NOVELLIERUNG DES
BUNDESDATENSCHUTZGESETZ (BDSG)
Begründung zum Referentenentwurf der Bundesregierung
(Stand: 8.Dezember 1997)
- Allgemeine Vorgaben
- Wesentliche Inhalte des Gesetzentwurfs
1. Allgemeine Vorgaben
1.1 Zielsetzung
Der Gesetzentwurf dient der Anpassung des Bundesdatenschutzgesetzes
(BDSG) an die Richtlinie 95/46/EG des Europäischen Parlaments
und des Rates vom 24. Oktober 1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (ABl. EG L 281 vom 23. November 1995, S. 31
ff) (im folgenden: Richtlinie). Die Richtlinie ist bis zum 24.
Oktober 1998 in nationales Recht umzusetzen.
Die Richtlinie konkretisiert und ergänzt die Grundsätze
der Datenschutzkonvention des Europarates von 1981 (BGBl. 1985
II, S. 538 ff). Sie erweitert die Informationsrechte des Bürgers
und verpflichtet die Mitgliedstaaten zur Einrichtung staatlicher
Kontrollstellen, die die Einhaltung der in Umsetzung der Richtlinie
geschaffenen nationalen Vorschriften überwachen.
Durch die Richtlinie wird ein einheitliches Datenschutzniveau
für die Ausführung und Anwendung des Gemeinschaftsrechts
durch die Mitgliedstaaten der EU geschaffen. Daher ist der innergemeinschaftliche
Datenverkehr künftig dem inländischen gleichzustellen.
Für den Austausch personenbezogener Daten mit Drittländern
sieht die Richtlinie ebenfalls die grundsätzliche Geltung
der gemeinschaftlichen Standards vor, ohne den Wirtschaftsverkehr
unangemessen zu beeinträchtigen.
1.2 Gesetzgebungskompetenz
Eine ausdrückliche Kompetenz des Bundes zu einer umfassenden
Regelung der Querschnittsmaterie des Datenschutzes enthält
das Grundgesetz nicht. Die Gesetzgebungskompetenz des Bundes ergibt
sich aber im Rückgriff auf die dem Bund zustehenden Gesetzgebungskompetenzen
für verschiedene Bereiche, die für den Datenschutz von
Bedeutung sind. So folgt im Anwendungsbereich der öffentlichen
Verwaltung die Gesetzgebungsbefugnis aus der Annexkompetenz des
Verwaltungsverfahrens zu den jeweiligen Sachkompetenzen der Artikel
73 bis 75 des Grundgesetzes (GG). Bundesrechtliche Datenschutzbestimmungen
können daher für die Verwaltungstätigkeit des Bundes
sowie für die der Länder, soweit diese Bundesrecht ausführen,
erlassen werden.
Für die gesetzliche Regelung im nicht-öffentlichen Bereich
beruht die Gesetzgebungskompetenz des Bundes auf der jeweiligen
Sachkompetenz, also insbesondere auf Artikel 74 Nr. 1, 11 und
12 GG. Im Hinblick auf die Gegenstände der konkurrierenden
Gesetzgebung ist maßgeblich, daß ein unterschiedlicher
Datenschutzstandard im nicht-öffentlichen Bereich graviernde
Auswirkungen auf die hierdurch in erster Linie betroffene Wirtschaft
hätte, die in ihrer unternehmerischen Tätigkeit durch
im Kern unterschiedliche Länderregelungen gehemmt würde.
Eine einheitliche Regelung durch den Bund zur Erzielung eines
einheitlichen Datenschutzstandards ist daher zur Wahrung der Rechts-
und Wirtschaftseinheit im gesamtstaatlichen Interesse zwingend
erforderlich.
