SlideShare ist ein Scribd-Unternehmen logo
Deutscher Bundestag                                                             Drucksache   16/12011
16. Wahlperiode                                                                                18. 02. 2009




Gesetzentwurf
der Bundesregierung




Entwurf eines Gesetzes zur Regelung des Datenschutzaudits
und zur Änderung datenschutzrechtlicher Vorschriften



A. Problem und Ziel
Den Aufwendungen von Unternehmen für einen über das gesetzlich vorge-
schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquater
wirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere-
geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin-
det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu-
gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 des
Bundesdatenschutzgesetzes erfüllt werden.
In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han-
dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten
ist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3
Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel-
lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danach
dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu-
sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs-
forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden.
Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe-
zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne
in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu-
dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt-
und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be-
troffenen möchten über die Verwendung personenbezogener Daten für diese
Zwecke selbst entscheiden können.


B. Lösung
Unternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlich
geregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz-
konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn-
zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab-
ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mit
Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli-
nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un-
ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- und
Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben.
Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer-
bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
Drucksache 16/12011                                    –2–                Deutscher Bundestag – 16. Wahlperiode


beschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei-
nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit dem
Betroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu-
erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Daten
für Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oder
Meinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu-
dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durch
Kopplung mit dem Vertragsschluss erzwingen dürfen.


C. Alternativen
Keine


D. Finanzielle Auswirkungen auf die öffentlichen Haushalte
1. Haushaltsausgaben ohne Vollzugsaufwand
Keine

2. Vollzugsaufwand
Das Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereich
beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im
Rahmen der Durchführung des Gesetzes und der Überwachung der zugelasse-
nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durch
Kostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll-
zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In-
formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie-
hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellen
und der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech-
nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildung
eines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und der
Wirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutz
und die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl der
Kontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel in
Höhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden.
Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben ist
im Haushaltsaufstellungsverfahren 2010 zu entscheiden.


E. Sonstige Kosten
Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor-
schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per-
sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oder
der Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön-
nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, bei
unrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf-
sichtsbehörden und Betroffenen zu benachrichtigen.
Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaft
nach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten-
ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren auf
die Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwillig
ist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän-
gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolge
unterziehen.
Deutscher Bundestag – 16. Wahlperiode                –3–                           Drucksache 16/12011


F. Bürokratiekosten
Für die Wirtschaft werden 15 Informationspflichten neu eingeführt und eine
Informationspflicht geändert. Es wird keine Informationspflicht abgeschafft. Die
Summe der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio.
Euro.
Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt,
geändert oder abgeschafft.
Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und
keine Informationspflicht geändert oder abgeschafft.
Deutscher Bundestag – 16. Wahlperiode   –5–   Drucksache 16/12011
Deutscher Bundestag – 16. Wahlperiode                                –7–                               Drucksache 16/12011


                                                                                                                           Anlage 1

Entwurf eines Gesetzes zur Regelung des Datenschutzaudits
und zur Änderung datenschutzrechtlicher Vorschriften
                                                                    Vom …


   Der Bundestag hat das folgende Gesetz beschlossen:                     kontrollieren lassen, sofern sie nichtöffentliche Stellen im
                                                                          Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind.
                                                                          Sie dürfen ihr Datenschutzkonzept oder eine angebotene
                             Artikel 1                                    informationstechnische Einrichtung mit einem Datenschutz-
                  Datenschutzauditgesetz                                  auditsiegel kennzeichnen, wenn
                        (DSAG)*                                           1. bei der Datenverarbeitung, für die das Datenschutzkon-
                                                                             zept oder die informationstechnische Einrichtung vorge-
                   Inhaltsübersicht                                          sehen ist, die Vorschriften zum Schutz personenbezoge-
§1     Datenschutzaudit                                                      ner Daten eingehalten werden,
§2     Zuständigkeit                                                      2. die für das Datenschutzkonzept oder die informati-
§3     Kontrollen                                                            onstechnische Einrichtung geltenden Richtlinien zur Ver-
§4     Zulassung der Kontrollstelle und Entziehung der                       besserung des Datenschutzes und der Datensicherheit
       Zulassung                                                             nach § 11 Absatz 1 erfüllt werden,
§5     Anforderungen an das Personal der Kontrollstelle                   3. als Anbieter mit Sitz im Inland die Vorschriften des Bun-
                                                                             desdatenschutzgesetzes über die organisatorische Stel-
§6     Pflichten der Kontrollstelle                                          lung des Beauftragten für den Datenschutz eingehalten
§7     Pflichten der zuständigen Behörde                                     werden und
§8     Überwachung                                                        4. dies nach § 3 kontrolliert wird.
§9     Datenschutzauditsiegel, Verzeichnisse                              Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch
§ 10   Gebühren und Auslagen                                              die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten-
§ 11   Datenschutzauditausschuss                                          schutzgesetzes genannten Stellen.
§ 12   Mitglieder des Datenschutzauditausschusses
                                                                                                      §2
§ 13   Geschäftsordnung, Vorsitz und Beschlussfassung des                                        Zuständigkeit
       Datenschutzauditausschusses
                                                                             (1) Die Durchführung dieses Gesetzes und der auf Grund
§ 14   Geschäftsstelle des Datenschutzauditausschusses
                                                                          dieses Gesetzes erlassenen Rechtsverordnungen obliegt den
§ 15   Rechtsaufsicht                                                     nach Landesrecht zuständigen Behörden, soweit nachste-
§ 16   Verordnungsermächtigungen                                          hend nichts anderes bestimmt ist. Soweit für die geschäfts-
§ 17   Bußgeldvorschriften                                                mäßige Erbringung von Post- oder Telekommunikations-
                                                                          diensten Daten zu natürlichen oder juristischen Personen
§ 18   Strafvorschriften                                                  erhoben, verarbeitet oder genutzt werden, ist zuständige Be-
§ 19   Einziehung                                                         hörde der Bundesbeauftragte für den Datenschutz und die
§ 20   Übergangsvorschrift                                                Informationsfreiheit (Bundesbeauftragter).
                                                                             (2) Der Bundesbeauftragte ist zuständig für die Zulassung
                              §1                                          der Kontrollstellen, die Entziehung der Zulassung und die
                        Datenschutzaudit                                  Vergabe der Kennnummern an die Kontrollstellen.
   Nach Maßgabe dieses Gesetzes können
                                                                                                     §3
1. verantwortliche Stellen ihr Datenschutzkonzept und                                             Kontrollen
2. Anbieter von Datenverarbeitungsanlagen und -program-                      Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1
   men (informationstechnischen Einrichtungen) die ange-                  Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer-
   botenen informationstechnischen Einrichtungen                          den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas-
                                                                          senen Kontrollstellen durchgeführt, soweit die Aufgaben-
                                                                          wahrnehmung nicht mit der Durchführung eines Verwal-
* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen        tungsverfahrens verbunden ist. Der Beauftragte für den
  Parlaments und des Rates vom 22. Juni 1998 über ein Informations-
  verfahren auf dem Gebiet der Normen und technischen Vorschriften
                                                                          Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten-
  und der Vorschriften für die Dienste der Informationsgesellschaft       schutzgesetzes ist in die Durchführung der Kontrollen einzu-
  (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie   beziehen. Art und Häufigkeit der Kontrollen richten sich
  2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006,          nach dem Risiko des Auftretens von Verstößen gegen dieses
  S. 81) geändert worden ist, sind beachtet worden.                       Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
Drucksache 16/12011                                         –8–                 Deutscher Bundestag – 16. Wahlperiode


ordnungen oder die für das Datenschutzkonzept oder die in-         oder Insolvenzstraftaten mit einer Strafe oder wegen
formationstechnische Einrichtung geltenden Richtlinien zur         Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor-
Verbesserung des Datenschutzes und der Datensicherheit             schriften mit einer Geldbuße in Höhe von mehr als fünf-
nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine         hundert Euro belegt worden ist,
Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so-
                                                                2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz,
bald der ordnungsgemäße Geschäftsbetrieb der Kontroll-
                                                                   eine auf Grund dieses Gesetzes erlassene Rechtsverord-
stelle es ermöglicht, erstmalig und sodann spätestens inner-
                                                                   nung oder Vorschriften über den Schutz personenbezoge-
halb von zwölf Monaten nach dieser Kontrolle erneut kon-
                                                                   ner Daten verstoßen hat oder wiederholt oder grob
trolliert. Danach wird die nichtöffentliche Stelle spätestens
                                                                   pflichtwidrig als Beauftragter für den Datenschutz seine
alle 18 Monate kontrolliert.
                                                                   Verpflichtungen verletzt hat,
                         §4                                     3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur
      Zulassung der Kontrollstelle und Entziehung                  Bekleidung öffentlicher Ämter verloren hat,
                    der Zulassung                               4. sich nicht in geordneten wirtschaftlichen Verhältnissen
  (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn          befindet, es sei denn, dass dadurch die Interessen der kon-
                                                                   trollierten nichtöffentlichen Stelle oder Dritter nicht ge-
1. ihr Leitungspersonal und die für Kontrollen verantwort-         fährdet sind, oder
   lichen Beschäftigten über die erforderliche Zuverlässig-
   keit, Unabhängigkeit und fachliche Eignung verfügen,         5. aus gesundheitlichen Gründen nicht nur vorübergehend
                                                                   unfähig ist, die Kontrollen nach Maßgabe der nach § 16
2. die Kontrollstelle akkreditiert ist,                            Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung
3. die für die Zulassung erhobenen Gebühren entrichtet             ordnungsgemäß durchzuführen.
   worden sind und                                                 (2) Über die erforderliche Unabhängigkeit verfügt, wer
4. die Kontrollstelle ihren Sitz oder eine Niederlassung im     bei der Übernahme, Vorbereitung und Durchführung der
   Bundesgebiet hat.                                            Kontrollen keiner persönlichen, wirtschaftlichen oder beruf-
                                                                lichen Einflussnahme unterliegt, die geeignet ist, ein objek-
Mit der Zulassung ist der Kontrollstelle eine Kennnummer
                                                                tives Urteil zu beeinträchtigen. Für die Unabhängigkeit und
zuzuteilen.
                                                                Freiheit von Interessenkonflikten bietet in der Regel keine
   (2) Die Zulassung wird für das gesamte Bundesgebiet er-      Gewähr, wer
teilt. Auf Antrag kann die Zulassung auf einzelne Länder be-
                                                                1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oder
schränkt werden.
                                                                   Angestellter einer nichtöffentlichen Stelle ist, auf die sich
    (3) Die Zulassung kann mit Befristungen, Bedingungen           seine Kontrolltätigkeit bezieht,
oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla-
                                                                2. als Leitungspersonal der Kontrollstelle eine Tätigkeit auf
gen verbunden werden, soweit die Funktionsfähigkeit des
                                                                   Grund eines Beamtenverhältnisses, Soldatenverhältnis-
Kontrollsystems oder Belange des Datenschutzes hinsicht-
                                                                   ses oder eines Anstellungsvertrages mit einer juristischen
lich der Voraussetzungen nach Absatz 1 Nummer 1 oder
                                                                   Person des öffentlichen Rechts, eine Tätigkeit auf Grund
Nummer 2 dies erfordern. Unter denselben Voraussetzungen
                                                                   eines Richterverhältnisses, öffentlich-rechtlichen Dienst-
ist die nachträgliche Aufnahme und die Änderung von Auf-
                                                                   verhältnisses als Wahlbeamter auf Zeit oder eines öffent-
lagen zulässig.
                                                                   lich-rechtlichen Amtsverhältnisses ausübt, es sei denn,
  (4) Einer Kontrollstelle wird die Zulassung entzogen,            dass die übertragenen Aufgaben ehrenamtlich wahrge-
wenn die Kontrollstelle                                            nommen werden,
1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1,             3. Weisungen auf Grund vertraglicher oder sonstiger Bezie-
   Nummer 2 oder Nummer 4 nicht mehr genügt,                       hungen bei der Tätigkeit für die Kontrollstelle auch dann
2. ihren Verpflichtungen nach diesem Gesetz, insbesondere          zu befolgen hat, wenn sie zu Handlungen gegen seine
   nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund           Überzeugung verpflichten,
   dieses Gesetzes erlassenen Rechtsverordnung in schwer-       4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso-
   wiegender Weise nicht nachkommt.                                nell mit Dritten verflochten ist, wenn nicht deren Ein-
                                                                   flussnahme auf die Wahrnehmung der Aufgaben für die
                        §5                                         Kontrollstelle, insbesondere durch Satzung, Gesell-
   Anforderungen an das Personal der Kontrollstelle                schaftsvertrag oder Anstellungsvertrag ausgeschlossen
                                                                   ist.
   (1) Über die erforderliche Zuverlässigkeit verfügt, wer
auf Grund seiner persönlichen Eigenschaften, seines Verhal-        (3) Über die erforderliche fachliche Eignung verfügt, wer
tens und seiner Fähigkeiten die Gewähr für die ordnungsge-      auf Grund seiner Ausbildung, beruflichen Bildung und prak-
mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für         tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm
die Zuverlässigkeit bietet in der Regel keine Gewähr, wer       obliegenden Aufgaben befähigt ist. Im Bereich Recht sind
                                                                nachzuweisen:
1. ausweislich eines Führungszeugnisses für Behörden nach
   § 30 Absatz 5, § 31 des Bundeszentralregistergesetzes        1. der Abschluss eines Studiums der Rechtswissenschaft
   wegen Verletzung der Vorschriften des Strafrechts über          oder eines Studiums auf einem anderen Gebiet mit
   den persönlichen Lebens- und Geheimbereich, über                rechtswissenschaftlichen Inhalten, die den Umfang eines
   Eigentums- und Vermögensdelikte, Urkundenfälschung              durchschnittlichen Nebenfachstudiums der Rechtswis-
Deutscher Bundestag – 16. Wahlperiode                        –9–                               Drucksache 16/12011


   senschaft nicht unterschreiten, an einer deutschen Hoch-          (4) Die Kontrollstelle unterrichtet die von ihr kontrollier-
   schule oder ein gleichwertiger ausländischer Abschluss         ten nichtöffentlichen Stellen, die nach Landesrecht für die
   sowie eine dreijährige berufliche Tätigkeit mit dem            Sitze oder Niederlassungen der nichtöffentlichen Stellen zu-
   Schwerpunkt auf dem Gebiet des Datenschutzrechts oder          ständigen Behörden sowie den Bundesbeauftragten,
2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht         1. spätestens drei Monate vor der beabsichtigten Einstel-
   sowie eine mindestens fünfjährige berufliche Tätigkeit            lung ihrer Tätigkeit,
   mit dem Schwerpunkt auf dem Gebiet des Datenschutz-            2. im Falle eines Antrags auf Eröffnung eines Insolvenzver-
   rechts.                                                           fahrens unverzüglich.
Im Bereich Informationstechnik sind nachzuweisen:                 Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif-
                                                                  ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn
1. der Abschluss eines Studiums der Informatik, der Wirt-
                                                                  die Kontrolle der von ihr kontrollierten nichtöffentlichen
   schaftsinformatik oder eines Studiums auf einem anderen
                                                                  Stellen durch eine andere Kontrollstelle sichergestellt ist.
   Gebiet mit informationstechnischen Inhalten, die den
   Umfang eines durchschnittlichen Nebenfachstudiums
   der Informatik nicht unterschreiten, an einer deutschen                                    §7
   Hochschule oder ein gleichwertiger ausländischer Ab-                       Pflichten der zuständigen Behörde
   schluss sowie eine dreijährige berufliche Tätigkeit mit           (1) Die Kontrollstelle wird von der zuständigen Behörde
   dem Schwerpunkt auf dem Gebiet der Informationstech-           des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt,
   nik oder                                                       überwacht, indem die zuständige Behörde bei Bedarf Über-
                                                                  prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei-
2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der
                                                                  len die zuständigen Behörden einander die zur Überwachung
   Informationstechnik sowie eine mindestens fünfjährige
                                                                  der Kontrollstellen erforderlichen Auskünfte. Stellt die zu-
   berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge-
                                                                  ständige Behörde Tatsachen fest, die die Entziehung der Zu-
   biet der Informationstechnik.
                                                                  lassung rechtfertigen oder die Aufnahme oder Änderung von
Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer-         Auflagen zur Zulassung erforderlich machen können, hat sie
dens für die Kontrollstelle nicht seit mehr als drei Jahren un-   1. wenn der Ort der zu beanstandenden Kontrolltätigkeit
terbrochen sein.                                                     und der Sitz oder die Niederlassung der Kontrollstelle in
                                                                     demselben Land liegen, beim Bundesbeauftragten unter
                            §6                                       Mitteilung dieser Tatsachen die Entziehung der Zulas-
                Pflichten der Kontrollstelle                         sung oder die Aufnahme oder Änderung von Auflagen
                                                                     anzuregen oder,
   (1) Die Kontrollstelle hat ein Datenschutzkonzept oder
eine informationstechnische Einrichtung gegen angemes-            2. wenn der Ort der zu beanstandenden Kontrolltätigkeit
sene Vergütung in ihre Kontrollen einzubeziehen, soweit die          und der Sitz oder die Niederlassung der Kontrollstelle in
nichtöffentliche Stelle die Einbeziehung verlangt und ihren          verschiedenen Ländern liegen, der zuständigen Behörde
Sitz oder eine Niederlassung in dem Land hat, in dem die             des Landes, in dem der Sitz oder die Niederlassung der
Kontrollstelle zugelassen ist. Die zuständige Behörde kann           Kontrollstelle liegt, die Tatsachen mitzuteilen.
auf Antrag der Kontrollstelle eine Ausnahme von der Ver-          Erhält die zuständige Behörde des Landes, in dem der Sitz
pflichtung nach Satz 1 zulassen, soweit                           oder die Niederlassung der Kontrollstelle liegt, Kenntnis von
1. die Kontrollstelle wirksame Kontrollen nicht gewährleis-       Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes-
   ten kann und                                                   beauftragten unter Mitteilung dieser Tatsachen an, ein Ver-
                                                                  fahren zur Entziehung der Zulassung oder zur Aufnahme
2. die Durchführung der Kontrollen durch eine andere              oder Änderung von Auflagen einzuleiten. Im Rahmen des
   Kontrollstelle sichergestellt ist.                             § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle
   (2) Die Kontrollstelle übermittelt der zuständigen Behör-      nach Satz 1 durch den Bundesbeauftragten überwacht.
den jährlich bis zum 31. Januar ein Verzeichnis der nicht-           (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständige
öffentlichen Stellen, die am 31. Dezember des Vorjahres           Behörde anordnen, dass von dem Verstoß betroffene Daten-
ihrer Kontrolle unterstanden und legt bis zum 31. März jedes      schutzkonzepte oder informationstechnische Einrichtungen
Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor.          nicht mit dem Datenschutzauditsiegel gekennzeichnet wer-
                                                                  den dürfen, wenn dies in einem angemessenen Verhältnis zur
   (3) Die Kontrollstellen erteilen einander die für eine ord-    Bedeutung der Vorschrift, gegen die verstoßen wurde, sowie
nungsgemäße Durchführung dieses Gesetzes notwendigen              zu Art und Umständen des Verstoßes steht. Im Falle eines
Auskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver-    schwerwiegenden Verstoßes oder eines Verstoßes mit Lang-
stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie      zeitwirkung kann die zuständige Behörde der nichtöffent-
unverzüglich die zuständige Behörde. Soweit eine Kontroll-        lichen Stelle die Kennzeichnung für einen bestimmten Zeit-
stelle im Rahmen der von ihr durchgeführten Kontrollen Tat-       raum untersagen.
sachen feststellt, die einen hinreichenden Verdacht auf Ver-
stöße der in Satz 2 genannten Art begründen, der eine nicht
von der Kontrollstelle kontrollierte nichtöffentliche Stelle                                 §8
betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich                            Überwachung
der Kontrollstelle mit, deren Kontrolle die betroffene nicht-       (1) Die nichtöffentlichen Stellen und die Kontrollstellen
öffentliche Stelle untersteht.                                    haben den zuständigen Behörden auf Verlangen die zur
Drucksache 16/12011                                        – 10 –               Deutscher Bundestag – 16. Wahlperiode


