A. Problem und Ziel
- Das Bundesdatenschutzgesetz legt für alle nicht öffentlichen Stellen fest, dass Verfahren zur automatisierten Verarbeitung personenbezogener Daten vor ihrer Inbetriebnahme grundsätzlich der zuständigen Aufsichtsbehörde zu melden sind. Diese Meldepflicht ist sowohl für die jeweilige verantwortliche Stelle als auch die Aufsichtsbehörde mit einem nicht unerheblichen bürokratischen Aufwand verbunden.
- Das Bundesdatenschutzgesetz sieht allerdings Ausnahmen von der Meldepflicht vor. Zum einen entfällt eine Meldung, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat, und zum anderen, wenn mit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten für eigene Zwecke höchstens vier Arbeitnehmer beschäftigt sind und eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Die Bestellung eines Datenschutzbeauftragten als wichtige Maßnahme der Selbstkontrolle des Datenschutzes für nicht öffentliche Stellen ist wiederum für den Fall vorgesehen, dass wenigstens fünf Arbeitnehmer in automatisierter oder mindestens zwanzig Personen auf "andere" Weise personenbezogene Daten erheben, verarbeiten oder nutzen.
- In den letzten Jahren haben sich jedoch nicht nur die zu Grunde liegenden Lebenssachverhalte erheblich verändert, auch der technische Wandel hat eine weite Verbreitung automatisierter Verarbeitungsformen in fast allen Lebensbereichen mit sich gebracht. So hat die zunehmende Automation des Zahlungswesens durch den täglichen Einsatz von EC- und Kreditkarten bei Tankstellen,
- Warenhäusern u.ä. oder die Nutzung von Datenverarbeitungsanlagen in Arztpraxen, Apotheken, Rechtsanwalts- und Steuerberaterkanzleien dazu geführt, dass immer mehr Klein- und Kleinstbetriebe durch den Einsatz automatisierter Datenverarbeitung von der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten erfasst werden. Die Beschränkung der Freistellung von Betrieben und Unternehmen, bei denen höchstens vier Arbeitnehmer mit automatisierter Datenverarbeitung befasst sind, ist nicht mehr zeitgemäß.
- Zugleich hat die komplizierte Regelung des Bundesdatenschutzgesetzes in den betroffenen Betrieben und Unternehmen nicht selten zu Unklarheiten bei der Beachtung der Meldepflicht und der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geführt.
- Das Ziel des Gesetzentwurfs ist es daher, auch kleinere Betriebe und Unternehmen, die mehr als vier Arbeitnehmer für automatisierte Datenverarbeitung einsetzen, von der Meldepflicht und der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten freizustellen. Hierdurch soll ein Beitrag zur Entbürokratisierung und Senkung der Kosten in den Betrieben geleistet werden. Zudem soll die Eigenverantwortung der nicht öffentlichen Stelle für die Einhaltung der datenschutzrechtlichen Bestimmungen gestärkt und durch eine Rechtsvereinfachung die Voraussetzung dazu geschaffen werden.
- Des Weiteren gab es in der Vergangenheit unterschiedliche Auffassungen der Aufsichtsbehörden der Länder über die Aufgaben, Rechte und Pflichten der sog. externen Datenschutzbeauftragten. Externe Datenschutzbeauftragte sind außerhalb der verantwortlichen Stelle stehende Personen, die von Betrieben an Stelle eines eigenen betrieblichen Beauftragten für den Datenschutz bestellt und mit der Wahrnehmung der Aufgabe betraut werden können. Insbesondere ist strittig, ob externe Datenschutzbeauftragte bei der Ausübung ihrer Tätigkeit bei nicht öffentlichen verantwortlichen Stellen, die besonderen Geheimhaltungspflichten unterliegen, eingeschränkt werden müssen.
B. Lösung
- Das Bundesdatenschutzgesetz wird dahingehend geändert, dass sowohl für das Entstehen der Meldepflicht als auch für die Bestellung eines betrieblichen Datenschutzbeauftragten die Mindestzahl von bisher höchstens vier auf nunmehr höchstens neunzehn Arbeitnehmer erhöht wird. Auf die bisherige notwendige Unterscheidung zwischen der automatisierten Verarbeitung und der "auf andere Weise" wird aus Gründen der Rechtsvereinfachung verzichtet. Zur Rechtssicherheit wird nunmehr eine Regelung aufgenommen, dass interne und externe Datenschutzbeauftragte die gleichen Aufgaben, Rechte und Pflichten haben und besondere Geheimhaltungspflichten der zu kontrollierenden verantwortlichen Stelle der Ausübung der Tätigkeit des externen Datenschutzbeauftragten nicht entgegenstehen.