1.3 Kosten
Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in dem
zwingend erforderlichen Umfang umzusetzen und dabei von den zur
Verfügung stehenden Optionen in einer für Bund, Länder,
Gemeinden und Wirtschaft möglichst kostengünstigen Weise
Gebrauch zu machen. Die geplante Regelung wird voraussichtlich
durch folgende Änderungen zu Mehrbelastungen der Wirtschaft
führen:
Durch die Einführung von Informationspflichten im Rahmen
der Erhebung personenbezogener Daten beim Betroffenen auch im
nicht-öffentlichen Bereich (§ 4 Abs. 3), die prinzipielle
Benachrichtigungspflicht gegenüber dem Betroffenen im öffentlichen
Bereich (§ 19 a), die Einführung eines Auskunftsrechts
bei sog. automatisierten Einzelentscheidungen (§ 6a Abs.
3), die Einführung einer Meldepflicht für nicht-öffentliche
Stellen, die sensitive Daten für eigene Zwecke verarbeiten
(§ 4d Abs. 5) sowie durch die Einführung der sog. Vorabkontrolle
für bestimmte Dateien (§ 4d Abs. 6 und 7).
Im Einzelnen:
Im Gegensatz zur bisherigen Rechtslage sind nunmehr auch nicht-öffentliche
Stellen, die personenbezogene Daten beim Betroffenen erheben,
gemäß § 4 Abs. 3 diesem gegenüber zur Nennung
der Identität der verantwortlichen Stelle sowie der Zweckbestimmungen
der Erhebung, Verarbeitung oder Nutzung verpflichtet. Die Rechtsänderung
beruht auf der zwingend umzusetzenden Vorgabe von Artikel 10 Buchstaben
a und b der Richtlinie. Betroffen sind alle Wirtschaftsunternehmen,
die personenbezogene Daten beim Betroffenen erheben. Es ist davon
auszugehen, daß die Unternehmen ihrer Verpflichtung vorwiegend
durch Ergänzungen ihrer formularmäßigen Hinweise
nachkommen werden.
Die aufgrund von Artikel 11 der Richtlinie einzuführende
Benachrichtigungspflicht des Betroffenen im öffentlichen
Bereich über die Speicherung bzw. Übermittlung seiner
Daten wird sich angesichts des weitgehenden Ausnahmekatalogs (vg.
§ 19a Abs. 2) für die öffentlichen Stellen nahezu
kostenneutral auswirken.
Die Richtlinie verpflichtet in Artikel 12 Buchstabe a dritter
Spiegelstrich zur Schaffung eines Auskunftsrechts über den
"logischen Aufbau automatisierter Verarbeitungen". Dieses
neue Auskunftsrecht war gemäß Artikel 12 Buchstabe
a dritter Spiegelstrich der Richtlinie "zumindest im Fall
automatisierter Entscheidungen" zwingend umzusetzen. Nur
in diesem Bereich wurde es umgesetzt durch die Einstellung in
§ 6a Abs. 3. Betroffen sind hiervon die öffentliche
Verwaltung und alle Wirtschaftsunternehmen, die automatisierte
Einzelentscheidungen im Sinne des § 6a treffen. In der Vorschrift
werden alle Ausnahmen vom Verbot derartiger automatisierter Einzelentscheidungen
ausgeschöpft (§ 6a Abs. 2). Der Anwendungsbereich der
Vorschrift und somit auch des Auskunftsrechts wird daher eher
gering sein, die zu erwartende Mehrbelastung der öffentlichen
Verwaltung und der betroffenen Wirtschaftsunternehmen dürfte
im unteren Bereich anzusiedeln sein.