Durchführung der den zuständigen Behörden durch dieses                                   § 10
Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga-                        Gebühren und Auslagen
ben erforderlichen Auskünfte zu erteilen.                          (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und
    (2) Die von der zuständigen Behörde beauftragten Perso-     Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung des
nen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be-        Verwaltungsaufwandes Gebühren und Auslagen erhoben
triebsräume der Auskunftspflichtigen während der Ge-            werden. Das Bundesministerium des Innern wird ermächtigt,
schäfts- oder Betriebszeit betreten und dort Besichtigungen     im Einvernehmen mit dem Bundesministerium der Finanzen
vornehmen und geschäftliche Unterlagen einsehen und prü-        durch Rechtsverordnung ohne Zustimmung des Bundesrates
fen, soweit dies zur Durchführung ihrer Aufgaben erforder-      die gebührenpflichtigen Tatbestände, die Gebührensätze so-
lich ist.                                                       wie die Auslagenerstattung zu bestimmen und dabei feste
                                                                Sätze oder Rahmensätze vorzusehen. In der Rechtsverord-
   (3) Auskunftspflichtige haben die Maßnahmen nach             nung kann die Erstattung von Auslagen abweichend vom
Absatz 2 zu dulden, die zu besichtigenden Bereiche selbst       Verwaltungskostengesetz geregelt werden.
oder durch andere so zu bezeichnen, dass die Besichtigung
ordnungsgemäß vorgenommen werden kann, selbst oder                 (2) Für Amtshandlungen der zuständigen Behörden nach
durch andere die erforderliche Hilfe bei Besichtigungen zu      § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren und
leisten sowie die geschäftlichen Unterlagen zur Einsicht-       Auslagen nach Maßgabe des Landesrechts erhoben werden.
nahme und Prüfung vorzulegen.
                                                                                          § 11
   (4) Auskunftspflichtige können die Auskunft auf solche                       Datenschutzauditausschuss
Fragen verweigern, deren Beantwortung sie oder einen der in
§ 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be-          Beim Bundesbeauftragten wird ein Datenschutzauditaus-
zeichneten Angehörigen der Gefahr strafgerichtlicher Ver-       schuss gebildet. Er erlässt Richtlinien zur Verbesserung des
folgung oder eines Verfahrens nach dem Gesetz über Ord-         Datenschutzes und der Datensicherheit, insbesondere durch
nungswidrigkeiten aussetzen würde. Auskunftspflichtige          1. Transparenz der Datenerhebung, -verarbeitung und -nut-
sind darauf hinzuweisen.                                           zung,
   (5) Die Absätze 1 bis 4 gelten entsprechend für die Kon-     2. Datenvermeidung und Datensparsamkeit nach § 3a des
trollen der nichtöffentlichen Stellen durch die Kontrollstel-      Bundesdatenschutzgesetzes,
len.                                                            3. die Stärkung der organisatorischen Stellung des Be-
                                                                   auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1
                          §9                                       des Bundesdatenschutzgesetzes,
          Datenschutzauditsiegel, Verzeichnisse
                                                                4. technische und organisatorische Maßnahmen nach § 9
   (1) Wer ein Datenschutzkonzept oder eine informations-          des Bundesdatenschutzgesetzes.
technische Einrichtung mit dem Datenschutzauditsiegel           Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei-
kennzeichnen will, hat dies dem Bundesbeauftragten vor der      ner Internetseite und im elektronischen Bundesanzeiger.
erstmaligen Verwendung des Siegels anzuzeigen. Der Bun-
desbeauftragte hat ein Verzeichnis der angezeigten Daten-          (2) Der Datenschutzauditausschuss unterrichtet die Öf-
schutzkonzepte sowie informationstechnischen Einrichtun-        fentlichkeit jährlich in einem Bericht über seine Tätigkeit
gen mit den Angaben nach Satz 3 zu führen und zum Zwecke        und Erfahrungen, insbesondere über Praktikabilität und er-
der Information der zuständigen Behörden und der Betroffe-      forderliche Änderungen erlassener Richtlinien sowie den
nen auf seiner Internetseite sowie im elektronischen Bundes-    Bedarf für neue Richtlinien.
anzeiger zu veröffentlichen. Das Verzeichnis muss folgende
Angaben enthalten:                                                                        § 12
                                                                       Mitglieder des Datenschutzauditausschusses
1. den Namen und die Anschrift oder die der nichtöffent-
   lichen Stelle durch die Kontrollstelle zugeordnete alpha-        (1) Mitglieder des Datenschutzauditausschusses sind
   numerische Identifikationsnummer,                            1. zwei Vertreter der Verwaltung des Bundes,
2. den Namen und die Anschrift oder die Kennnummer der          2. zwei Vertreter des Bundesamtes für Sicherheit in der In-
   Kontrollstelle,                                                 formationstechnik,
3. das angezeigte Datenschutzkonzept sowie die informa-         3. zwei Vertreter des Bundesbeauftragten,
   tionstechnische Einrichtung.                                 4. zwei Vertreter der Verwaltung der Länder,
Weitere Angaben darf das Verzeichnis nicht enthalten.           5. vier Vertreter von Aufsichtsbehörden der Länder für den
   (2) Der Bundesbeauftragte hat ein Verzeichnis der zuge-         Datenschutz im nichtöffentlichen Bereich,
lassenen Kontrollstellen mit den Angaben nach Satz 2 zu         6. sechs Vertreter von Unternehmen oder ihren Verbänden.
führen und zum Zwecke der Information der zuständigen
Behörden und der Betroffenen auf seiner Internetseite sowie     Sie unterliegen keinen Weisungen und sind ehrenamtlich tä-
im elektronischen Bundesanzeiger zu veröffentlichen. Das        tig. Die §§ 83 und 84 des Verwaltungsverfahrensgesetzes
Verzeichnis enthält die Namen, Anschriften und Kennnum-         sind anzuwenden.
mern der zugelassenen Kontrollstellen. Weitere Angaben             (2) Die Mitglieder des Datenschutzauditausschusses müs-
darf es nicht enthalten.                                        sen über gründliche Fachkenntnisse und mindestens dreijäh-
Deutscher Bundestag – 16. Wahlperiode                      – 11 –                           Drucksache 16/12011


rige praktische Erfahrungen auf dem Gebiet des Datenschut-      aufheben. Wenn der Datenschutzauditausschuss Beschlüsse
zes verfügen.                                                   oder sonstige Handlungen unterlässt, die zur Erfüllung sei-
   (3) Das Bundesministerium des Innern beruft die Mitglie-     ner gesetzlichen Aufgaben erforderlich sind, kann die Auf-
der des Datenschutzauditausschusses und für jedes Mitglied      sichtsbehörde anordnen, dass innerhalb einer bestimmten
einen Stellvertreter für die Dauer von drei Jahren, die Mit-    Frist die erforderlichen Maßnahmen getroffen werden. Die
glieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag       Aufsichtsbehörde hat die geforderten Handlungen im Ein-
und jeweils im Einvernehmen mit dem Bundesbeauftragten,         zelnen zu bezeichnen. Sie kann ihre Anordnung selbst
den für den Datenschutz zuständigen obersten Landesbehör-       durchführen oder von einem anderen durchführen lassen,
den, den Aufsichtsbehörden nach § 38 des Bundesdaten-           wenn die Anordnung vom Datenschutzauditausschuss nicht
schutzgesetzes sowie den Bundesdachverbänden der Wirt-          befolgt worden ist.
schaft.                                                            (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei-
   (4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur     chen, kann die Aufsichtsbehörde den Datenschutzauditaus-
mit beratender Stimme hinzuzuziehen, soweit Gegenstand          schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeit
der Sitzung eine Richtlinie ist, die nichtöffentliche Stellen   der Auflösungsanordnung unverzüglich neue Mitglieder ge-
betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni-       mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagene
kationsgesetzes oder § 42 Absatz 3 des Postgesetzes der         Personen nicht zu berücksichtigen, die dem aufgelösten Da-
Kontrolle des Bundesbeauftragten unterliegen.                   tenschutzauditausschuss angehört haben.

                        § 13                                                             § 16
    Geschäftsordnung, Vorsitz und Beschlussfassung                            Verordnungsermächtigungen
           des Datenschutzauditausschusses                        (1) Die Landesregierungen werden ermächtigt, durch
   (1) Der Datenschutzauditausschuss gibt sich eine Ge-         Rechtsverordnung
schäftsordnung, die der Genehmigung durch das Bundes-           1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab-
ministerium des Innern bedarf.                                     satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be-
   (2) Der Datenschutzauditausschuss wählt den Vorsitzen-          leihen oder sie an der Erfüllung der Aufgaben zu beteili-
den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss        gen,
jeweils ein Vertreter der Unternehmen oder ihrer Organisa-      2. die Voraussetzungen und das Verfahren der Beleihung
tionen, der Aufsichtsbehörden für den Datenschutz und der          und der Beteiligung zu regeln.
Verwaltung gehören.
                                                                Die Landesregierungen können die Ermächtigung durch
  (3) Der Datenschutzauditausschuss beschließt                  Rechtsverordnung ganz oder teilweise auf andere Behörden
1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der         des Landes übertragen.
   Mehrheit von zwei Dritteln der gesetzlichen Mitglieder
                                                                   (2) Die Bundesregierung wird ermächtigt, nach Anhörung
   und
                                                                des Bundesbeauftragten durch Rechtsverordnung ohne Zu-
2. in Angelegenheiten der Geschäftsordnung mit der Mehr-        stimmung des Bundesrates
   heit der gesetzlichen Mitglieder.
                                                                1. zugelassene Kontrollstellen mit Aufgaben nach § 2
                                                                   Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu
                          § 14                                     beleihen oder sie an der Erfüllung der Aufgaben zu betei-
    Geschäftsstelle des Datenschutzauditausschusses                ligen,
   Der Datenschutzauditausschuss wird bei der Durchfüh-
                                                                2. die Voraussetzungen und das Verfahren der Beleihung
rung seiner Aufgaben durch eine Geschäftsstelle unterstützt,
                                                                   und der Beteiligung zu regeln.
die den Weisungen des Vorsitzenden des Datenschutzaudit-
ausschusses unterliegt.                                           (3) Das Bundesministerium des Innern wird ermächtigt,
                                                                durch Rechtsverordnung mit Zustimmung des Bundesrates
                          § 15                                  nähere Regelungen zu treffen über
                      Rechtsaufsicht                            1. die Einzelheiten der Verwendung des Datenschutzaudit-
   (1) Der Datenschutzauditausschuss untersteht der Auf-           siegels, um eine einheitliche Kennzeichnung und eindeu-
sicht des Bundesministeriums des Innern (Aufsichtsbehör-           tige Erkennbarkeit der Kennzeichnung der Datenschutz-
de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit        konzepte und informationstechnischen Einrichtungen zu
der Ausschusstätigkeit, insbesondere darauf, dass die Aufga-       gewährleisten,
be nach § 11 Absatz 1 Satz 2 erfüllt wird.                      2. die Voraussetzungen und das Verfahren der Zulassung
   (2) Die Aufsichtsbehörde kann an den Sitzungen des Da-          nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen und
tenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen        das Verfahren der Entziehung der Zulassung nach § 4
das Wort zu erteilen. Sie kann schriftliche Berichte und die       Absatz 4, § 7 Absatz 1 Satz 3 und 4,
Vorlage von Akten verlangen.                                    3. die Mindestanforderungen an die Kontrollen und die im
  (3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der            Rahmen der Kontrollen vorgesehenen Vorkehrungen,
Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe-
                                                                4. die Gestaltung des Datenschutzauditsiegels,
hörde kann rechtswidrige Beschlüsse des Datenschutzaudit-
ausschusses beanstanden und nach vorheriger Beanstandung        5. die Anzeige nach § 9 Absatz 1 Satz 1.
Drucksache 16/12011                                        – 12 –               Deutscher Bundestag – 16. Wahlperiode


                          § 17                                                           Artikel 2
                   Bußgeldvorschriften
                                                                     Änderung des Bundesdatenschutzgesetzes
  (1) Ordnungswidrig handelt, wer                                 Das Bundesdatenschutzgesetz in der Fassung der Be-
1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich-     kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt
   tig, nicht vollständig oder nicht rechtzeitig übermittelt    geändert durch das Gesetz vom …, wird wie folgt geändert:
   oder einen dort genannten Bericht nicht, nicht richtig       1. Die Inhaltsübersicht wird wie folgt geändert:
   oder nicht rechtzeitig vorlegt,
                                                                    a) Nach der Angabe zu § 9 wird die Angabe „§ 9a
2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu-           Datenschutzaudit“ gestrichen.
   ständige Behörde, eine nichtöffentliche Stelle oder den          b) Die Angabe zu § 28 wie folgt gefasst:
   Bundesbeauftragten nicht, nicht richtig, nicht vollständig
   oder nicht rechtzeitig unterrichtet,                                „§ 28 Datenerhebung und -speicherung für eigene
                                                                             Geschäftszwecke“.
3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht
   richtig, nicht vollständig oder nicht rechtzeitig macht,         c) Nach der Angabe zu § 42 wird folgende Angabe ein-
                                                                       gefügt:
4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig,           „§ 42a Informationspflicht bei unrechtmäßiger Kennt-
   nicht vollständig oder nicht rechtzeitig erteilt,                          niserlangung von Daten“.
5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder            d) Nach der Angabe zu § 46 wird folgende Angabe ein-
                                                                       gefügt:
6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit
   einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5,                 „§ 47 Übergangsregelung“.
   eine Anzeige nicht, nicht richtig, nicht vollständig oder    2. Dem § 4f Absatz 3 werden folgende Sätze angefügt:
   nicht rechtzeitig erstattet.
                                                                    „Ist nach Absatz 1 ein Beauftragter für den Datenschutz
   (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs-        zu bestellen, so ist die Kündigung des Arbeitsverhältnis-
sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2          ses unzulässig, es sei denn, dass Tatsachen vorliegen,
zuwiderhandelt.                                                     welche die verantwortliche Stelle zur Kündigung aus
                                                                    wichtigem Grund ohne Einhaltung einer Kündigungsfrist
   (3) Die Ordnungswidrigkeit kann in den Fällen des                berechtigen. Nach der Abberufung als Beauftragter für
Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend             den Datenschutz ist die Kündigung innerhalb eines Jah-
Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf-         res nach der Beendigung der Bestellung unzulässig, es sei
zigtausend Euro geahndet werden. Die Geldbuße soll den              denn, dass die verantwortliche Stelle zur Kündigung aus
wirtschaftlichen Vorteil, den der Täter aus der Ordnungswid-        wichtigem Grund ohne Einhaltung einer Kündigungsfrist
rigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge-         berechtigt ist. Zur Erhaltung der zur Erfüllung seiner
nannten Beträge hierfür nicht aus, können sie überschritten         Aufgaben erforderlichen Fachkunde hat die verantwort-
werden.                                                             liche Stelle dem Beauftragten für den Datenschutz die
                                                                    Teilnahme an Fort- und Weiterbildungsveranstaltungen
                           § 18                                     zu ermöglichen und deren Kosten zu übernehmen.“
                     Strafvorschriften                          3. § 9a wird aufgehoben.
   Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand-     4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3
lung in der Absicht begeht, sich oder einen anderen zu berei-      Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2
chern oder einen anderen zu schädigen, wird mit Freiheits-         Buchstabe a“ ersetzt.
strafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
                                                                5. § 28 wird wie folgt geändert:
                                                                    a) Die Überschrift wird wie folgt gefasst:
                           § 19
                        Einziehung                                                           㤠28
                                                                            Datenerhebung und -speicherung für eigene
  Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder                                  Geschäftszwecke“.
Absatz 2 oder eine Straftat nach § 18 begangen worden, kön-
nen Gegenstände, auf die sich die Straftat oder die Ord-            b) In Absatz 1 Satz 1 Nummer 1 werden die Wörter
nungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be-             „Vertragsverhältnisses oder vertragsähnlichen Ver-
gehung oder Vorbereitung gebraucht worden oder bestimmt                trauensverhältnisses“ durch die Wörter „rechtsge-
gewesen sind, eingezogen werden. § 23 des Gesetzes über                schäftlichen oder rechtsgeschäftsähnlichen Schuld-
Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind               verhältnisses“ ersetzt.
anzuwenden.                                                         c) Absatz 2 wird wie folgt gefasst:
                                                                         „(2) Die Übermittlung oder Nutzung für einen an-
                          § 20                                         deren Zweck ist zulässig
                   Übergangsvorschrift
                                                                       1. unter den Voraussetzungen des Absatzes 1 Satz 1
  § 1 ist erst ab dem 1. Juli 2010 anzuwenden.                            Nummer 2 oder Nummer 3,
Deutscher Bundestag – 16. Wahlperiode                     – 13 –                            Drucksache 16/12011