C. Alternativen
D. Finanzielle Auswirkungen
- 1. Haushaltsausgaben ohne Vollzugsaufwand
Keine
- 2. Vollzugsaufwand
Die nach Landesrecht zuständigen Aufsichtsbehörden für die Kontrolle der Durchführung des Datenschutzes im nicht öffentlichen Bereich werden Einsparungen auf Grund der zurückgehenden Zahl von Meldungen nach § 4d BDSG erzielen können.
Es ist allerdings nicht auszuschließen, dass die Aufsichtsbehörden sich im Rahmen ihrer personellen Kapazitäten veranlasst sehen, vermehrt Prüfungen und Kontrollen bei der steigenden Zahl der nicht meldepflichtigen Betriebe und Unternehmen, die zudem auch keinen betrieblichen Datenschutzbeauftragten mehr zu bestellen haben, vorzunehmen.
E. Sonstige Kosten
- Die vorgesehenen Änderungen werden sich für viele tausend kleine Betriebe und Unternehmen kostenmindernd auswirken, da sie von der Pflicht zur Meldung der Verfahren automatisierter Verarbeitungen an die Aufsichtsbehörde bzw. von der Bestellung eines betrieblichen Datenschutzbeauftragten befreit werden. Die Gesamtsumme der Einsparungen ist nicht zu quantifizieren.
Gesetzentwurf des Bundesrates
Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes
Der Bundesrat hat in seiner 814. Sitzung am 23. September 2005 beschlossen, den beigefügten Gesetzentwurf gemäß Artikel 76 Abs. 1 des Grundgesetzes beim Deutschen Bundestag einzubringen.
Anlage
Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes
Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:
Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S.66) zuletzt geändert durch ... wird wie folgt geändert:
- 1. In § 4d Abs. 3 wird das Wort "vier" durch die Zahl "19" ersetzt.
- 2. § 4f wird wie folgt geändert:
- a) Absatz 1 wird wie folgt geändert:
- aa) In Satz 1 werden nach den Wörtern "Daten automatisiert" die Wörter "oder auf andere Weise" eingefügt.
- bb) Satz 3 wird gestrichen.
- cc) Die Sätze 4 bis 6 werden Sätze 3 bis 5
- dd) Im neuen Satz 3 wird das Wort "vier" durch die Zahl "19" ersetzt.
- b) Nach Absatz 5 wird folgender Absatz 6 angefügt:
(6) Ein nach Absatz 2 Satz 2 bestellter Beauftragter für den Datenschutz hat dieselben Aufgaben, Rechte und Pflichten wie ein Beauftragter für den Datenschutz innerhalb der verantwortlichen Stelle. Die verantwortliche Stelle und die bei ihr tätigen Personen können sich gegenüber dem Beauftragten für den Datenschutz, soweit er seine Aufgaben wahrnimmt, nicht auf die in § 1 Abs. 3 Satz 2 genannten Geheimhaltungspflichten berufen."
Artikel 2 Inkrafttreten
Dieses Gesetz tritt am Tage nach seiner Verkündung in Kraft.
Begründung
A. Allgemeiner Teil:
Seit der erstmaligen Einstellung von Regelungen über die Bestellung eines betrieblichen Datenschutzbeauftragten sowie der Meldepflicht durch das am 01.01.1978 in Kraft getretene Bundesdatenschutzgesetz (BDSG) haben sich die Bedeutung und der Anwendungsbereich der automatisierten Datenverarbeitung erheblich gewandelt.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch automatisierte Verfahren war damals die Ausnahme. Inzwischen ist die automatisierte Verarbeitung personenbezogener Daten sowohl im Handwerk und in der Industrie als auch bei den freiberuflich Tätigen die Regel. Dies wird vor allem deutlich durch den verbreiteten Einsatz automatisierter Zahlungssysteme, den täglichen Umgang mit EC- und Kreditkarten, und die Nutzung der automatisierten Datenverarbeitung in Arztpraxen, Apotheken, Steuerberater- und Rechtsanwaltskanzleien.
Dies hat u.a. dazu geführt, dass heute viele tausend kleinere Betriebe und Unternehmen, die früher einen betrieblichen Datenschutzbeauftragten nicht zu bestellen hatten, weil überwiegend keine automatisierte Datenverarbeitung erfolgte, inzwischen von der Bestellpflicht betroffen sind. Um für diese Stellen auch weiterhin keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten entstehen zu lassen, wird eine Erhöhung der zu niedrigen mit automatisierter personenbezogener Datenverarbeitung beschäftigten Arbeitnehmerzahl vorgeschlagen. Damit diese Änderung zu keiner Erhöhung der Meldepflichten der nicht öffentlichen verantwortlichen Stellen bei den zuständigen Aufsichtsbehörden der Länder führt, ist parallel eine identische Erhöhung der Höchstarbeitnehmerzahl für das Einsetzen der Meldepflicht nach § 4d Abs. 3 BDSG erforderlich.