§ 4d Abs. 5 führt eine Meldepflicht für Dateien
von Wirtschaftsunternehmen ein, die maximal vier Arbeitnehmer
mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,
sog. sensitive Daten i.S.d. § 3 Abs. 9 für eigene Zwecke
verarbeiten und nicht unter § 4d Abs. 3 fallen. Im übrigen
macht der Gesetzentwurf - ausgehend von dem in Art. 18 Abs. 1
zwingend vorgeschriebenen Prinzip der allgemeinen Meldepflicht
- Gebrauch von der Option, von der Meldepflicht abzusehen, sofern
entweder ein betrieblicher/behördlicher Datenschutzbeauftragter
bestellt wird oder es sich um eine sog. weniger beeinträchtigende
Verarbeitung handelt (Artikel 18 Abs. 2 erster und zweiter Spiegelstrich
der Richtlinie). Der Entwurf zielt auf die möglichst weitgehende
Abschaffung von Meldepflichten und setzt daher beide Ausnahmen
von der Meldepflicht um (§ 4d Abs. 2 und 3). Für den
öffentlichen Bereich hat dies die völlige Abschaffung
der Meldepflicht und damit auch den Verzicht auf das beim Bundesbeauftragten
für den Datenschutz eingerichtete Register der bei öffentlichen
Stellen des Bundes geführten automatisierten Dateien zur
Folge. Im nicht-öffentlichen Bereich verbleibt es bei der
derzeit bereits geltenden Verpflichtung, betriebliche Datenschutzbeauftragte
zu bestellen. soweit mehr als 4 Arbeitnehmer mit automatisierter
Datenverarbeitung beschäftigt sind. In diesem Fall entfällt
zukünftig die Meldepflicht. Nicht-öffentliche Stellen,
die weniger als 5 Arbeitnehmer mit der automatisierten Verarbeitung
nicht sensitiver Daten beschäftigen, sind nicht meldepflichtig.
Über die bereits derzeit bestehenden Meldepflichten hinaus
war daher allein für die o.g. Gruppe von Unternehmen die
Meldepflicht einzuführen. Betroffen sind beispielsweise Optiker,
Sanitätshäuser, Fitneßstudios und häusliche
Krankenpflegedienste. Für diese wurde alternativ zur Einführung
einer Meldepflicht die Verpflichtung zur Bestellung eines betrieblichen
Datenschutzbeauftragten erwogen, wegen des hiermit verbundenen
deutlich höheren Kostenaufwandes im Vergleich zur Meldepflicht
aber verworfen. Gleichzeitig mit der Einführung einer Meldepflicht
wurde auch eine gesetzliche Ermächtigung der Landesregierungen
zur Bestimmung des Meldeverfahrens geschaffen (§ 38 Abs.
6). Diesen obliegt es, den Meldeweg möglichst praxisgerecht
und kostensparend auszugestalten. Zu denken ist hierbei beispielsweise
an eine Verbindung der Meldung mit der Gewerbeanmeldung. Von einer
wesentlichen Mehrbelastung ist - allerdings in Abhängigkeit
von der konkreten Ausgestaltung durch die Landesregierungen -
nicht auszugehen.
Artikel 20 der Richtlinie sieht die Einführung der sog. Vorabkontrolle
vor. Die Umsetzung erfolgt in § 4d Abs. 6 und 7. Betroffen
sind Unternehmen, die bereits nach geltendem Recht (§ 32
Abs. 1 BDSG a.F.) meldepflichtig sind (Auskunfteien, Detekteien,
Adreßverlage, Markt-, Meinungs- und Sozialforschungsinstitute),
sowie die o.g. Unternehmen, die für eigene Zwecke sensitive
Daten verarbeiten. Da es sich bei der Vorabkontrolle um eine neue
Einrichtung handelt, ist der damit verbundene Zeit- und Kostenaufwand
noch nicht absehbar. Zuständig für die Durchführung
der Vorabkontrolle ist der betriebliche Datenschutzbeauftragte
bzw. falls ein solcher nicht bestellt worden ist, die Aufsichtsbehörde.
Der Arbeitsaufwand des betrieblichen Datenschutzbeauftragten wird
durch zwei neue Aufgaben vermutlich nur geringfügig erhöht:
Die bereits erwähnte Vorabkontrolle sowie die ebenfalls durch
den betrieblichen Datenschutzbeauftragten zu erfüllende Aufgabe
gemäß § 4g Abs. 2 Satz 2, Dateiübersichten
,,auf Antrag jedermann in geeigneter Weise verfügbar zu machen".
Diese zweite Aufgabe beruht auf Artikel 21 Abs. 3 der Richtlinie.