     2. soweit es erforderlich ist                                    oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig,
                                                                      soweit schutzwürdige Interessen des Betroffenen
        a) zur Wahrung berechtigter Interessen eines Drit-
                                                                      nicht entgegenstehen. Nach den Sätzen 1 bis 3 über-
           ten oder
                                                                      mittelte Daten dürfen nur für den Zweck verarbeitet
        b) zur Abwehr von Gefahren für die staatliche                 oder genutzt werden, für den sie übermittelt worden
           oder öffentliche Sicherheit oder zur Verfolgung            sind.“
           von Straftaten
                                                                   e) Nach Absatz 3 werden folgende Absätze 3a und 3b
        und kein Grund zu der Annahme besteht, dass der               eingefügt:
        Betroffene ein schutzwürdiges Interesse an dem
                                                                         „(3a) Wird die Einwilligung nach § 4a Absatz 1
        Ausschluss der Übermittlung oder Nutzung hat,
                                                                      Satz 3 in anderer Form als der Schriftform erteilt, hat
        oder
                                                                      die verantwortliche Stelle dem Betroffenen den Inhalt
     3. wenn es im Interesse einer Forschungseinrichtung              der Einwilligung schriftlich zu bestätigen, es sei denn,
        zur Durchführung wissenschaftlicher Forschung                 dass die Einwilligung elektronisch erklärt wird und
        erforderlich ist, das wissenschaftliche Interesse an          die verantwortliche Stelle sicherstellt, dass die Ein-
        der Durchführung des Forschungsvorhabens das                  willigung protokolliert wird und der Betroffene deren
        Interesse des Betroffenen an dem Ausschluss der               Inhalt jederzeit abrufen und die Einwilligung jederzeit
        Zweckänderung erheblich überwiegt und der                     mit Wirkung für die Zukunft widerrufen kann. Eine
        Zweck der Forschung auf andere Weise nicht oder               zusammen mit anderen Erklärungen erteilte Einwilli-
        nur mit unverhältnismäßigem Aufwand erreicht                  gung ist nur wirksam, wenn der Betroffene durch An-
        werden kann.“                                                 kreuzen, durch eine gesonderte Unterschrift oder
                                                                      durch ein anderes, ausschließlich auf die Einwilligung
  d) Absatz 3 wird wie folgt gefasst:
                                                                      in die Verarbeitung oder Nutzung der Daten für
        „(3) Die Verarbeitung oder Nutzung personenbezo-              Zwecke des Adresshandels, der Werbung oder der
     gener Daten für Zwecke des Adresshandels, der Wer-               Markt- oder Meinungsforschung bezogenes Tun
     bung oder der Markt- oder Meinungsforschung ist zu-              zweifelsfrei zum Ausdruck bringt, dass er die Einwil-
     lässig, soweit der Betroffene nach Maßgabe des                   ligung bewusst erteilt.
     Absatzes 3a eingewilligt hat. Darüber hinaus ist die
                                                                         (3b) Die verantwortliche Stelle darf den Abschluss
     Verarbeitung oder Nutzung personenbezogener Daten
                                                                      eines Vertrags nicht von einer Einwilligung des Be-
     zulässig, soweit es sich um listenmäßig oder sonst zu-
                                                                      troffenen nach Absatz 3 Satz 1 abhängig machen,
     sammengefasste Daten über Angehörige einer Perso-
                                                                      wenn dem Betroffenen ein anderer Zugang zu gleich-
     nengruppe handelt, die sich auf die Zugehörigkeit des
                                                                      wertigen vertraglichen Leistungen ohne die Einwilli-
     Betroffenen zu dieser Personengruppe, seine Berufs-,
                                                                      gung nicht oder nicht in zumutbarer Weise möglich
     Branchen- oder Geschäftsbezeichnung, seinen Na-
                                                                      ist.“
     men, Titel, akademischen Grad, seine Anschrift und
     sein Geburtsjahr beschränken, und die Verarbeitung            f) Absatz 4 wird wie folgt geändert:
     oder Nutzung
                                                                      aa) In Satz 1 werden das Wort „Nutzung“ jeweils
     1. für Zwecke der Werbung für eigene Angebote oder                   durch das Wort „Verarbeitung“ und das Wort
        der eigenen Markt- oder Meinungsforschung der                     „Übermittlung“ jeweils durch das Wort „Nut-
        verantwortlichen Stelle erforderlich ist, die diese               zung“ ersetzt.
        Daten mit Ausnahme der Angabe zur Gruppenzu-
                                                                      bb) In Satz 2 werden nach dem Wort „Ansprache“ die
        gehörigkeit beim Betroffenen nach § 28 Absatz 1
                                                                          Wörter „und in den Fällen des Absatzes 1 Satz 1
        Satz 1 Nummer 1 erhoben hat,
                                                                          Nummer 1 auch bei Begründung des rechts-
     2. für Zwecke der Werbung oder der Markt- oder                       geschäftlichen oder rechtsgeschäftsähnlichen
        Meinungsforschung gegenüber freiberuflich oder                    Schuldverhältnisses“ eingefügt.
        gewerblich Tätigen unter deren Geschäftsadresse
                                                                      cc) Satz 3 wird wie folgt geändert:
        erforderlich ist oder
                                                                          aaa) Nach dem Wort „Daten“ werden die Wörter
     3. für Zwecke der Spendenwerbung einer verant-
                                                                               „im Rahmen der Zwecke“ eingefügt.
        wortlichen Stelle erforderlich ist, wenn Spenden
        an diese gemäß § 10b Absatz 1 und § 34g des Ein-                  bbb) Das Wort „werden“ wird durch die Wörter
        kommensteuergesetzes steuerbegünstigt sind.                            „worden sind“ ersetzt.
     Für Zwecke nach Satz 2 Nummer 1 darf die ver-                    dd) Folgender Satz wird angefügt:
     antwortliche Stelle zu den dort genannten Daten wei-
                                                                          „In den Fällen des Absatzes 1 Satz 1 Nummer 1
     tere Daten hinzuspeichern. Die Nutzung personenbe-
                                                                          darf für den Widerspruch keine strengere Form
     zogener Daten für Zwecke der Werbung oder der
                                                                          verlangt werden als für die Begründung des
     Markt- oder Meinungsforschung ist zudem zulässig,
                                                                          rechtsgeschäftlichen oder rechtsgeschäftsähn-
     soweit sie zusammen mit Werbung oder Markt- oder
                                                                          lichen Schuldverhältnisses.“
     Meinungsforschung nach Satz 2 Nummer 1 oder mit
     der Durchführung eines rechtsgeschäftlichen oder              g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“
     rechtsgeschäftsähnlichen Schuldverhältnisses nach                durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“
     Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung              ersetzt.
Drucksache 16/12011                                      – 14 –               Deutscher Bundestag – 16. Wahlperiode


6. § 29 wird wie folgt geändert:                                  ten. Soweit die Benachrichtigung der Betroffenen einen
                                                                  unverhältnismäßigen Aufwand erfordern würde, insbe-
   a) Absatz 1 wird wie folgt geändert:
                                                                  sondere auf Grund der Vielzahl der betroffenen Fälle, tritt
      aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort          an ihre Stelle die Information der Öffentlichkeit durch
          „und“ durch das Wort „oder“ ersetzt.                    Anzeigen, die mindestens eine halbe Seite umfassen, in
                                                                  mindestens zwei bundesweit erscheinenden Tageszeitun-
      bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“        gen. Eine Benachrichtigung, die der Benachrichtigungs-
          durch die Wörter „§ 28 Absatz 1 Satz 1 und              pflichtige erteilt hat, darf in einem Strafverfahren oder in
          Absatz 3 bis 3b“ ersetzt.                               einem Verfahren nach dem Gesetz über Ordnungswidrig-
   b) Absatz 2 wird wie folgt geändert:                           keiten gegen ihn oder einen in § 52 Absatz 1 der Straf-
                                                                  prozessordnung bezeichneten Angehörigen des Benach-
      aa) Satz 1 Nummer 1 wird wie folgt gefasst:                 richtigungspflichtigen nur mit Zustimmung des Benach-
          „1. der Dritte, dem die Daten übermittelt wer-          richtigungspflichtigen verwendet werden.“
              den, ein berechtigtes Interesse an ihrer        9. § 43 wird wie folgt geändert:
              Kenntnis glaubhaft dargelegt hat und“.
                                                                  a) Absatz 1 wird wie folgt geändert:
      bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“
          durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt.           aa) Nach Nummer 2 werden folgende Nummern 2a
                                                                         und 2b eingefügt:
      cc) In Satz 3 wird nach der Angabe „Nummer 1“ die
          Angabe „Buchstabe a“ gestrichen.                                „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge-
                                                                               währleistet, dass die Datenübermittlung
7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden                         festgestellt und überprüft werden kann,
   die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die
   Wörter „§ 29 Absatz 2 Satz 2“ ersetzt.                                 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf-
                                                                              trag nicht, nicht richtig, nicht vollständig
8. Nach § 42 wird folgender § 42a eingefügt:
                                                                              oder nicht in der vorgeschriebenen Weise
                           „§ 42a                                             erteilt,“.
           Informationspflicht bei unrechtmäßiger
                                                                     bb) Nach Nummer 3 wird folgende Nummer 3a ein-
                Kenntniserlangung von Daten
                                                                         gefügt:
     Stellt eine nichtöffentliche Stelle im Sinne des § 2
                                                                          „3a. entgegen § 28 Absatz 4 Satz 4 eine stren-
   Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1
                                                                               gere Form verlangt,“.
   Satz 1 Nummer 2 fest, dass bei ihr gespeicherte
                                                                  b) Absatz 2 wird wie folgt geändert:
   1. besondere Arten personenbezogener Daten (§ 3
      Absatz 9),                                                     aa) In Nummer 5 werden die Wörter „, indem er sie
   2. personenbezogene Daten, die einem Berufsgeheimnis                  an Dritte weitergibt“ und am Ende das Wort
      unterliegen,                                                       „oder“ gestrichen.

   3. personenbezogene Daten, die sich auf strafbare Hand-           bb) Folgende Nummer 5a wird angefügt:
      lungen oder Ordnungswidrigkeiten oder den Verdacht                  „5a. entgegen § 28 Absatz 4 Satz 1 Daten für
      strafbarer Handlungen oder Ordnungswidrigkeiten                          Zwecke der Werbung oder der Markt- oder
      beziehen, oder                                                           Meinungsforschung verarbeitet oder nutzt,“.
   4. personenbezogene Daten zu Bank- oder Kreditkarten-             cc) In Nummer 6 wird der Punkt am Ende durch das
      konten                                                             Wort „oder“ ersetzt.
   unrechtmäßig übermittelt oder auf sonstige Weise Dritten          dd) Folgende Nummer 7 wird angefügt:
   unrechtmäßig zur Kenntnis gelangt sind und drohen
   schwerwiegende Beeinträchtigungen für die Rechte oder                  „7. entgegen § 42a Satz 1 eine Mitteilung nicht,
   schutzwürdigen Interessen der Betroffenen, hat sie dies                    nicht richtig, nicht vollständig oder nicht
   nach den Sätzen 2 bis 5 unverzüglich der zuständigen                       rechtzeitig macht.“
   Aufsichtsbehörde sowie den Betroffenen mitzuteilen.            c) Absatz 3 wird wie folgt geändert:
   Die Benachrichtigung des Betroffenen muss unver-
   züglich erfolgen, sobald angemessene Maßnahmen zur                aa) Das Wort „fünfundzwanzigtausend“ wird durch
   Sicherung der Daten ergriffen worden oder nicht unver-                das Wort „fünfzigtausend“ und das Wort „zwei-
   züglich erfolgt sind und die Strafverfolgung nicht mehr               hundertfünfzigtausend“ wird durch das Wort
   gefährdet wird. Die Benachrichtigung der Betroffenen                  „dreihunderttausend“ ersetzt.
   muss eine Darlegung der Art der unrechtmäßigen Kennt-             bb) Nach Satz 1 werden folgende Sätze eingefügt:
   niserlangung und Empfehlungen für Maßnahmen zur
   Minderung möglicher nachteiliger Folgen enthalten. Die                 „Die Geldbuße soll den wirtschaftlichen Vorteil,
   Benachrichtigung der zuständigen Aufsichtsbehörde                      den der Täter aus der Ordnungswidrigkeit gezo-
   muss zusätzlich eine Darlegung möglicher nachteiliger                  gen hat, übersteigen. Reichen die in Satz 1 ge-
   Folgen der unrechtmäßigen Kenntniserlangung und der                    nannten Beträge hierfür nicht aus, so können sie
   von der Stelle daraufhin ergriffenen Maßnahmen enthal-                 überschritten werden.“
Deutscher Bundestag – 16. Wahlperiode                               – 15 –                             Drucksache 16/12011


10. Nach § 46 wird folgender § 47 eingefügt:                              4. § 16 Absatz 2 wird wie folgt geändert:
                                „§47                                         a) Nummer 2 wird aufgehoben.
                          Übergangsregelung
                                                                             b) Die bisherigen Nummern 3 bis 6 werden die Num-
        Für die Verarbeitung und Nutzung vor dem 1. Juli                        mern 2 bis 5.
      2009 erhobener Daten ist § 28 in der bis dahin gelten-
      den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“
                                                                                                   Artikel 4
                             Artikel 3                                        Änderung des Telekommunikationsgesetzes
           Änderung des Telemediengesetzes*                                 Das Telekommunikationsgesetz vom 22. Juni 2004
                                                                          (BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt
   Das Telemediengesetz vom 26. Februar 2007 (BGBl. I                     geändert:
S. 179) wird wie folgt geändert:
                                                                          1. Dem § 93 wird folgender Absatz 3 angefügt:
1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15
   Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter                         „(3) Stellt der Diensteanbieter fest, dass bei ihm ge-
   „§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt.                       speicherte Bestandsdaten oder Verkehrsdaten unrechtmä-
                                                                             ßig übermittelt worden oder auf sonstige Weise Dritten
2. § 12 wird wie folgt geändert:                                             zur Kenntnis gelangt sind, und drohen schwerwiegende
    a) Absatz 3 wird aufgehoben.                                             Beeinträchtigungen für die Rechte oder schutzwürdigen
                                                                             Interessen des betroffenen Nutzers, gilt § 42a des Bun-
    b) Der bisherige Absatz 4 wird Absatz 3.
                                                                             desdatenschutzgesetzes entsprechend.“
3. Nach § 15 wird folgender § 15a eingefügt:
                                                                          2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni-
                              „§ 15a                                         kationsdiensten“ die Wörter „ohne die Einwilligung“ ein-
              Informationspflicht bei unrechtmäßiger                         gefügt.
                   Kenntniserlangung von Daten
       Stellt der Diensteanbieter fest, dass bei ihm gespei-
    cherte Bestands- oder Nutzungsdaten unrechtmäßig                                               Artikel 5
    übermittelt worden oder auf sonstige Weise Dritten zur                              Bekanntmachungserlaubnis
    Kenntnis gelangt sind, und drohen schwerwiegende Be-
    einträchtigungen für die Rechte oder schutzwürdigen In-                  Das Bundesministerium des Innern kann den Wortlaut des
    teressen des betroffenen Nutzers, gilt § 42a des Bundes-              Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel-
    datenschutzgesetzes entsprechend.“                                    tenden Fassung im Bundesgesetzblatt bekannt machen.


* Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen                                 Artikel 6
  Parlaments und des Rates vom 22. Juni 1998 über ein Informations-
  verfahren auf dem Gebiet der Normen und technischen Vorschriften
                                                                                                 Inkrafttreten
  und der Vorschriften für die Dienste der Informationsgesellschaft         (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am
  (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie   Tag nach der Verkündung in Kraft.
  2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006,
  S. 82) geändert worden ist, sind beachtet worden.                          (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
Drucksache 16/12011                                       – 16 –              Deutscher Bundestag – 16. Wahlperiode


Begründung


                  A. Allgemeiner Teil                          gekennzeichnete Datenschutzkonzepte oder informations-
                                                               technische Einrichtungen an dem Datenschutzauditsiegel
I. Ziel und Inhalt des Entwurfs                                erkennen und bei der Entscheidung zwischen mehreren An-
In der jüngeren Vergangenheit sind zunehmend Fälle des un-     bietern berücksichtigen. Anstrengungen, die über die gesetz-
berechtigten Handels mit personenbezogenen Daten bekannt       lichen Anforderungen in Bezug auf den Datenschutz hinaus-
geworden. Die Herkunft der Daten ist größtenteils nicht        gehen, können für Unternehmen einen wirtschaftlichen
nachvollziehbar. Der bisherige Erlaubnistatbestand des § 28    Mehrwert darstellen. Zugleich wird bei den Verbrauchern
Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes         Bewusstsein für die Datenschutzrelevanz eines Produktes
hat sich dabei für die Herstellung der notwendigen Transpa-    oder einer Dienstleistung geschaffen und gefördert.
renz als besonders nachteilig erwiesen. Danach dürfen be-
stimmte personenbezogene Daten, wenn sie listenmäßig
                                                               II. Gesetzgebungskompetenz
oder sonst zusammengefasst sind, für Zwecke der Werbung
oder der Markt- oder Meinungsforschung, ohne Einwilli-         Die Gesetzgebungskompetenz des Bundes folgt für Rege-
gung der Betroffenen übermittelt oder genutzt werden. Die      lungen des Datenschutzes als Annex aus der Kompetenz für
praktische Anwendung dieser Vorschrift hat dazu geführt,       die geregelte Sachmaterie.
dass personenbezogene Daten der Bürgerinnen und Bürger
weitläufig zum Erwerb oder zur Nutzung angeboten werden,       Einem Datenschutzaudit nach Artikel 1 können sich private
ohne in jedem Fall die in der Vorschrift angelegten Anforde-   Unternehmen und diesen gleichgestellte öffentlich-recht-
rungen zu beachten. Personenbezogene Daten werden ohne         liche Wettbewerbsunternehmen unterziehen. Betroffene
Beachtung der Zweckbindung verarbeitet und mit weiteren        Sachmaterie ist daher ganz überwiegend das Recht der Wirt-
Daten verknüpft und weiter übermittelt. Zudem hat sich das     schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes).
Verhältnis der Bürgerinnen und Bürger zur Werbung und          Die Berechtigung des Bundes zur Inanspruchnahme der Ge-
Markt- oder Meinungsforschung seit der Einführung der          setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2
Vorschrift im Bundesdatenschutzgesetz von 1977 gewan-          Grundgesetz. Eine bundesgesetzliche Regelung über ein
delt. Die gezielte Ansprache zum Zwecke der Werbung oder       Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit im
Markt- oder Meinungsforschung wird von den Bürgerinnen         Bundesgebiet im gesamtstaatlichen Interesse erforderlich.
und Bürgern zunehmend als Belastung empfunden und ist          Eine unterschiedliche Regelung dieser Materie durch den
mit dem Wunsch nach mehr Selbstbestimmung verbunden.           Landesgesetzgeber oder sein Untätigbleiben würde zu er-
Zudem haben die öffentlich bekannt gewordenen Vorkomm-         heblichen Nachteilen für die Gesamtwirtschaft führen, die
nisse deutlich gemacht, dass für eine effektivere Durchset-    sowohl im Interesse des Bundes als auch der Länder nicht
zung der bestehenden gesetzlichen Regelungen zum Daten-        hingenommen werden können. Insbesondere wäre zu be-
schutz die Stellung der betrieblichen Beauftragten für den     fürchten, dass unterschiedliche landesrechtliche Behandlun-
Datenschutz gestärkt werden muss und die Bußgeldtatbe-         gen gleicher Lebenssachverhalte erhebliche Wettbewerbs-
stände erweitert werden müssen, um zu einem wirksamen          verzerrungen und störende Schranken für die länderüber-
Vorgehen der Aufsichtsbehörden beizutragen. Die vorge-         greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäre
schlagenen Änderungen resultieren in weiten Bereichen aus      etwa der Fall, wenn Datenschutzauditsiegel in den Ländern
den Erfahrungen der Länder im Bereich der Aufsichtspraxis.     anhand unterschiedlicher Verfahren vergeben würden. Die
Die Regelungen zur Neugestaltung des § 28 Absatz 3 des         landesrechtlich unterschiedliche Ausgestaltung des Kon-
Bundesdatenschutzgesetzes finden unabhängig von der Un-        trollverfahrens und des Verfahrens für die Zulassung der
ternehmensgröße Anwendung, jedoch zielen insbesondere          Kontrollstellen würde abweichende Maßstäbe bei der Prü-
die vorgeschlagenen gesetzlichen Erlaubnistatbestände in       fung und Bewertung nach sich ziehen. Unternehmen, die
§ 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas-      länderübergreifend oder bundesweit agieren, müssten sich
tung spezialisierter kleinerer und mittlerer Unternehmen.      für gleich bleibende Auditgegenstände unterschiedlichen
                                                               Verfahren und Kontrollen durch wechselnde Personen unter-
Das Datenschutzauditgesetz bietet Unternehmen die Mög-         ziehen mit der Gefahr abweichender Ergebnisse. In einem
lichkeit, sich auf freiwilliger Basis einem Datenschutzaudit   Land auditierte und mit einem Datenschutzauditsiegel ge-
zu unterziehen und hierfür in ein Kontrollsystem einbezie-     kennzeichnete Datenschutzkonzepte oder informationstech-
hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine        nische Einrichtungen unterlägen in den einzelnen Ländern
informationstechnische Einrichtung von einem Datenschutz-      unterschiedlichen Bedingungen. Dies würde die Verwend-
auditausschuss beim Bundesbeauftragten für den Daten-          barkeit für die betroffenen Unternehmen nachhaltig beein-
schutz und die Informationsfreiheit festgelegte Richtlinien    trächtigen. Unterschiedliche Landesregelungen zum Daten-
zur Verbesserung des Datenschutzes und der Datensicherheit     schutzauditverfahren würden zu einer gesamtstaatlich be-
und lassen die Unternehmen dies in einem formalisierten        denklichen Verlagerung der wirtschaftlichen Aktivitäten in
Verfahren durch Kontrollstellen regelmäßig überprüfen,         weniger kontrollintensive Länder führen. Unterläge ein Da-
können sie das Datenschutzkonzept oder die informa-            tenschutzkonzept oder eine informationstechnische Einrich-
tionstechnische Einrichtung mit einem Datenschutzauditsie-     tung in Ländern verschärften Kontrollmaßnahmen, käme es
gel kennzeichnen. Auf diese Weise können Unternehmen           unter Umständen dort nicht zum Einsatz. Dies hätte auch
einen Vorteil gegenüber Wettbewerbern erzielen, die sich       Folgen für Verbraucherinnen und Verbraucher, die in solchen
keinem Datenschutzaudit unterziehen. Verbraucher können        Ländern auf auditierte Verfahren und Produkte nicht zurück-
Deutscher Bundestag – 16. Wahlperiode                       – 17 –                           Drucksache 16/12011


greifen könnten. Auch unterschiedliche Landesregelungen          sind, kündigen können oder bei einer unbefugten Kenntnis-
in Bezug auf den Kreis der in die Kontrollen einbezogenen        erlangung sensibler Daten durch Dritte die Aufsichtsbehör-
Auditgegenstände bergen Gefahren für die Sicherheit und          den und die Betroffenen nicht benachrichtigen müssen. An-
Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan-        deren Unternehmen in anderen Ländern bliebe diese
desrechtlich unterschiedliches Kontrollniveau wäre den Ver-      Möglichkeit verwehrt bzw. sie wären zur Benachrichtigung
braucherinnen und Verbrauchern auch nicht zu vermitteln.         verpflichtet, obwohl es sich um die gleichen personenbezo-
Das Vertrauen der Verbraucher in Datenschutzauditsiegel          genen Daten handelt, die gleichen betrieblichen Voraus-
wäre insgesamt erschüttert. Auch für die Festlegung der von      setzungen bestehen oder dieselbe unbefugte Kenntniserlan-
den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel-       gung sensibler Daten durch Dritte erfolgt ist. Es entstünden
depflichten ist eine bundesgesetzliche Regelung im gesamt-       für letztere gravierende wettbewerbsverzerrende Änderun-
staatlichen Interesse notwendig. Im Falle landesrechtlich un-    gen, denen die erstgenannten Unternehmen nicht ausgesetzt
terschiedlich geregelter Pflichten der Kontrollstellen bestün-   wären. Zudem können die bestehenden Regelungen des
de die Gefahr, dass die für die Aufklärung von Verstößen         Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge-
wichtigen gegenseitigen Unterrichtungen, die gerade auch         ändert werden.
ein schnelles Tätigwerden der zuständigen Behörden ermög-
lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz-    Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht der
liche Regelung kann sichergestellt werden, dass für den          Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge-
Wirtschaftsstandort Deutschland einheitliche rechtliche          setzes). Es besteht die Erforderlichkeit einer bundesgesetz-
Rahmenbedingungen im Hinblick auf die Verwendung des             lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz.
Datenschutzauditsiegels gegeben sind. Sinn des Daten-            Eine bundeseinheitliche Regelung der Informationspflicht
schutzauditsiegels ist es gerade, durch seine einheitliche       bei unbefugter Kenntniserlangung sensibler Daten und des
Ausgestaltung die Verbraucherinnen und Verbraucher über          Kopplungsverbots im Telemedien- und Telekommunika-
die zur Verbesserung des Datenschutzes beitragende Gestal-       tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun-
tung zu informieren und hinsichtlich dieser Gestaltung für       desgebiet im gesamtstaatlichen Interesse erforderlich. Die
das gesamte Bundesgebiet einheitliche Standards zu setzen.       bestehenden Regelungen des Telemedien- und Telekommu-
Eine bundesgesetzliche Regelung ist ferner erforderlich, um      nikationsgesetzes können nur durch ein Bundesgesetz geän-
einheitliche rechtliche Rahmenbedingungen im Hinblick auf        dert werden. Eine ausbleibende Regelung würde zu erheb-
den Schutz der Verbraucherinnen und Verbraucher durch            lichen Nachteilen für die Gesamtwirtschaft führen, die im
Sanktionen bei Verstößen zu gewährleisten.                       Interesse des Bundes nicht hingenommen werden können.
                                                                 Insbesondere wäre zu befürchten, dass die unterschiedliche
Betroffene Sachmaterien des Artikels 2 sind vorwiegend das       Behandlung gleicher Lebenssachverhalte zu erheblichen
Bürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des              Wettbewerbsverzerrungen führt. Unternehmen, die dem
Grundgesetzes), das Recht der Wirtschaft (Artikel 74             Telemedien- oder Telekommunikationsgesetz unterliegen,
Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits-           müssten bei einer unbefugten Kenntniserlangung sensibler
recht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes).         Daten durch Dritte die Aufsichtsbehörden und die Betroffe-
Soweit die konkurrierende Gesetzgebungskompetenz des             nen nicht benachrichtigen und unterlägen einem gegenüber
Bundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund-            der Regelung im Bundesdatenschutzgesetz eingeschränktem
gesetzes in Anspruch genommen wird, besteht die Erforder-        Kopplungsverbot. Andere Unternehmen blieben zur Be-
lichkeit einer bundesgesetzlichen Regelung gemäß Arti-           nachrichtigung verpflichtet, obwohl es sich um vergleichbar
kel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche       sensible personenbezogene Daten handelt, und dürften in ge-
Regelung der gesetzlichen Erlaubnistatbestände für die Ver-      ringerem Umfang Kopplungen vornehmen. Es entstünden
arbeitung und Nutzung personenbezogener Daten zum Zwe-           für diese dadurch gravierende wettbewerbsverzerrende Än-
cke des Adresshandels und der Werbung, Markt- oder               derungen, denen die Unternehmen, die dem Telemedien-
Meinungsforschung, des Kündigungsschutzes der Beauf-             oder Telekommunikationsgesetz unterliegen, nicht ausge-
tragten für den Datenschutz und einer Informationspflicht        setzt wären.
von Unternehmen bei einer unbefugten Kenntniserlangung
sensibler Daten durch Dritte ist zur Wahrung der Wirt-
schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte-        III. Vereinbarkeit mit dem Recht der Europäischen
resse erforderlich. Eine unterschiedliche oder ausbleibende           Union
Regelung dieser Materien durch den Landesgesetzgeber
würde zu erheblichen Nachteilen für die Gesamtwirtschaft         Der Gesetzentwurf ist mit dem Recht der Europäischen
führen, die sowohl im Interesse des Bundes als auch der Län-     Union vereinbar. Er steht insbesondere nicht im Widerspruch
der nicht hingenommen werden kann. Insbesondere wäre zu          zu den Regelungen der Richtlinie 95/46/EG (EG-Daten-
befürchten, dass unterschiedliche landesrechtliche Behand-       schutzrichtlinie).
lungen gleicher Lebenssachverhalte erhebliche Wettbe-
werbsverzerrungen und störende Schranken für die länder-         Bei einem Datenschutzaudit nach dem Gesetzentwurf wer-
übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei         den Datenschutzkonzepte oder informationstechnische Ein-
unterschiedlichen Regelungen durch die Länder bestünde           richtungen anhand von Richtlinien zur Verbesserung des
die Gefahr, dass einige Unternehmen weiterhin personenbe-        Datenschutzes und der Datensicherheit überprüft, die über
zogene Daten ohne Einwilligung der Betroffenen zum Zwe-          die Vorschriften hinausgehen, die die Vorgaben der EG-
cke der Werbung, Markt- oder Meinungsforschung für Dritte        Datenschutzrichtlinie enthält. Der Gesetzentwurf fördert
verarbeiten und nutzen können, einen Beauftragten für den        daher mittelbar die tatsächliche Durchsetzung dieser Rege-
Datenschutz aus Gründen, die nicht auf sein Amt bezogen          lungen.
Drucksache 16/12011                                         – 18 –              Deutscher Bundestag – 16. Wahlperiode


Die Stärkung der Unabhängigkeit des Beauftragten für den         bei unrechtmäßiger Kenntniserlangung bestimmter Daten
Datenschutz durch einen erweiterten Kündigungsschutz und         durch Dritte die Aufsichtsbehörden und die Betroffenen
die Ermöglichung der Fortbildung fördern die Vorgabe in          bzw. ersatzweise die Öffentlichkeit zu benachrichtigen.
Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danach
sehen die Mitgliedstaaten eine „unabhängige Überwachung“         Kosten für die Wirtschaft können nach Maßgabe von ggf.
der Anwendung der zur Umsetzung der Richtlinie erlassenen        von den Ländern und dem Bund zu erlassenden Kostenord-
einzelstaatlichen Bestimmungen durch den Beauftragten für        nungen entstehen, durch die die Kosten für die einzelnen
den Datenschutz vor. Die Stärkung der Einwilligung und die       Auditverfahren auf die Antragsteller abgewälzt werden kön-
Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung         nen. Des Weiteren wird die Durchführung des Audits (Sam-
und Nutzung personenbezogener Daten zu nicht ausschließ-         meln und Zurverfügungstellen von Informationen, ggf. erfor-
lich eigenen Zwecken der Werbung, Markt- oder Meinungs-          derliche Nachbesserungen am Gegenstand des Audits)
forschung steht im Einklang mit den Regelungen der Richt-        Kosten bei den kontrollierten Stellen verursachen. Die Höhe
linie und wird insbesondere den aus Artikel 2 Buchstabe h,       dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nicht
Artikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der      näher beziffern, da die konkrete Ausgestaltung des Verfah-
Richtlinie abzuleitenden Zielen gerecht.                         rens einer noch zu erlassenden Rechtsverordnung vorbehal-
                                                                 ten ist und die Richtlinien zur Verbesserung des Datenschut-
                                                                 zes und der Datensicherheit als Maßstab der Prüfung von
IV. Finanzielle Auswirkungen auf die öffentlichen                einem noch zu errichtenden Datenschutzauditausschuss zu
    Haushalte                                                    beschließen sind. Kosten entstehen bei den Stellen, die sich
                                                                 beim Bundesbeauftragten für den Datenschutz und die Infor-
Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll-            mationsfreiheit als Kontrollstellen zulassen und im Rahmen
zugsaufwand.                                                     des Kontrollsystems gegen angemessene Vergütung Kon-
In Bezug auf das Datenschutzauditgesetz entsteht bei den zu-     trollen durchführen und dabei von den zuständigen Behör-
ständigen Behörden der Länder Vollzugsaufwand. Sie haben         den der Länder überwacht werden.
die zugelassenen Kontrollstellen, die das Kontrollverfahren
                                                                 Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu
durchführen, zu überwachen und Verstöße dem Bundes-
                                                                 erwarten.
beauftragten für den Datenschutz und die Informationsfrei-
heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind           Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus-
ihnen vorbehalten. Die Kosten für die einzelnen Amtshand-        wirkungen auf Einzelpreise und das allgemeine Preisniveau,
lungen der zuständigen Behörden können vom Bund und den          insbesondere auf das Verbraucherpreisniveau, sind nicht zu
Ländern durch Kostenordnungen auf die Antragsteller abge-        erwarten.
wälzt werden.
Vollzugsaufwand entsteht durch die Bildung eines Daten-          VI. Auswirkungen
schutzauditausschusses mit Vertretern aus Bund, Ländern
und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf-       1. Bürokratiebelastungen für die Wirtschaft
tragten für den Datenschutz und die Informationsfreiheit.        Für die Wirtschaft werden 15 Informationspflichten neu ein-
Die Tätigkeit der Vertreter erfolgt ehrenamtlich.                geführt und eine Informationspflicht geändert.
Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag-          Geändert wird die Informationspflicht in § 28 Absatz 3 des
ten für den Datenschutz und die Informationsfreiheit in          Bundesdatenschutzgesetzes. Hier wird partiell die gesetz-
einem Teilbereich durch die Überwachung der Kontrollstel-        liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28
len; ferner durch die Zulassung und die Entziehung der Zu-       Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestellt
lassung gegenüber den Kontrollstellen und die Führung            auf eine Einwilligung. Damit entfällt in diesen Fällen die
eines Registers der angezeigten Datenschutzkonzepte und          Hinweispflicht bei der Verwendung der Daten zu Gunsten ei-
informationstechnischen Einrichtungen sowie der zugelasse-       ner Einwilligung von ihrer Weitergabe. Durch diese Ände-
nen Kontrollstellen.                                             rung entstehen Bürokratiekosten von 9,65 Mio. Euro. Der
Für den Vollzugsaufwand beim Bundesbeauftragten für den          Betrag errechnet sich bei einer Fallzahl von 30 Millionen
Datenschutz und die Informationsfreiheit können in Abhän-        Kundenbeziehungen, in denen der Vertragspartner diese
gigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche   Einwilligung anstrebt (insbesondere Verträge im Versand-
Stellen sowie jährlich Haushaltsmittel in Höhe von rd.           handel – 13,5 Millionen, Telekommunikation – 13,5 Millio-
1,2 Mio. Euro für Personal- und Sachausgaben benötigt            nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs-
werden. Über die Ausbringung und Finanzierung dieser             zeit von einer Minute pro Fall und einem Stundensatz von
Personal- und Sachausgaben ist im Haushaltsaufstellungs-         19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl der
verfahren 2010 zu entscheiden.                                   Fälle bei einer elektronischen Abwicklung deutlich geringer
                                                                 sein. Die angenommene Minute beinhaltet daher auch Auf-
                                                                 wand zur Schulung von Mitarbeitern und zur Umstellung
V. Kosten                                                        von Webseiten.
Kosten für die Wirtschaft entstehen, soweit nach Ablauf der      Durch die übrigen neu eingeführten Informationspflichten
Übergangsvorschrift künftig eine Einwilligung der Betroffe-      entstehen insgesamt Bürokratiekosten von 493 761 Euro.
nen einzuholen ist, um deren personenbezogene Daten für
Zwecke der Werbung, Markt- oder Meinungsforschung zu             Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda-
verarbeiten und zu nutzen. Ferner können Kosten für die          tenschutzgesetzes werden nichtöffentliche Stellen verpflich-
Wirtschaft entstehen, soweit diese künftig verpflichtet sind,    tet, Betroffene über die verantwortliche Stelle und das
Deutscher Bundestag – 16. Wahlperiode                          – 19 –                           Drucksache 16/12011


Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1            Sofern ein Unternehmen sich entscheidet, als Kontrollstelle
Nummer 1 auch bei Begründung des rechtsgeschäftlichen               Kontrollen durchzuführen, erfolgt dies gegen angemessene
oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter-         Vergütung. Die durch die Benennung der Vertreter für den
richten. § 42a des Bundesdatenschutzgesetzes verpflichtet           Datenschutzauditausschuss und das Erzielen eines Einver-
nichtöffentliche Stellen, die Aufsichtsbehörde und die Be-          nehmens über deren Person verursachten Kosten fallen nicht
troffenen unverzüglich zu benachrichtigen, wenn bestimmte           ins Gewicht und werden durch die Mitwirkung an der Er-
sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt            arbeitung des Prüfmaßstabs des Datenschutzauditverfahrens
sind und schwerwiegende Beeinträchtigungen für die Rechte           aufgewogen.
oder schutzwürdigen Interessen der Betroffenen drohen. So-
weit die Benachrichtigung der Betroffenen einen unverhält-          2. Bürokratiebelastungen für die Bürgerinnen und Bürger
nismäßigen Aufwand erfordern würde, insbesondere auf-               Für die Bürgerinnen und Bürger wird keine Informations-
grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle      pflicht neu eingeführt, geändert oder abgeschafft.
die Information an die Öffentlichkeit durch Anzeigen, die
mindestens eine halbe Zeitungsseite umfassen, in mindes-            3. Bürokratiebelastungen für die Verwaltung
tens zwei bundesweit erscheinenden Tageszeitungen.                  Für die Verwaltung werden zwölf Informationspflichten neu
                                                                    eingeführt und keine Informationspflichten geändert oder
Das Datenschutzauditgesetz enthält für die Wirtschaft fol-
                                                                    abgeschafft.
gende neue Informationspflichten:
                                                                    Diese Informationspflichten sind im Einzelnen:
Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4
Absatz 1) und kann diese auf einzelne Länder beschränken            § 7 Absatz 1 Satz 2   Auskunftserteilung der zuständigen
(§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann           Datenschutzaudit-     Behörden untereinander
ihr eine Ausnahme von der Einbeziehung von einem Daten-             gesetz
schutzkonzept oder einer informationstechnischen Einrich-           § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigen
tung in ihre Kontrollen gewährt werden (§ 6 Absatz 1                Nummer 1 Daten-     Behörde zur Anregung der Ent-
Satz 2). Jährlich hat die Kontrollstelle den zuständigen            schutzauditgesetz   ziehung der Zulassung oder Ände-
Behörden ein Verzeichnis der nichtöffentlichen Stellen, die                             rung von Auflagen an den Bundes-
am 31. Dezember des Vorjahres ihrer Kontrolle unterstan-                                beauftragten für den Datenschutz
den und bis zum 31. März jedes Jahres einen Bericht über                                und die Informationsfreiheit
ihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die            § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständige
Kontrollstellen erteilen einander die für eine ordnungsge-          Nummer 2 Daten- Behörde des Landes
mäße Durchführung dieses Gesetzes notwendigen Aus-                  schutzauditgesetz
künfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un-        § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigen
regelmäßigkeiten oder Verstöße fest, unterrichtet sie unver-        Datenschutzaudit- Behörde zur Anregung eines Verfah-
züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2).               gesetz              rens der Entziehung der Zulassung
Soweit eine Kontrollstelle im Rahmen der von ihr durchge-                               oder Änderung von Auflagen an den
führten Kontrollen Tatsachen feststellt, die einen hinrei-                              Bundesbeauftragten für den Daten-
chenden Verdacht auf Verstöße der in Satz 2 genannten Art                               schutz und die Informationsfreiheit
begründen, der eine nicht von der Kontrollstelle kontrol-           § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus-
lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle   Datenschutzaudit- kunftspflichtigen
die Tatsachen unverzüglich der Kontrollstelle mit, deren            gesetz
Kontrolle die betroffene nichtöffentliche Stelle untersteht         § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für
(§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von      Datenschutzaudit- Datenschutzkonzepte durch den
ihr kontrollierten nichtöffentlichen Stellen, die zuständigen       gesetz              Bundesbeauftragten für den Daten-
Behörden sowie den Bundesbeauftragten für den Daten-                                    schutz und die Informationsfreiheit
schutz und die Informationsfreiheit, bevor sie ihre Tätigkeit
                                                                    § 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Internet
einstellt, oder im Falle eines Antrags auf Eröffnung des
                                                                    Datenschutzaudit- und im elektronischen Bundes-
Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent-
                                                                    gesetz              anzeiger
lichen Stellen sowie die Kontrollstellen haben den zuständi-
gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8               § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses der
Absatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin-          Datenschutzaudit- zugelassenen Kontrollstellen
zuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver-            gesetz
wendung des Datenschutzauditsiegels ist das Datenschutz-            § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internet
konzept oder die informationstechnische Einrichtung dem             Datenschutzaudit- und im elektronischen Bundes-
Bundesbeauftragten für den Datenschutz und die Informa-             gesetz              anzeiger
tionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1).                     § 11 Absatz 1       Veröffentlichungspflicht der maß-
                                                                    Satz 3 Daten-       geblichen Richtlinien im Internet und
Die Summe der zu erwartenden Belastungen für die Wirt-              schutzauditgesetz im elektronischen Bundesanzeiger
schaft beträgt insgesamt 10,14 Mio. Euro.                           § 15 Absatz 2       Berichtspflicht an die Aufsichts-
Die für die Wirtschaft entstehenden Kosten sind hinnehm-            Satz 3 Daten-       behörde
bar, weil das Datenschutzaudit freiwillig ist und es die Un-        schutzauditgesetz
ternehmen daher von einer Wirtschaftlichkeitsbetrachtung            § 15 Absatz 3       Pflicht der Genehmigung durch die
abhängig machen können, ob sie sich einem Audit mit den             Satz 1 Daten-       Aufsichtsbehörde
damit ggf. einhergehenden Bürokratiekosten unterziehen.             schutzauditgesetz
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]
1612011[1]

Weitere ähnliche Inhalte

Was ist angesagt?

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Sascha Kremer
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
Michael Rohrlich
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
Michael Rohrlich
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
Datenschutzrecht
Hans Mittendorfer
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Marcus Beckmann
 
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingWS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
CloudOps Summit
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
Praetor Intermedia
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
Michael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
Michael Rohrlich
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
MarcLaukemann3
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Stephan Schmidt
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
Michael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Sascha Kremer
 

Was ist angesagt? (20)

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
Datenschutzrecht
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
 
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computingWS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Entscheidungen
EntscheidungenEntscheidungen
Entscheidungen
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 

Andere mochten auch

Fincor Institutional Presentation
Fincor Institutional PresentationFincor Institutional Presentation
Fincor Institutional Presentation
João Pinto
 
Fincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoFincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros Agosto
João Pinto
 
Agnieszka Wrzesien
Agnieszka WrzesienAgnieszka Wrzesien
Agnieszka Wrzesien
CTIC Technology Centre
 
Empire mag evaluation
Empire mag evaluationEmpire mag evaluation
Empire mag evaluation
claire93
 
Outlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planetOutlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planet
Fincor Corretora
 
Fincor Presentation
Fincor PresentationFincor Presentation
Fincor Presentation
Manuel Vara
 

Andere mochten auch (6)

Fincor Institutional Presentation
Fincor Institutional PresentationFincor Institutional Presentation
Fincor Institutional Presentation
 
Fincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros AgostoFincor: Perspectivas mercados financeiros Agosto
Fincor: Perspectivas mercados financeiros Agosto
 
Agnieszka Wrzesien
Agnieszka WrzesienAgnieszka Wrzesien
Agnieszka Wrzesien
 
Empire mag evaluation
Empire mag evaluationEmpire mag evaluation
Empire mag evaluation
 
Outlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planetOutlook 2013 welcome to the qe planet
Outlook 2013 welcome to the qe planet
 
Fincor Presentation
Fincor PresentationFincor Presentation
Fincor Presentation
 

Ähnlich wie 1612011[1]

Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
Lead Inspector
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - Datenschutz
BurdaDirect
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
CloudCamp Hamburg
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
AllFacebook.de
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Cloud Computing
Cloud Computing Cloud Computing
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
Muster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support BeispielMuster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support Beispiel
FabianDittrich5
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und Sicherheit
Digicomp Academy AG
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
Michael Lanzinger
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert
 
Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018
Stefan Kontschieder
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Symposia Media
 
Datenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im EventbereichDatenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im Eventbereich
GCB German Convention Bureau e.V.
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft bizVÖGB
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
Michael Lanzinger
 

Ähnlich wie 1612011[1] (20)

Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
DiVa - Datenschutz
DiVa - DatenschutzDiVa - Datenschutz
DiVa - Datenschutz
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Entscheidungen
EntscheidungenEntscheidungen
Entscheidungen
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Muster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support BeispielMuster AV Vertrag - Coachy Support Beispiel
Muster AV Vertrag - Coachy Support Beispiel
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und Sicherheit
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
 
Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Datenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im EventbereichDatenschutz & IT-Compliance im Eventbereich
Datenschutz & IT-Compliance im Eventbereich
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzen
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 

1612011[1]

