendes erreicht wird: In den Fällen, in denen es sich bei Herausgebern elektronischer oder gedruckter Verzeichnisse nicht um Diensteanbieter im Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) handelt, bestand bisher nur unzureichender Schutz der Betroffenen vor nicht gewollten Eintragungen in diese Verzeichnisse. Diese Regelungslücke schließt der neue § 29 Abs. 3.


Zum Zweiten Abschnitt

Zum Zweiten Abschnitt
  Letzte Änderung:
  am 24.02.98
mail to webmaster