Sie obliegt auch dem behördlichen Datenschutzbeauftragten,
der bereits jetzt in allen obersten Bundesbehörden ohne bisherige
gesetzliche Verpflichtung existiert. Mit Blick auf die vergleichbaren
Regelungen in § 38 Abs. 2 satz 3 und § 26 Abs. 5 Satz
4 BDSG a.F. (Einsichtsrecht in das Register der Aufsichtsbehörden
und des Bundesbeauftragten für den Datenschutz), die in der
Praxis kaum eine Rolle gespielt haben, ist insoweit nicht von
einer wesentlichen Mehrbelastung der betrieblichen bzw. behördlichen
Datenschutzbeauftragten auszugehen. Die Auskunft kann im übrigen
in pauschalierter Form erfolgen.
2. Wesentliche Inhalte des Gesetzentwurfs
2.1 Grundzüge der Novellierung
Der Anwendungsbereich der Richtlinie ist beschränkt auf den
Geltungsbereich des EG-Vertrages. Die Datenverarbeitung von Polizei-
und Nachrichtendiensten ist daher von der Richtlinie nicht unmittelbar
berührt. Allerdings erscheint es nicht sinnvoll, eine lediglich
auf den Geltungsbereich des EG-Vertrages beschränkte Anpassung
des BDSG vorzunehmen. Sonst würden unterschiedliche Regelungen
gelten, je nachdem, ob Gemeinschaftsrecht oder ausschließlich
deutsches Recht auszuführen und anzuwenden ist. Dies wäre
mit dem Querschnittscharakter und der subsidiären Geltung
des BDSG nicht vereinbar.
Die zur Umsetzung der Richtlinie erforderliche Anpassung bereichsspezifischer
Datenschutz-regelungen muß in anderen Gesetzen durch gesonderte
Novellierung dieser Gesetze erfolgen.
Von wenigen Ausnahmen abgesehen sieht der Gesetzentwurf Änderungen
des BDSG nur in dem Umfang vor, den die Richtlinie als zwingend
vorgibt.
An der Unterscheidung zwischen Vorschriften für den öffentlichen
und den nicht-öffentlichen Bereich kann festgehalten werden.
Die Vorschriften der Richtlinie erlauben das Fortbestehen der
im BDSG vorgesehenen Kontrolleinrichtungen und deren Befugnisse.
So findet sich in Artikel 28 der Richtlinie die Grundlage sowohl
für die Einrichtung unabhängiger staatlicher Kontrollstellen
für den öffentlichen Bereich als auch für die dem
Weisungsrecht der obersten Landesbehörde unterliegenden Aufsichtsbehörden
der Länder für den nicht-öffentlichen Bereich.
Die Transparenz der Datenverarbeitung für den Bürger
wurde u.a. erhöht durch die Ausdehnung der Benachrichtigungspflicht
des Betroffenen von der Speicherung/Weitergabe seiner Daten auch
auf den öffentlichen Bereich, durch eine grundsätzliche
Informationspflicht des Betroffenen bei der Erhebung seiner Daten
auch im nicht-öffentlichen Bereich und eine geringfügige
Erweiterung des Auskunftsrechts. Ebenfalls der Bürgerfreundlichkeit
dient die Vorschrift des § 6a, wonach belastende Entscheidungen,
die aufgrund von Persönlichkeitsprofilen ohne zusätzliche
Überprüfung durch einen Menschen erfolgen, grundsätzlich
verboten sind.
Wichtig unter dem Aspekt der Erhaltung der unternehmerischen Freiheit
und möglichst uneingeschränkter wirtschaftlicher Betätigung
ist die Neuregelung der Übermittlung personenbezogener Daten
in Drittländer. Übermittlungen personenbezogener Daten
dürfen grundsätzlich nur bei Vorliegen eines angemessenen
Datenschutzniveaus im Drittland vorgenommen werden. Durch einen
breiten Ausnahmekatalog wird aber sichergestellt, daß der
Wirtschaftsverkehr mit Drittländem nicht unangemessen beeinträchtigt
wird.