  • 1. Deutscher Bundestag Drucksache 16/12011 16. Wahlperiode 18. 02. 2009 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften A. Problem und Ziel Den Aufwendungen von Unternehmen für einen über das gesetzlich vorge- schriebene Datenschutzniveau hinausgehenden Datenschutz soll ein adäquater wirtschaftlicher Mehrwert gegenüberstehen. Ein freiwilliges, gesetzlich gere- geltes Datenschutzaudit mit der Vergabe eines Datenschutzauditsiegels verbin- det Förderung des Datenschutzes und Wirtschaftsförderung miteinander. Zu- gleich soll die Ankündigung eines Datenschutzauditgesetzes in § 9a Satz 2 des Bundesdatenschutzgesetzes erfüllt werden. In der jüngeren Vergangenheit sind zunehmend Fälle des rechtswidrigen Han- dels mit personenbezogenen Daten bekannt geworden. Die Herkunft der Daten ist größtenteils nicht nachvollziehbar. Der Erlaubnistatbestand des § 28 Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes hat sich dabei für die Herstel- lung der notwendigen Transparenz als besonders nachteilig erwiesen. Danach dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zu- sammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungs- forschung ohne Einwilligung der Betroffenen übermittelt oder genutzt werden. Die praktische Anwendung dieser Vorschrift hat dazu geführt, dass personenbe- zogene Daten weitläufig zum Erwerb oder zur Nutzung angeboten werden, ohne in jedem Fall die in der Vorschrift angelegten Anforderungen zu beachten. Zu- dem hat sich das Verhältnis der Bürgerinnen und Bürger zu Werbung, Markt- und Meinungsforschung seit dem Bestehen der Vorschrift gewandelt: Die Be- troffenen möchten über die Verwendung personenbezogener Daten für diese Zwecke selbst entscheiden können. B. Lösung Unternehmen wird die Möglichkeit eröffnet, sich freiwillig einem gesetzlich geregelten unbürokratischen Datenschutzaudit zu unterziehen und Datenschutz- konzepte und technische Einrichtungen mit einem Datenschutzsiegel zu kenn- zeichnen. Dabei kontrollieren zugelassene Kontrollstellen in regelmäßigen Ab- ständen, ob die gekennzeichneten Konzepte und Einrichtungen von einem mit Experten aus Wirtschaft und Verwaltung besetzten Ausschuss erlassene Richtli- nien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllen. Un- ternehmen, die sich dem Kontrollverfahren unterwerfen, dürfen im Rechts- und Geschäftsverkehr ein Datenschutzauditsiegel verwenden und hiermit werben. Die Erlaubnis zur Verwendung personenbezogener Daten zum Zwecke der Wer- bung, Markt- und Meinungsforschung ohne Einwilligung der Betroffenen wird
  • 2. Drucksache 16/12011 –2– Deutscher Bundestag – 16. Wahlperiode beschränkt auf Werbung für eigene Angebote oder die eigene Markt- oder Mei- nungsforschung der Stellen, die im Rahmen einer Vertragsbeziehung mit dem Betroffenen Daten über ihn erhalten haben, sowie bestimmter Empfänger steu- erbegünstigter Spendenwerbung. Die Verwendung personenbezogener Daten für Zwecke des Adresshandels sowie für fremde Werbezwecke oder Markt- oder Meinungsforschung soll nur mit Einwilligung der Betroffenen möglich sein. Zu- dem sollen marktbeherrschende Unternehmen die Einwilligung nicht durch Kopplung mit dem Vertragsschluss erzwingen dürfen. C. Alternativen Keine D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 1. Haushaltsausgaben ohne Vollzugsaufwand Keine 2. Vollzugsaufwand Das Gesetz bewirkt Vollzugsaufwand bei den Ländern und in einem Teilbereich beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der Durchführung des Gesetzes und der Überwachung der zugelasse- nen Kontrollstellen. Die Kosten für die einzelnen Auditverfahren können durch Kostenordnungen auf die Antragsteller abgewälzt werden. Weiterer Voll- zugsaufwand entsteht beim Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit durch die Zulassung der Kontrollstellen und ggf. die Entzie- hung der Zulassung sowie das Führen eines Verzeichnisses der Kontrollstellen und der in das Kontrollsystem einbezogenen Datenschutzkonzepte und tech- nischen Einrichtungen. Ferner entsteht Vollzugsaufwand durch die Bildung eines Datenschutzauditausschusses mit Vertretern aus Bund, Ländern und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hierfür können in Abhängigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Stellen sowie jährlich Haushaltsmittel in Höhe von rd. 1,2 Mio. Euro für Personal- und Sachausgaben benötigt werden. Über die Ausbringung und Finanzierung dieser Personal- und Sachausgaben ist im Haushaltsaufstellungsverfahren 2010 zu entscheiden. E. Sonstige Kosten Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Übergangsvor- schrift künftig Einwilligungen der Betroffenen einzuholen sind, um deren per- sonenbezogene Daten für nicht ausschließlich eigene Zwecke der Werbung oder der Markt- oder Meinungsforschung zu verarbeiten und zu nutzen. Ferner kön- nen Kosten für die Wirtschaft entstehen, soweit diese künftig verpflichtet ist, bei unrechtmäßiger Kenntniserlangung bestimmter Daten durch Dritte die Auf- sichtsbehörden und Betroffenen zu benachrichtigen. Im Rahmen des Datenschutzauditgesetzes können Kosten für die Wirtschaft nach Maßgabe von ggf. von den Ländern und dem Bund zu erlassenden Kosten- ordnungen entstehen, durch die die Kosten für die einzelnen Auditverfahren auf die Unternehmen abgewälzt werden können. Da ein Datenschutzaudit freiwillig ist, können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhän- gig machen, ob sie sich einem Audit mit der damit einhergehenden Kostenfolge unterziehen.
  • 3. Deutscher Bundestag – 16. Wahlperiode –3– Drucksache 16/12011 F. Bürokratiekosten Für die Wirtschaft werden 15 Informationspflichten neu eingeführt und eine Informationspflicht geändert. Es wird keine Informationspflicht abgeschafft. Die Summe der zu erwartenden Belastungen für die Wirtschaft beträgt 10,14 Mio. Euro. Für die Bürgerinnen und Bürger wird keine Informationspflicht neu eingeführt, geändert oder abgeschafft. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflicht geändert oder abgeschafft.
  • 4.
  • 5. Deutscher Bundestag – 16. Wahlperiode –5– Drucksache 16/12011
  • 6.
  • 7. Deutscher Bundestag – 16. Wahlperiode –7– Drucksache 16/12011 Anlage 1 Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften Vom … Der Bundestag hat das folgende Gesetz beschlossen: kontrollieren lassen, sofern sie nichtöffentliche Stellen im Sinne des § 2 Absatz 4 des Bundesdatenschutzgesetzes sind. Sie dürfen ihr Datenschutzkonzept oder eine angebotene Artikel 1 informationstechnische Einrichtung mit einem Datenschutz- Datenschutzauditgesetz auditsiegel kennzeichnen, wenn (DSAG)* 1. bei der Datenverarbeitung, für die das Datenschutzkon- zept oder die informationstechnische Einrichtung vorge- Inhaltsübersicht sehen ist, die Vorschriften zum Schutz personenbezoge- §1 Datenschutzaudit ner Daten eingehalten werden, §2 Zuständigkeit 2. die für das Datenschutzkonzept oder die informati- §3 Kontrollen onstechnische Einrichtung geltenden Richtlinien zur Ver- §4 Zulassung der Kontrollstelle und Entziehung der besserung des Datenschutzes und der Datensicherheit Zulassung nach § 11 Absatz 1 erfüllt werden, §5 Anforderungen an das Personal der Kontrollstelle 3. als Anbieter mit Sitz im Inland die Vorschriften des Bun- desdatenschutzgesetzes über die organisatorische Stel- §6 Pflichten der Kontrollstelle lung des Beauftragten für den Datenschutz eingehalten §7 Pflichten der zuständigen Behörde werden und §8 Überwachung 4. dies nach § 3 kontrolliert wird. §9 Datenschutzauditsiegel, Verzeichnisse Nichtöffentliche Stellen im Sinne dieses Gesetzes sind auch § 10 Gebühren und Auslagen die in § 27 Absatz 1 Satz 1 Nummer 2 des Bundesdaten- § 11 Datenschutzauditausschuss schutzgesetzes genannten Stellen. § 12 Mitglieder des Datenschutzauditausschusses §2 § 13 Geschäftsordnung, Vorsitz und Beschlussfassung des Zuständigkeit Datenschutzauditausschusses (1) Die Durchführung dieses Gesetzes und der auf Grund § 14 Geschäftsstelle des Datenschutzauditausschusses dieses Gesetzes erlassenen Rechtsverordnungen obliegt den § 15 Rechtsaufsicht nach Landesrecht zuständigen Behörden, soweit nachste- § 16 Verordnungsermächtigungen hend nichts anderes bestimmt ist. Soweit für die geschäfts- § 17 Bußgeldvorschriften mäßige Erbringung von Post- oder Telekommunikations- diensten Daten zu natürlichen oder juristischen Personen § 18 Strafvorschriften erhoben, verarbeitet oder genutzt werden, ist zuständige Be- § 19 Einziehung hörde der Bundesbeauftragte für den Datenschutz und die § 20 Übergangsvorschrift Informationsfreiheit (Bundesbeauftragter). (2) Der Bundesbeauftragte ist zuständig für die Zulassung §1 der Kontrollstellen, die Entziehung der Zulassung und die Datenschutzaudit Vergabe der Kennnummern an die Kontrollstellen. Nach Maßgabe dieses Gesetzes können §3 1. verantwortliche Stellen ihr Datenschutzkonzept und Kontrollen 2. Anbieter von Datenverarbeitungsanlagen und -program- Vorbehaltlich einer Rechtsverordnung nach § 16 Absatz 1 men (informationstechnischen Einrichtungen) die ange- Satz 1 Nummer 1 oder § 16 Absatz 2 Satz 1 Nummer 1 wer- botenen informationstechnischen Einrichtungen den die Kontrollen nach § 1 Satz 2 Nummer 4 von zugelas- senen Kontrollstellen durchgeführt, soweit die Aufgaben- wahrnehmung nicht mit der Durchführung eines Verwal- * Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen tungsverfahrens verbunden ist. Der Beauftragte für den Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Datenschutz nach § 4f Absatz 1 Satz 1 des Bundesdaten- und der Vorschriften für die Dienste der Informationsgesellschaft schutzgesetzes ist in die Durchführung der Kontrollen einzu- (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie beziehen. Art und Häufigkeit der Kontrollen richten sich 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, nach dem Risiko des Auftretens von Verstößen gegen dieses S. 81) geändert worden ist, sind beachtet worden. Gesetz, die auf Grund dieses Gesetzes erlassenen Rechtsver-
  • 8. Drucksache 16/12011 –8– Deutscher Bundestag – 16. Wahlperiode ordnungen oder die für das Datenschutzkonzept oder die in- oder Insolvenzstraftaten mit einer Strafe oder wegen formationstechnische Einrichtung geltenden Richtlinien zur Verletzung gewerbe- oder arbeitsschutzrechtlicher Vor- Verbesserung des Datenschutzes und der Datensicherheit schriften mit einer Geldbuße in Höhe von mehr als fünf- nach § 11 Absatz 1. Jede nichtöffentliche Stelle, die eine hundert Euro belegt worden ist, Anzeige nach § 9 Absatz 1 Satz 1 erstattet hat, wird, so- 2. wiederholt oder grob pflichtwidrig gegen dieses Gesetz, bald der ordnungsgemäße Geschäftsbetrieb der Kontroll- eine auf Grund dieses Gesetzes erlassene Rechtsverord- stelle es ermöglicht, erstmalig und sodann spätestens inner- nung oder Vorschriften über den Schutz personenbezoge- halb von zwölf Monaten nach dieser Kontrolle erneut kon- ner Daten verstoßen hat oder wiederholt oder grob trolliert. Danach wird die nichtöffentliche Stelle spätestens pflichtwidrig als Beauftragter für den Datenschutz seine alle 18 Monate kontrolliert. Verpflichtungen verletzt hat, §4 3. infolge strafgerichtlicher Verurteilung die Fähigkeit zur Zulassung der Kontrollstelle und Entziehung Bekleidung öffentlicher Ämter verloren hat, der Zulassung 4. sich nicht in geordneten wirtschaftlichen Verhältnissen (1) Eine Kontrollstelle ist auf Antrag zuzulassen, wenn befindet, es sei denn, dass dadurch die Interessen der kon- trollierten nichtöffentlichen Stelle oder Dritter nicht ge- 1. ihr Leitungspersonal und die für Kontrollen verantwort- fährdet sind, oder lichen Beschäftigten über die erforderliche Zuverlässig- keit, Unabhängigkeit und fachliche Eignung verfügen, 5. aus gesundheitlichen Gründen nicht nur vorübergehend unfähig ist, die Kontrollen nach Maßgabe der nach § 16 2. die Kontrollstelle akkreditiert ist, Absatz 3 Nummer 3 zu erlassenden Rechtsverordnung 3. die für die Zulassung erhobenen Gebühren entrichtet ordnungsgemäß durchzuführen. worden sind und (2) Über die erforderliche Unabhängigkeit verfügt, wer 4. die Kontrollstelle ihren Sitz oder eine Niederlassung im bei der Übernahme, Vorbereitung und Durchführung der Bundesgebiet hat. Kontrollen keiner persönlichen, wirtschaftlichen oder beruf- lichen Einflussnahme unterliegt, die geeignet ist, ein objek- Mit der Zulassung ist der Kontrollstelle eine Kennnummer tives Urteil zu beeinträchtigen. Für die Unabhängigkeit und zuzuteilen. Freiheit von Interessenkonflikten bietet in der Regel keine (2) Die Zulassung wird für das gesamte Bundesgebiet er- Gewähr, wer teilt. Auf Antrag kann die Zulassung auf einzelne Länder be- 1. neben seiner Tätigkeit für die Kontrollstelle Inhaber oder schränkt werden. Angestellter einer nichtöffentlichen Stelle ist, auf die sich (3) Die Zulassung kann mit Befristungen, Bedingungen seine Kontrolltätigkeit bezieht, oder einem Vorbehalt des Widerrufs erlassen oder mit Aufla- 2. als Leitungspersonal der Kontrollstelle eine Tätigkeit auf gen verbunden werden, soweit die Funktionsfähigkeit des Grund eines Beamtenverhältnisses, Soldatenverhältnis- Kontrollsystems oder Belange des Datenschutzes hinsicht- ses oder eines Anstellungsvertrages mit einer juristischen lich der Voraussetzungen nach Absatz 1 Nummer 1 oder Person des öffentlichen Rechts, eine Tätigkeit auf Grund Nummer 2 dies erfordern. Unter denselben Voraussetzungen eines Richterverhältnisses, öffentlich-rechtlichen Dienst- ist die nachträgliche Aufnahme und die Änderung von Auf- verhältnisses als Wahlbeamter auf Zeit oder eines öffent- lagen zulässig. lich-rechtlichen Amtsverhältnisses ausübt, es sei denn, (4) Einer Kontrollstelle wird die Zulassung entzogen, dass die übertragenen Aufgaben ehrenamtlich wahrge- wenn die Kontrollstelle nommen werden, 1. den Anforderungen nach Absatz 1 Satz 1 Nummer 1, 3. Weisungen auf Grund vertraglicher oder sonstiger Bezie- Nummer 2 oder Nummer 4 nicht mehr genügt, hungen bei der Tätigkeit für die Kontrollstelle auch dann 2. ihren Verpflichtungen nach diesem Gesetz, insbesondere zu befolgen hat, wenn sie zu Handlungen gegen seine nach § 6 oder § 8 Absatz 3, oder nach einer auf Grund Überzeugung verpflichten, dieses Gesetzes erlassenen Rechtsverordnung in schwer- 4. organisatorisch, wirtschaftlich, kapitalmäßig oder perso- wiegender Weise nicht nachkommt. nell mit Dritten verflochten ist, wenn nicht deren Ein- flussnahme auf die Wahrnehmung der Aufgaben für die §5 Kontrollstelle, insbesondere durch Satzung, Gesell- Anforderungen an das Personal der Kontrollstelle schaftsvertrag oder Anstellungsvertrag ausgeschlossen ist. (1) Über die erforderliche Zuverlässigkeit verfügt, wer auf Grund seiner persönlichen Eigenschaften, seines Verhal- (3) Über die erforderliche fachliche Eignung verfügt, wer tens und seiner Fähigkeiten die Gewähr für die ordnungsge- auf Grund seiner Ausbildung, beruflichen Bildung und prak- mäße Erfüllung der ihm obliegenden Aufgaben bietet. Für tischen Erfahrung zur ordnungsgemäßen Erfüllung der ihm die Zuverlässigkeit bietet in der Regel keine Gewähr, wer obliegenden Aufgaben befähigt ist. Im Bereich Recht sind nachzuweisen: 1. ausweislich eines Führungszeugnisses für Behörden nach § 30 Absatz 5, § 31 des Bundeszentralregistergesetzes 1. der Abschluss eines Studiums der Rechtswissenschaft wegen Verletzung der Vorschriften des Strafrechts über oder eines Studiums auf einem anderen Gebiet mit den persönlichen Lebens- und Geheimbereich, über rechtswissenschaftlichen Inhalten, die den Umfang eines Eigentums- und Vermögensdelikte, Urkundenfälschung durchschnittlichen Nebenfachstudiums der Rechtswis-