Die vorgesehenen Regelungen stehen mit der Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (95/46/EG) im Einklang.
Die Erhöhung der Anzahl der mit automatisierter Datenverarbeitung befassten Arbeitnehmer von bisher 4 auf 19 in § 4d Abs. 3 BDSG sowie in § 4f Abs. 1 BDSG ist keine grundsätzliche, neue Regelung. Sie ist lediglich eine angemessene Anpassung an geänderte Lebenssachverhalte und eine Berücksichtigung des technischen Wandels, der zu einer weiten Verbreitung automatisierter Verarbeitungsformen in fast allen Lebensbereichen geführt hat. Die übrigen zum Schutz der Betroffenen bei Erhebung, Verarbeitung oder Nutzung personenbezogener Daten getroffenen Regelungen bleiben unberührt. So ist gem. § 4 Abs. 3 BDSG weiterhin erforderlich, dass entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Soweit von dem Einsatz der automatisierten Verarbeitungsverfahren besondere Risiken für das Persönlichkeitsrecht eines Einzelnen ausgehen, verbleibt es ohnehin auch künftig bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Arbeitnehmer.
Unter den Aufsichtsbehörden der Länder gibt es unterschiedliche Auffassungen über den Umfang der Aufgaben, die Rechte und die Pflichten der externen Datenschutzbeauftragten. Es wird nunmehr klargestellt, dass externe Beauftragte den internen gleichgestellt sind.
B. Zu den einzelnen Vorschriften
Zu Artikel 1 (Änderung des BDSG)
Die in § 4d Abs. 3 BDSG enthaltene Regelung stellt eine Ausnahme von der in § 4d Abs. 1 BDSG vorgesehenen grundsätzlichen Meldepflicht für automatisierte Verarbeitungsverfahren dar. Nach der bisherigen Regelung entfällt die Meldepflicht, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Mit der Änderung wird lediglich die Höchstmitarbeiterzahl auf neunzehn erhöht, die übrigen Voraussetzungen bleiben bestehen. Eine Meldepflicht setzt somit u.a. voraus, dass ein Unternehmen mindestens zwanzig Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt. Ohne diese Regelung würde die unter Nummer 2 vorgesehene Änderung viele tausend Betriebe zwar von der Bestellung eines betrieblichen Datenschutzbeauftragten befreien, sie aber gleichzeitig zur Meldung der Verfahren bei der Aufsichtsbehörde verpflichten.
Zu Buchst. a (Absatz 1)
Mit der vorgeschlagenen Änderung werden die Voraussetzungen für die Bestellung eines betrieblichen Datenschutzbeauftragten erhöht. So wird zum einen die Unterscheidung zwischen der automatisierten und der kaum noch eine Rolle spielenden herkömmlichen personenbezogenen Datenverarbeitung aufgehoben, zum anderen wird die Zahl der Höchstarbeitnehmerzahl wie in Nummer 1 auf neunzehn festgelegt. Das hat zur Folge, dass künftig nicht öffentliche Stellen grundsätzlich einen betrieblichen Datenschutzbeauftragten erst zu bestellen haben, wenn sie mindestens zwanzig Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen.
Zu Buchst. b (Absatz 6)
In der Praxis ist strittig, ob ein nach Absatz 2 Satz 2 bestellter Beauftragter für den Datenschutz (sog. externer Datenschutzbeauftragter) dieselben Rechte wie ein innerhalb der verantwortlichen Stelle tätiger Datenschutzbeauftragter hat oder ob er sich von der verantwortlichen Stelle oder den dort tätigen Personen Geheimhaltungspflichten nach § 1 Abs. 3 Satz 2, beispielsweise die ärztliche Schweigepflicht, entgegenhalten lassen muss. Die engere Sicht hat zur Folge, dass der externe Datenschutzbeauftragte bei der Wahrnehmung zumindest eines Teils seiner Aufgaben (z.B. bei der Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, unter Umständen auch bei der Beschwerde eines Betroffenen) eingeschränkt ist, so dass innerhalb der verantwortlichen Stelle eine weitere Person für die Erledigung dieser Aufgaben bestellt werden muss. Dies kann dazu führen, dass sich Unternehmen, die gerne einen externen Datenschutzbeauftragten bestellen würden, letztlich doch für einen internen Datenschutzbeauftragten entscheiden. Dies wird in Zukunft nicht mehr nötig sein. Der neue Absatz 6 stellt im Sinne der bereits jetzt überwiegend vertretenen Auffassung klar, dass externe Datenschutzbeauftragte dieselben Aufgaben, Rechte und Pflichten haben wie interne.
Zu Artikel 2 (Inkrafttreten)
Die Vorschrift regelt das Inkrafttreten.