Der Entbürokratisierung dient die Neuregelung der Meldepflicht
automatisierter Dateien. Diese ist dahingehend modifiziert worden,
daß die in der Richtlinie vorgesehene Möglichkeit der
Einschränkung der allgemeinen Meldepflicht weitestgehend
genutzt wurde. So entfällt nach der Regelung des § 4d
Abs. 2 die Meldepflicht, wenn die speichernde Stelle einen internen
Datenschutzbeauftragten bestellt hat. Da durch § 4f Abs.
1 der behördliche Datenschutzbeauftragte als obligatorische
Institution eingeführt wird, kann die Meldepflicht im öffentlichen
Bereich vollständig entfallen.
Die Wahrung des sog. Medienprivilegs im weitestmöglichen
Umfang wird gewährleistet. Die durch die Richtlinie erforderlich
gewordene Erweiterung des Anwendungsbereichs für Unternehmen
der Presse oder des Films wurde so restriktiv wie möglich
vorgenommen.
2.2 Die wesentlichen Änderungen aufgrund der Richtlinie
im einzelnen
- Der Anwendungsbereich des BDSG war durch die Vorschrift des
§ 1 Abs. 5 zu ergänzen: Diese betrifft zum einen die
Datenverarbeitung innerhalb der Europäischen Union. Das BDSG
kommt hier nicht zur Anwendung, wenn die Verarbeitung personenbezogener
Daten durch eine speichernde Stelle eines anderen Mitgliedstaates
der Europäischen Union im Inland ausgeführt wird. Als
Ausnahme dieser Regelung findet das BDSG aber Anwendung, sofern
die speichernde Stelle eine Niederlassung im Inland unterhält.
Zum anderen soll mit der Vorschrift verhindert werden, daß
ein möglicherweise geringerer Datenschutzstandard als der
in den Mitgliedstaaten der Europäischen Union vorhandene
in den Fällen zur Geltung kommt, in denen Datenerhebungen,
-verarbeitungen oder -nutzungen innerhalb der Europäischen
Union durch außerhalb der Europäischen Union belegene
speichernde Stellen vorgenommen werden.
Darüber hinaus waren die Kriterien für den sachlichen
Anwendungsbereich des BDSG insofern in Übereinstimmung mit
Artikel 3 Abs. 1 der Richtlinie zu bringen, als es bei automatisierten
Verarbeitungen nicht mehr auf den Dateibegriff ankommt. Das Kriterium
der Datei ist nur noch von Bedeutung, soweit es um die nicht-automatisierte
Verarbeitung personenbezogener Daten geht.
- Da die Richtlinie die Erhebung personenbezogener Daten als
Teil der Verarbeitung begreift, das BDSG bisher aber nur die Erhebung
für den öffentlichen Bereich regelt, bedurfte es der
Einführung eines Gesetzesvorbehaltes auch für die Erhebung
im nicht-öffentlichen Bereich.
- Im Gegensatz zur bisherigen Rechtslage kommt dem Begriff des
"Empfängers" nunmehr neben dem des "Dritten"
eigenständige Bedeutung zu. Er war daher in § 3 Abs.
8 zu definieren, seine bisherige Verwendung im BDSG anzupassen.
- Die Übermittlung personenbezogener Daten in Drittländer
wurde in § 4b und § 4c neu geregelt. Diese Vorschriften
sollen zum einen ein koordiniertes Verhalten der Mitgliedstaaten
beim Transfer in Drittländer sicherstellen und zum anderen
- durch einen breiten Katalog von Ausnahmebestimmungen - dafür
Sorge tragen, daß der Wirtschaftsverkehr mit Drittländern
nicht unangemessen beeinträchtigt wird.
Da nach Umsetzung der Richtlinie durch die Mitgliedstaaten der
Europäischen Union von einem angemessenen Datenschutzniveau
innerhalb der Europäischen Union auszugehen ist, gelten insoweit
die §§ 15, 16 und 28ff.