  • 9. Deutscher Bundestag – 16. Wahlperiode –9– Drucksache 16/12011 senschaft nicht unterschreiten, an einer deutschen Hoch- (4) Die Kontrollstelle unterrichtet die von ihr kontrollier- schule oder ein gleichwertiger ausländischer Abschluss ten nichtöffentlichen Stellen, die nach Landesrecht für die sowie eine dreijährige berufliche Tätigkeit mit dem Sitze oder Niederlassungen der nichtöffentlichen Stellen zu- Schwerpunkt auf dem Gebiet des Datenschutzrechts oder ständigen Behörden sowie den Bundesbeauftragten, 2. eine Aus-, Fort- und Weiterbildung im Datenschutzrecht 1. spätestens drei Monate vor der beabsichtigten Einstel- sowie eine mindestens fünfjährige berufliche Tätigkeit lung ihrer Tätigkeit, mit dem Schwerpunkt auf dem Gebiet des Datenschutz- 2. im Falle eines Antrags auf Eröffnung eines Insolvenzver- rechts. fahrens unverzüglich. Im Bereich Informationstechnik sind nachzuweisen: Die Kontrollstelle darf, soweit insolvenzrechtliche Vorschrif- ten nicht entgegenstehen, ihre Tätigkeit erst einstellen, wenn 1. der Abschluss eines Studiums der Informatik, der Wirt- die Kontrolle der von ihr kontrollierten nichtöffentlichen schaftsinformatik oder eines Studiums auf einem anderen Stellen durch eine andere Kontrollstelle sichergestellt ist. Gebiet mit informationstechnischen Inhalten, die den Umfang eines durchschnittlichen Nebenfachstudiums der Informatik nicht unterschreiten, an einer deutschen §7 Hochschule oder ein gleichwertiger ausländischer Ab- Pflichten der zuständigen Behörde schluss sowie eine dreijährige berufliche Tätigkeit mit (1) Die Kontrollstelle wird von der zuständigen Behörde dem Schwerpunkt auf dem Gebiet der Informationstech- des Landes, in dem die Kontrollstelle ihre Tätigkeit ausübt, nik oder überwacht, indem die zuständige Behörde bei Bedarf Über- prüfungen der Kontrollstelle veranlasst. Auf Ersuchen ertei- 2. eine Aus-, Fort- und Weiterbildung auf dem Gebiet der len die zuständigen Behörden einander die zur Überwachung Informationstechnik sowie eine mindestens fünfjährige der Kontrollstellen erforderlichen Auskünfte. Stellt die zu- berufliche Tätigkeit mit dem Schwerpunkt auf dem Ge- ständige Behörde Tatsachen fest, die die Entziehung der Zu- biet der Informationstechnik. lassung rechtfertigen oder die Aufnahme oder Änderung von Die berufliche Tätigkeit darf zum Zeitpunkt des Tätigwer- Auflagen zur Zulassung erforderlich machen können, hat sie dens für die Kontrollstelle nicht seit mehr als drei Jahren un- 1. wenn der Ort der zu beanstandenden Kontrolltätigkeit terbrochen sein. und der Sitz oder die Niederlassung der Kontrollstelle in demselben Land liegen, beim Bundesbeauftragten unter §6 Mitteilung dieser Tatsachen die Entziehung der Zulas- Pflichten der Kontrollstelle sung oder die Aufnahme oder Änderung von Auflagen anzuregen oder, (1) Die Kontrollstelle hat ein Datenschutzkonzept oder eine informationstechnische Einrichtung gegen angemes- 2. wenn der Ort der zu beanstandenden Kontrolltätigkeit sene Vergütung in ihre Kontrollen einzubeziehen, soweit die und der Sitz oder die Niederlassung der Kontrollstelle in nichtöffentliche Stelle die Einbeziehung verlangt und ihren verschiedenen Ländern liegen, der zuständigen Behörde Sitz oder eine Niederlassung in dem Land hat, in dem die des Landes, in dem der Sitz oder die Niederlassung der Kontrollstelle zugelassen ist. Die zuständige Behörde kann Kontrollstelle liegt, die Tatsachen mitzuteilen. auf Antrag der Kontrollstelle eine Ausnahme von der Ver- Erhält die zuständige Behörde des Landes, in dem der Sitz pflichtung nach Satz 1 zulassen, soweit oder die Niederlassung der Kontrollstelle liegt, Kenntnis von 1. die Kontrollstelle wirksame Kontrollen nicht gewährleis- Tatsachen nach Satz 3 Nummer 2, regt sie beim Bundes- ten kann und beauftragten unter Mitteilung dieser Tatsachen an, ein Ver- fahren zur Entziehung der Zulassung oder zur Aufnahme 2. die Durchführung der Kontrollen durch eine andere oder Änderung von Auflagen einzuleiten. Im Rahmen des Kontrollstelle sichergestellt ist. § 2 Absatz 1 Satz 2 wird die Tätigkeit einer Kontrollstelle (2) Die Kontrollstelle übermittelt der zuständigen Behör- nach Satz 1 durch den Bundesbeauftragten überwacht. den jährlich bis zum 31. Januar ein Verzeichnis der nicht- (2) Im Falle des § 6 Absatz 3 Satz 2 kann die zuständige öffentlichen Stellen, die am 31. Dezember des Vorjahres Behörde anordnen, dass von dem Verstoß betroffene Daten- ihrer Kontrolle unterstanden und legt bis zum 31. März jedes schutzkonzepte oder informationstechnische Einrichtungen Jahres einen Bericht über ihre Tätigkeit im Vorjahr vor. nicht mit dem Datenschutzauditsiegel gekennzeichnet wer- den dürfen, wenn dies in einem angemessenen Verhältnis zur (3) Die Kontrollstellen erteilen einander die für eine ord- Bedeutung der Vorschrift, gegen die verstoßen wurde, sowie nungsgemäße Durchführung dieses Gesetzes notwendigen zu Art und Umständen des Verstoßes steht. Im Falle eines Auskünfte. Stellt eine Kontrollstelle bei ihrer Tätigkeit Ver- schwerwiegenden Verstoßes oder eines Verstoßes mit Lang- stöße gegen § 1 Satz 2 Nummer 1 bis 3 fest, unterrichtet sie zeitwirkung kann die zuständige Behörde der nichtöffent- unverzüglich die zuständige Behörde. Soweit eine Kontroll- lichen Stelle die Kennzeichnung für einen bestimmten Zeit- stelle im Rahmen der von ihr durchgeführten Kontrollen Tat- raum untersagen. sachen feststellt, die einen hinreichenden Verdacht auf Ver- stöße der in Satz 2 genannten Art begründen, der eine nicht von der Kontrollstelle kontrollierte nichtöffentliche Stelle §8 betrifft, teilt die Kontrollstelle die Tatsachen unverzüglich Überwachung der Kontrollstelle mit, deren Kontrolle die betroffene nicht- (1) Die nichtöffentlichen Stellen und die Kontrollstellen öffentliche Stelle untersteht. haben den zuständigen Behörden auf Verlangen die zur
  • 10. Drucksache 16/12011 – 10 – Deutscher Bundestag – 16. Wahlperiode Durchführung der den zuständigen Behörden durch dieses § 10 Gesetz oder auf Grund dieses Gesetzes übertragenen Aufga- Gebühren und Auslagen ben erforderlichen Auskünfte zu erteilen. (1) Für Amtshandlungen nach § 2 Absatz 1 Satz 2 und (2) Die von der zuständigen Behörde beauftragten Perso- Absatz 2 sowie § 9 Absatz 1 und 2 können zur Deckung des nen dürfen Betriebsgrundstücke sowie Geschäfts- oder Be- Verwaltungsaufwandes Gebühren und Auslagen erhoben triebsräume der Auskunftspflichtigen während der Ge- werden. Das Bundesministerium des Innern wird ermächtigt, schäfts- oder Betriebszeit betreten und dort Besichtigungen im Einvernehmen mit dem Bundesministerium der Finanzen vornehmen und geschäftliche Unterlagen einsehen und prü- durch Rechtsverordnung ohne Zustimmung des Bundesrates fen, soweit dies zur Durchführung ihrer Aufgaben erforder- die gebührenpflichtigen Tatbestände, die Gebührensätze so- lich ist. wie die Auslagenerstattung zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen. In der Rechtsverord- (3) Auskunftspflichtige haben die Maßnahmen nach nung kann die Erstattung von Auslagen abweichend vom Absatz 2 zu dulden, die zu besichtigenden Bereiche selbst Verwaltungskostengesetz geregelt werden. oder durch andere so zu bezeichnen, dass die Besichtigung ordnungsgemäß vorgenommen werden kann, selbst oder (2) Für Amtshandlungen der zuständigen Behörden nach durch andere die erforderliche Hilfe bei Besichtigungen zu § 7 Absatz 1 Satz 1 und Absatz 2 können Gebühren und leisten sowie die geschäftlichen Unterlagen zur Einsicht- Auslagen nach Maßgabe des Landesrechts erhoben werden. nahme und Prüfung vorzulegen. § 11 (4) Auskunftspflichtige können die Auskunft auf solche Datenschutzauditausschuss Fragen verweigern, deren Beantwortung sie oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung be- Beim Bundesbeauftragten wird ein Datenschutzauditaus- zeichneten Angehörigen der Gefahr strafgerichtlicher Ver- schuss gebildet. Er erlässt Richtlinien zur Verbesserung des folgung oder eines Verfahrens nach dem Gesetz über Ord- Datenschutzes und der Datensicherheit, insbesondere durch nungswidrigkeiten aussetzen würde. Auskunftspflichtige 1. Transparenz der Datenerhebung, -verarbeitung und -nut- sind darauf hinzuweisen. zung, (5) Die Absätze 1 bis 4 gelten entsprechend für die Kon- 2. Datenvermeidung und Datensparsamkeit nach § 3a des trollen der nichtöffentlichen Stellen durch die Kontrollstel- Bundesdatenschutzgesetzes, len. 3. die Stärkung der organisatorischen Stellung des Be- auftragten für den Datenschutz nach § 4f Absatz 1 Satz 1 §9 des Bundesdatenschutzgesetzes, Datenschutzauditsiegel, Verzeichnisse 4. technische und organisatorische Maßnahmen nach § 9 (1) Wer ein Datenschutzkonzept oder eine informations- des Bundesdatenschutzgesetzes. technische Einrichtung mit dem Datenschutzauditsiegel Der Bundesbeauftragte veröffentlicht die Richtlinien auf sei- kennzeichnen will, hat dies dem Bundesbeauftragten vor der ner Internetseite und im elektronischen Bundesanzeiger. erstmaligen Verwendung des Siegels anzuzeigen. Der Bun- desbeauftragte hat ein Verzeichnis der angezeigten Daten- (2) Der Datenschutzauditausschuss unterrichtet die Öf- schutzkonzepte sowie informationstechnischen Einrichtun- fentlichkeit jährlich in einem Bericht über seine Tätigkeit gen mit den Angaben nach Satz 3 zu führen und zum Zwecke und Erfahrungen, insbesondere über Praktikabilität und er- der Information der zuständigen Behörden und der Betroffe- forderliche Änderungen erlassener Richtlinien sowie den nen auf seiner Internetseite sowie im elektronischen Bundes- Bedarf für neue Richtlinien. anzeiger zu veröffentlichen. Das Verzeichnis muss folgende Angaben enthalten: § 12 Mitglieder des Datenschutzauditausschusses 1. den Namen und die Anschrift oder die der nichtöffent- lichen Stelle durch die Kontrollstelle zugeordnete alpha- (1) Mitglieder des Datenschutzauditausschusses sind numerische Identifikationsnummer, 1. zwei Vertreter der Verwaltung des Bundes, 2. den Namen und die Anschrift oder die Kennnummer der 2. zwei Vertreter des Bundesamtes für Sicherheit in der In- Kontrollstelle, formationstechnik, 3. das angezeigte Datenschutzkonzept sowie die informa- 3. zwei Vertreter des Bundesbeauftragten, tionstechnische Einrichtung. 4. zwei Vertreter der Verwaltung der Länder, Weitere Angaben darf das Verzeichnis nicht enthalten. 5. vier Vertreter von Aufsichtsbehörden der Länder für den (2) Der Bundesbeauftragte hat ein Verzeichnis der zuge- Datenschutz im nichtöffentlichen Bereich, lassenen Kontrollstellen mit den Angaben nach Satz 2 zu 6. sechs Vertreter von Unternehmen oder ihren Verbänden. führen und zum Zwecke der Information der zuständigen Behörden und der Betroffenen auf seiner Internetseite sowie Sie unterliegen keinen Weisungen und sind ehrenamtlich tä- im elektronischen Bundesanzeiger zu veröffentlichen. Das tig. Die §§ 83 und 84 des Verwaltungsverfahrensgesetzes Verzeichnis enthält die Namen, Anschriften und Kennnum- sind anzuwenden. mern der zugelassenen Kontrollstellen. Weitere Angaben (2) Die Mitglieder des Datenschutzauditausschusses müs- darf es nicht enthalten. sen über gründliche Fachkenntnisse und mindestens dreijäh-
  • 11. Deutscher Bundestag – 16. Wahlperiode – 11 – Drucksache 16/12011 rige praktische Erfahrungen auf dem Gebiet des Datenschut- aufheben. Wenn der Datenschutzauditausschuss Beschlüsse zes verfügen. oder sonstige Handlungen unterlässt, die zur Erfüllung sei- (3) Das Bundesministerium des Innern beruft die Mitglie- ner gesetzlichen Aufgaben erforderlich sind, kann die Auf- der des Datenschutzauditausschusses und für jedes Mitglied sichtsbehörde anordnen, dass innerhalb einer bestimmten einen Stellvertreter für die Dauer von drei Jahren, die Mit- Frist die erforderlichen Maßnahmen getroffen werden. Die glieder nach Absatz 1 Satz 1 Nummer 3 bis 6 auf Vorschlag Aufsichtsbehörde hat die geforderten Handlungen im Ein- und jeweils im Einvernehmen mit dem Bundesbeauftragten, zelnen zu bezeichnen. Sie kann ihre Anordnung selbst den für den Datenschutz zuständigen obersten Landesbehör- durchführen oder von einem anderen durchführen lassen, den, den Aufsichtsbehörden nach § 38 des Bundesdaten- wenn die Anordnung vom Datenschutzauditausschuss nicht schutzgesetzes sowie den Bundesdachverbänden der Wirt- befolgt worden ist. schaft. (4) Wenn die Aufsichtsmittel nach Absatz 3 nicht ausrei- (4) Zu Sitzungen ist ein Vertreter der Bundesnetzagentur chen, kann die Aufsichtsbehörde den Datenschutzauditaus- mit beratender Stimme hinzuzuziehen, soweit Gegenstand schuss auflösen. Sie hat nach Eintritt der Unanfechtbarkeit der Sitzung eine Richtlinie ist, die nichtöffentliche Stellen der Auflösungsanordnung unverzüglich neue Mitglieder ge- betrifft, die nach § 115 Absatz 4 Satz 1 des Telekommuni- mäß § 12 Absatz 3 zu berufen. Sie braucht vorgeschlagene kationsgesetzes oder § 42 Absatz 3 des Postgesetzes der Personen nicht zu berücksichtigen, die dem aufgelösten Da- Kontrolle des Bundesbeauftragten unterliegen. tenschutzauditausschuss angehört haben. § 13 § 16 Geschäftsordnung, Vorsitz und Beschlussfassung Verordnungsermächtigungen des Datenschutzauditausschusses (1) Die Landesregierungen werden ermächtigt, durch (1) Der Datenschutzauditausschuss gibt sich eine Ge- Rechtsverordnung schäftsordnung, die der Genehmigung durch das Bundes- 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Ab- ministerium des Innern bedarf. satz 1 Satz 1, ausgenommen die Aufgabe nach § 4, zu be- (2) Der Datenschutzauditausschuss wählt den Vorsitzen- leihen oder sie an der Erfüllung der Aufgaben zu beteili- den und zwei Stellvertreter aus seiner Mitte. Zu ihnen muss gen, jeweils ein Vertreter der Unternehmen oder ihrer Organisa- 2. die Voraussetzungen und das Verfahren der Beleihung tionen, der Aufsichtsbehörden für den Datenschutz und der und der Beteiligung zu regeln. Verwaltung gehören. Die Landesregierungen können die Ermächtigung durch (3) Der Datenschutzauditausschuss beschließt Rechtsverordnung ganz oder teilweise auf andere Behörden 1. in Angelegenheiten nach § 11 Absatz 1 Satz 2 mit der des Landes übertragen. Mehrheit von zwei Dritteln der gesetzlichen Mitglieder (2) Die Bundesregierung wird ermächtigt, nach Anhörung und des Bundesbeauftragten durch Rechtsverordnung ohne Zu- 2. in Angelegenheiten der Geschäftsordnung mit der Mehr- stimmung des Bundesrates heit der gesetzlichen Mitglieder. 1. zugelassene Kontrollstellen mit Aufgaben nach § 2 Absatz 1 Satz 2, ausgenommen die Aufgabe nach § 4, zu § 14 beleihen oder sie an der Erfüllung der Aufgaben zu betei- Geschäftsstelle des Datenschutzauditausschusses ligen, Der Datenschutzauditausschuss wird bei der Durchfüh- 2. die Voraussetzungen und das Verfahren der Beleihung rung seiner Aufgaben durch eine Geschäftsstelle unterstützt, und der Beteiligung zu regeln. die den Weisungen des Vorsitzenden des Datenschutzaudit- ausschusses unterliegt. (3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates § 15 nähere Regelungen zu treffen über Rechtsaufsicht 1. die Einzelheiten der Verwendung des Datenschutzaudit- (1) Der Datenschutzauditausschuss untersteht der Auf- siegels, um eine einheitliche Kennzeichnung und eindeu- sicht des Bundesministeriums des Innern (Aufsichtsbehör- tige Erkennbarkeit der Kennzeichnung der Datenschutz- de). Die Aufsicht erstreckt sich nur auf die Rechtmäßigkeit konzepte und informationstechnischen Einrichtungen zu der Ausschusstätigkeit, insbesondere darauf, dass die Aufga- gewährleisten, be nach § 11 Absatz 1 Satz 2 erfüllt wird. 2. die Voraussetzungen und das Verfahren der Zulassung (2) Die Aufsichtsbehörde kann an den Sitzungen des Da- nach § 4 Absatz 1 bis 3 sowie die Voraussetzungen und tenschutzauditausschusses teilnehmen. Ihr ist auf Verlangen das Verfahren der Entziehung der Zulassung nach § 4 das Wort zu erteilen. Sie kann schriftliche Berichte und die Absatz 4, § 7 Absatz 1 Satz 3 und 4, Vorlage von Akten verlangen. 3. die Mindestanforderungen an die Kontrollen und die im (3) Beschlüsse nach § 11 Absatz 1 Satz 2 bedürfen der Rahmen der Kontrollen vorgesehenen Vorkehrungen, Genehmigung durch die Aufsichtsbehörde. Die Aufsichtsbe- 4. die Gestaltung des Datenschutzauditsiegels, hörde kann rechtswidrige Beschlüsse des Datenschutzaudit- ausschusses beanstanden und nach vorheriger Beanstandung 5. die Anzeige nach § 9 Absatz 1 Satz 1.