- In den neu eingefügten §§ 4d und 4e ist die
Meldepflicht für automatisierte Dateien öffentlicher
und nicht-öffentlicher Stellen geregelt.
Nach der Regelung des § 4d Abs. 2 entfällt die Meldepflicht,
wenn die speichernde Stelle einen Datenschutzbeauftragten bestellt
hat. Damit kann die Meldepflicht im öffentlichen Bereich
vollständig entfallen, da durch § 4f Abs. 1 der behördliche
Datenschutzbeauftragte als obligatorische Institution eingeführt
wird. Neu ist die sog. Vorabkontrolle, d.h. bestimmte automatisierte
Dateien werden vor Inbetriebnahme einer Prüfung durch den
Datenschutzbeauftragten unterzogen.
- Die neue Vorschrift des § 6a beinhaltet die Regelung
der sog. automatisierten Einzelentscheidung. Durch die Vorschrift
soll verhindert werden, daß Entscheidungen ausschließlich
aufgrund von automatisiert erstellten Persönlichkeitsprofilen
getroffen werden, ohne daß eine Person den Sachverhalt erneut
überprüft hat.
- Der neu geschaffene § 19a führt eine Benachrichtigungspflicht
im öffentlichen Bereich für die Fälle ein, in denen
Daten nicht beim Betroffenen selbst erhoben werden.
- Da die Richtlinie keine Beschränkung der Datenschutzkontrolle
auf eine Anlaßkontrolle vorsieht, wie sie in § 38 Abs.
1 a.F. geregelt war, waren die entsprechenden Einschränkungen
zu streichen.
- Die neue Vorschrift des § 38a beinhaltet Regelungen im
Zusammenhang mit den sog. Verhaltensregeln zur Förderung
der ordnungsgemäßen Durchführung datenschutzrechtlicher
Regelungen, die u.a. eine Vereinheitlichung derartiger interner
Regeln bewirken sollen. Berufsverbände und ähnliche
Vereinigungen erhalten die Möglichkeit, von ihnen erarbeitete
Verhaltensregeln der Aufsichtsbehörde zur Überprüfung
vorzulegen. Diese ist verpflichtet, derartige Entwürfe auf
ihre Vereinbarkeit mit dem geltenden Recht zu überprüfen.
- Die Vorschrift des § 41, die die Verarbeitung und Nutzung
personenbezogener Daten durch Medien regelt, ist in zweifacher
Hinsicht geändert: Zum einen ist der Anwendungsbereich des
BDSG hinsichtlich der Verarbeitung und Nutzung personenbezogener
Daten durch Medien insofern erweitert worden, als nunmehr auch
die Vorschriften der Regelung zur Beweis-lastumkehr des Geschädigten,
die Strafvorschriften sowie die neugeschaffene Vorschrift des
§ 38a einzubeziehen waren. Gleichzeitig war aber auch der
Anwendungsbereich des sog. Medienprivilegs zu erweitern, da nunmehr
auch die Verarbeitung personenbezogener Daten zu künstlerischen
oder literarischen Zwecken hiervon erfaßt wird.
- Die Anlage zu § 9 wurde gestrafft, um die Anforderungen
der Richtlinie ergänzt, sprachlich überarbeitet sowie
den heutigen Gegebenheiten der Information- und Kommunikationstechnik
angepaßt.
2.3 Sonstige wesentliche Änderungen des BDSG
Neben den unmittelbar durch die Umsetzung der Datenschutzrichtlinie
bedingten Änderungen des BDSG sieht diese Novelle im neu
eingefügten § 29 Abs. 3 eine Regelung vor, mit der folgendes
erreicht wird: In den Fällen, in denen es sich bei Herausgebern
elektronischer oder gedruckter Verzeichnisse nicht um Diensteanbieter
im Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung
(TDSV) handelt, bestand bisher nur unzureichender Schutz der Betroffenen
vor nicht gewollten Eintragungen in diese Verzeichnisse. Diese
Regelungslücke schließt der neue § 29 Abs. 3.
|