  • 12. Drucksache 16/12011 – 12 – Deutscher Bundestag – 16. Wahlperiode § 17 Artikel 2 Bußgeldvorschriften Änderung des Bundesdatenschutzgesetzes (1) Ordnungswidrig handelt, wer Das Bundesdatenschutzgesetz in der Fassung der Be- 1. entgegen § 6 Absatz 2 ein Verzeichnis nicht, nicht rich- kanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt tig, nicht vollständig oder nicht rechtzeitig übermittelt geändert durch das Gesetz vom …, wird wie folgt geändert: oder einen dort genannten Bericht nicht, nicht richtig 1. Die Inhaltsübersicht wird wie folgt geändert: oder nicht rechtzeitig vorlegt, a) Nach der Angabe zu § 9 wird die Angabe „§ 9a 2. entgegen § 6 Absatz 3 Satz 2 oder Absatz 4 Satz 1 die zu- Datenschutzaudit“ gestrichen. ständige Behörde, eine nichtöffentliche Stelle oder den b) Die Angabe zu § 28 wie folgt gefasst: Bundesbeauftragten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, „§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke“. 3. entgegen § 6 Absatz 3 Satz 3 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, c) Nach der Angabe zu § 42 wird folgende Angabe ein- gefügt: 4. entgegen § 8 Absatz 1 eine Auskunft nicht, nicht richtig, „§ 42a Informationspflicht bei unrechtmäßiger Kennt- nicht vollständig oder nicht rechtzeitig erteilt, niserlangung von Daten“. 5. entgegen § 8 Absatz 3 eine Maßnahme nicht duldet oder d) Nach der Angabe zu § 46 wird folgende Angabe ein- gefügt: 6. entgegen § 9 Absatz 1 Satz 1, auch in Verbindung mit einer Rechtsverordnung nach § 16 Absatz 3 Nummer 5, „§ 47 Übergangsregelung“. eine Anzeige nicht, nicht richtig, nicht vollständig oder 2. Dem § 4f Absatz 3 werden folgende Sätze angefügt: nicht rechtzeitig erstattet. „Ist nach Absatz 1 ein Beauftragter für den Datenschutz (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrläs- zu bestellen, so ist die Kündigung des Arbeitsverhältnis- sig einer vollziehbaren Anordnung nach § 7 Absatz 2 Satz 2 ses unzulässig, es sei denn, dass Tatsachen vorliegen, zuwiderhandelt. welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist (3) Die Ordnungswidrigkeit kann in den Fällen des berechtigen. Nach der Abberufung als Beauftragter für Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend den Datenschutz ist die Kündigung innerhalb eines Jah- Euro, in den übrigen Fällen mit einer Geldbuße bis zu fünf- res nach der Beendigung der Bestellung unzulässig, es sei zigtausend Euro geahndet werden. Die Geldbuße soll den denn, dass die verantwortliche Stelle zur Kündigung aus wirtschaftlichen Vorteil, den der Täter aus der Ordnungswid- wichtigem Grund ohne Einhaltung einer Kündigungsfrist rigkeit gezogen hat, übersteigen. Reichen die in Satz 1 ge- berechtigt ist. Zur Erhaltung der zur Erfüllung seiner nannten Beträge hierfür nicht aus, können sie überschritten Aufgaben erforderlichen Fachkunde hat die verantwort- werden. liche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen § 18 zu ermöglichen und deren Kosten zu übernehmen.“ Strafvorschriften 3. § 9a wird aufgehoben. Wer eine in § 17 Absatz 2 bezeichnete vorsätzliche Hand- 4. In § 12 Absatz 4 wird die Angabe „§ 28 Abs. 1 und 3 lung in der Absicht begeht, sich oder einen anderen zu berei- Nr. 1“ durch die Wörter „§ 28 Absatz 1 und 2 Nummer 2 chern oder einen anderen zu schädigen, wird mit Freiheits- Buchstabe a“ ersetzt. strafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 5. § 28 wird wie folgt geändert: a) Die Überschrift wird wie folgt gefasst: § 19 Einziehung „§ 28 Datenerhebung und -speicherung für eigene Ist eine Ordnungswidrigkeit nach § 17 Absatz 1 oder Geschäftszwecke“. Absatz 2 oder eine Straftat nach § 18 begangen worden, kön- nen Gegenstände, auf die sich die Straftat oder die Ord- b) In Absatz 1 Satz 1 Nummer 1 werden die Wörter nungswidrigkeit bezieht, und Gegenstände, die zu ihrer Be- „Vertragsverhältnisses oder vertragsähnlichen Ver- gehung oder Vorbereitung gebraucht worden oder bestimmt trauensverhältnisses“ durch die Wörter „rechtsge- gewesen sind, eingezogen werden. § 23 des Gesetzes über schäftlichen oder rechtsgeschäftsähnlichen Schuld- Ordnungswidrigkeiten und § 74a des Strafgesetzbuchs sind verhältnisses“ ersetzt. anzuwenden. c) Absatz 2 wird wie folgt gefasst: „(2) Die Übermittlung oder Nutzung für einen an- § 20 deren Zweck ist zulässig Übergangsvorschrift 1. unter den Voraussetzungen des Absatzes 1 Satz 1 § 1 ist erst ab dem 1. Juli 2010 anzuwenden. Nummer 2 oder Nummer 3,
  • 13. Deutscher Bundestag – 16. Wahlperiode – 13 – Drucksache 16/12011 2. soweit es erforderlich ist oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen a) zur Wahrung berechtigter Interessen eines Drit- nicht entgegenstehen. Nach den Sätzen 1 bis 3 über- ten oder mittelte Daten dürfen nur für den Zweck verarbeitet b) zur Abwehr von Gefahren für die staatliche oder genutzt werden, für den sie übermittelt worden oder öffentliche Sicherheit oder zur Verfolgung sind.“ von Straftaten e) Nach Absatz 3 werden folgende Absätze 3a und 3b und kein Grund zu der Annahme besteht, dass der eingefügt: Betroffene ein schutzwürdiges Interesse an dem „(3a) Wird die Einwilligung nach § 4a Absatz 1 Ausschluss der Übermittlung oder Nutzung hat, Satz 3 in anderer Form als der Schriftform erteilt, hat oder die verantwortliche Stelle dem Betroffenen den Inhalt 3. wenn es im Interesse einer Forschungseinrichtung der Einwilligung schriftlich zu bestätigen, es sei denn, zur Durchführung wissenschaftlicher Forschung dass die Einwilligung elektronisch erklärt wird und erforderlich ist, das wissenschaftliche Interesse an die verantwortliche Stelle sicherstellt, dass die Ein- der Durchführung des Forschungsvorhabens das willigung protokolliert wird und der Betroffene deren Interesse des Betroffenen an dem Ausschluss der Inhalt jederzeit abrufen und die Einwilligung jederzeit Zweckänderung erheblich überwiegt und der mit Wirkung für die Zukunft widerrufen kann. Eine Zweck der Forschung auf andere Weise nicht oder zusammen mit anderen Erklärungen erteilte Einwilli- nur mit unverhältnismäßigem Aufwand erreicht gung ist nur wirksam, wenn der Betroffene durch An- werden kann.“ kreuzen, durch eine gesonderte Unterschrift oder durch ein anderes, ausschließlich auf die Einwilligung d) Absatz 3 wird wie folgt gefasst: in die Verarbeitung oder Nutzung der Daten für „(3) Die Verarbeitung oder Nutzung personenbezo- Zwecke des Adresshandels, der Werbung oder der gener Daten für Zwecke des Adresshandels, der Wer- Markt- oder Meinungsforschung bezogenes Tun bung oder der Markt- oder Meinungsforschung ist zu- zweifelsfrei zum Ausdruck bringt, dass er die Einwil- lässig, soweit der Betroffene nach Maßgabe des ligung bewusst erteilt. Absatzes 3a eingewilligt hat. Darüber hinaus ist die (3b) Die verantwortliche Stelle darf den Abschluss Verarbeitung oder Nutzung personenbezogener Daten eines Vertrags nicht von einer Einwilligung des Be- zulässig, soweit es sich um listenmäßig oder sonst zu- troffenen nach Absatz 3 Satz 1 abhängig machen, sammengefasste Daten über Angehörige einer Perso- wenn dem Betroffenen ein anderer Zugang zu gleich- nengruppe handelt, die sich auf die Zugehörigkeit des wertigen vertraglichen Leistungen ohne die Einwilli- Betroffenen zu dieser Personengruppe, seine Berufs-, gung nicht oder nicht in zumutbarer Weise möglich Branchen- oder Geschäftsbezeichnung, seinen Na- ist.“ men, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung f) Absatz 4 wird wie folgt geändert: oder Nutzung aa) In Satz 1 werden das Wort „Nutzung“ jeweils 1. für Zwecke der Werbung für eigene Angebote oder durch das Wort „Verarbeitung“ und das Wort der eigenen Markt- oder Meinungsforschung der „Übermittlung“ jeweils durch das Wort „Nut- verantwortlichen Stelle erforderlich ist, die diese zung“ ersetzt. Daten mit Ausnahme der Angabe zur Gruppenzu- bb) In Satz 2 werden nach dem Wort „Ansprache“ die gehörigkeit beim Betroffenen nach § 28 Absatz 1 Wörter „und in den Fällen des Absatzes 1 Satz 1 Satz 1 Nummer 1 erhoben hat, Nummer 1 auch bei Begründung des rechts- 2. für Zwecke der Werbung oder der Markt- oder geschäftlichen oder rechtsgeschäftsähnlichen Meinungsforschung gegenüber freiberuflich oder Schuldverhältnisses“ eingefügt. gewerblich Tätigen unter deren Geschäftsadresse cc) Satz 3 wird wie folgt geändert: erforderlich ist oder aaa) Nach dem Wort „Daten“ werden die Wörter 3. für Zwecke der Spendenwerbung einer verant- „im Rahmen der Zwecke“ eingefügt. wortlichen Stelle erforderlich ist, wenn Spenden an diese gemäß § 10b Absatz 1 und § 34g des Ein- bbb) Das Wort „werden“ wird durch die Wörter kommensteuergesetzes steuerbegünstigt sind. „worden sind“ ersetzt. Für Zwecke nach Satz 2 Nummer 1 darf die ver- dd) Folgender Satz wird angefügt: antwortliche Stelle zu den dort genannten Daten wei- „In den Fällen des Absatzes 1 Satz 1 Nummer 1 tere Daten hinzuspeichern. Die Nutzung personenbe- darf für den Widerspruch keine strengere Form zogener Daten für Zwecke der Werbung oder der verlangt werden als für die Begründung des Markt- oder Meinungsforschung ist zudem zulässig, rechtsgeschäftlichen oder rechtsgeschäftsähn- soweit sie zusammen mit Werbung oder Markt- oder lichen Schuldverhältnisses.“ Meinungsforschung nach Satz 2 Nummer 1 oder mit der Durchführung eines rechtsgeschäftlichen oder g) In Absatz 9 Satz 4 wird die Angabe „Abs. 3 Nr. 2“ rechtsgeschäftsähnlichen Schuldverhältnisses nach durch die Wörter „Absatz 2 Nummer 2 Buchstabe b“ Absatz 1 Satz 1 Nummer 1 erfolgt. Eine Verarbeitung ersetzt.
  • 14. Drucksache 16/12011 – 14 – Deutscher Bundestag – 16. Wahlperiode 6. § 29 wird wie folgt geändert: ten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbe- a) Absatz 1 wird wie folgt geändert: sondere auf Grund der Vielzahl der betroffenen Fälle, tritt aa) In Satz 1 wird nach dem Wort „Markt-“ das Wort an ihre Stelle die Information der Öffentlichkeit durch „und“ durch das Wort „oder“ ersetzt. Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitun- bb) In Satz 2 werden die Wörter „§ 28 Abs. 1 Satz 2“ gen. Eine Benachrichtigung, die der Benachrichtigungs- durch die Wörter „§ 28 Absatz 1 Satz 1 und pflichtige erteilt hat, darf in einem Strafverfahren oder in Absatz 3 bis 3b“ ersetzt. einem Verfahren nach dem Gesetz über Ordnungswidrig- b) Absatz 2 wird wie folgt geändert: keiten gegen ihn oder einen in § 52 Absatz 1 der Straf- prozessordnung bezeichneten Angehörigen des Benach- aa) Satz 1 Nummer 1 wird wie folgt gefasst: richtigungspflichtigen nur mit Zustimmung des Benach- „1. der Dritte, dem die Daten übermittelt wer- richtigungspflichtigen verwendet werden.“ den, ein berechtigtes Interesse an ihrer 9. § 43 wird wie folgt geändert: Kenntnis glaubhaft dargelegt hat und“. a) Absatz 1 wird wie folgt geändert: bb) In Satz 2 werden die Wörter „§ 28 Abs. 3 Satz 2“ durch die Wörter „§ 28 Absatz 3 bis 3b“ ersetzt. aa) Nach Nummer 2 werden folgende Nummern 2a und 2b eingefügt: cc) In Satz 3 wird nach der Angabe „Nummer 1“ die Angabe „Buchstabe a“ gestrichen. „2a. entgegen § 10 Absatz 4 Satz 3 nicht ge- währleistet, dass die Datenübermittlung 7. In § 33 Absatz 2 Satz 1 Nummer 8 Buchstabe b werden festgestellt und überprüft werden kann, die Wörter „§ 29 Abs. 2 Nr. 1 Buchstabe b“ durch die Wörter „§ 29 Absatz 2 Satz 2“ ersetzt. 2b. entgegen § 11 Absatz 2 Satz 2 einen Auf- trag nicht, nicht richtig, nicht vollständig 8. Nach § 42 wird folgender § 42a eingefügt: oder nicht in der vorgeschriebenen Weise „§ 42a erteilt,“. Informationspflicht bei unrechtmäßiger bb) Nach Nummer 3 wird folgende Nummer 3a ein- Kenntniserlangung von Daten gefügt: Stellt eine nichtöffentliche Stelle im Sinne des § 2 „3a. entgegen § 28 Absatz 4 Satz 4 eine stren- Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 gere Form verlangt,“. Satz 1 Nummer 2 fest, dass bei ihr gespeicherte b) Absatz 2 wird wie folgt geändert: 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), aa) In Nummer 5 werden die Wörter „, indem er sie 2. personenbezogene Daten, die einem Berufsgeheimnis an Dritte weitergibt“ und am Ende das Wort unterliegen, „oder“ gestrichen. 3. personenbezogene Daten, die sich auf strafbare Hand- bb) Folgende Nummer 5a wird angefügt: lungen oder Ordnungswidrigkeiten oder den Verdacht „5a. entgegen § 28 Absatz 4 Satz 1 Daten für strafbarer Handlungen oder Ordnungswidrigkeiten Zwecke der Werbung oder der Markt- oder beziehen, oder Meinungsforschung verarbeitet oder nutzt,“. 4. personenbezogene Daten zu Bank- oder Kreditkarten- cc) In Nummer 6 wird der Punkt am Ende durch das konten Wort „oder“ ersetzt. unrechtmäßig übermittelt oder auf sonstige Weise Dritten dd) Folgende Nummer 7 wird angefügt: unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder „7. entgegen § 42a Satz 1 eine Mitteilung nicht, schutzwürdigen Interessen der Betroffenen, hat sie dies nicht richtig, nicht vollständig oder nicht nach den Sätzen 2 bis 5 unverzüglich der zuständigen rechtzeitig macht.“ Aufsichtsbehörde sowie den Betroffenen mitzuteilen. c) Absatz 3 wird wie folgt geändert: Die Benachrichtigung des Betroffenen muss unver- züglich erfolgen, sobald angemessene Maßnahmen zur aa) Das Wort „fünfundzwanzigtausend“ wird durch Sicherung der Daten ergriffen worden oder nicht unver- das Wort „fünfzigtausend“ und das Wort „zwei- züglich erfolgt sind und die Strafverfolgung nicht mehr hundertfünfzigtausend“ wird durch das Wort gefährdet wird. Die Benachrichtigung der Betroffenen „dreihunderttausend“ ersetzt. muss eine Darlegung der Art der unrechtmäßigen Kennt- bb) Nach Satz 1 werden folgende Sätze eingefügt: niserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die „Die Geldbuße soll den wirtschaftlichen Vorteil, Benachrichtigung der zuständigen Aufsichtsbehörde den der Täter aus der Ordnungswidrigkeit gezo- muss zusätzlich eine Darlegung möglicher nachteiliger gen hat, übersteigen. Reichen die in Satz 1 ge- Folgen der unrechtmäßigen Kenntniserlangung und der nannten Beträge hierfür nicht aus, so können sie von der Stelle daraufhin ergriffenen Maßnahmen enthal- überschritten werden.“
  • 15. Deutscher Bundestag – 16. Wahlperiode – 15 – Drucksache 16/12011 10. Nach § 46 wird folgender § 47 eingefügt: 4. § 16 Absatz 2 wird wie folgt geändert: „§47 a) Nummer 2 wird aufgehoben. Übergangsregelung b) Die bisherigen Nummern 3 bis 6 werden die Num- Für die Verarbeitung und Nutzung vor dem 1. Juli mern 2 bis 5. 2009 erhobener Daten ist § 28 in der bis dahin gelten- den Fassung bis zum 1. Juli 2012 weiter anzuwenden.“ Artikel 4 Artikel 3 Änderung des Telekommunikationsgesetzes Änderung des Telemediengesetzes* Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch …, wird wie folgt Das Telemediengesetz vom 26. Februar 2007 (BGBl. I geändert: S. 179) wird wie folgt geändert: 1. Dem § 93 wird folgender Absatz 3 angefügt: 1. In § 11 Absatz 3 werden die Wörter „§ 12 Abs. 3, § 15 Abs. 8 und § 16 Abs. 2 Nr. 2 und 5“ durch die Wörter „(3) Stellt der Diensteanbieter fest, dass bei ihm ge- „§ 15 Absatz 8 und § 16 Absatz 2 Nummer 4“ ersetzt. speicherte Bestandsdaten oder Verkehrsdaten unrechtmä- ßig übermittelt worden oder auf sonstige Weise Dritten 2. § 12 wird wie folgt geändert: zur Kenntnis gelangt sind, und drohen schwerwiegende a) Absatz 3 wird aufgehoben. Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bun- b) Der bisherige Absatz 4 wird Absatz 3. desdatenschutzgesetzes entsprechend.“ 3. Nach § 15 wird folgender § 15a eingefügt: 2. In § 95 Absatz 5 werden nach dem Wort „Telekommuni- „§ 15a kationsdiensten“ die Wörter „ohne die Einwilligung“ ein- Informationspflicht bei unrechtmäßiger gefügt. Kenntniserlangung von Daten Stellt der Diensteanbieter fest, dass bei ihm gespei- cherte Bestands- oder Nutzungsdaten unrechtmäßig Artikel 5 übermittelt worden oder auf sonstige Weise Dritten zur Bekanntmachungserlaubnis Kenntnis gelangt sind, und drohen schwerwiegende Be- einträchtigungen für die Rechte oder schutzwürdigen In- Das Bundesministerium des Innern kann den Wortlaut des teressen des betroffenen Nutzers, gilt § 42a des Bundes- Bundesdatenschutzgesetzes in der vom 1. Juli 2009 an gel- datenschutzgesetzes entsprechend.“ tenden Fassung im Bundesgesetzblatt bekannt machen. * Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen Artikel 6 Parlaments und des Rates vom 22. Juni 1998 über ein Informations- verfahren auf dem Gebiet der Normen und technischen Vorschriften Inkrafttreten und der Vorschriften für die Dienste der Informationsgesellschaft (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am (ABl. L 204 vom 21. 7. 1998, S. 37), die zuletzt durch die Richtlinie Tag nach der Verkündung in Kraft. 2006/96/EG vom 20. November 2006 (ABl. L 363 vom 20. 12. 2006, S. 82) geändert worden ist, sind beachtet worden. (2) Die Artikel 2, 3 und 4 treten am 1. Juli 2009 in Kraft.
  • 16. Drucksache 16/12011 – 16 – Deutscher Bundestag – 16. Wahlperiode Begründung A. Allgemeiner Teil gekennzeichnete Datenschutzkonzepte oder informations- technische Einrichtungen an dem Datenschutzauditsiegel I. Ziel und Inhalt des Entwurfs erkennen und bei der Entscheidung zwischen mehreren An- In der jüngeren Vergangenheit sind zunehmend Fälle des un- bietern berücksichtigen. Anstrengungen, die über die gesetz- berechtigten Handels mit personenbezogenen Daten bekannt lichen Anforderungen in Bezug auf den Datenschutz hinaus- geworden. Die Herkunft der Daten ist größtenteils nicht gehen, können für Unternehmen einen wirtschaftlichen nachvollziehbar. Der bisherige Erlaubnistatbestand des § 28 Mehrwert darstellen. Zugleich wird bei den Verbrauchern Absatz 3 Satz 1 Nummer 3 des Bundesdatenschutzgesetzes Bewusstsein für die Datenschutzrelevanz eines Produktes hat sich dabei für die Herstellung der notwendigen Transpa- oder einer Dienstleistung geschaffen und gefördert. renz als besonders nachteilig erwiesen. Danach dürfen be- stimmte personenbezogene Daten, wenn sie listenmäßig II. Gesetzgebungskompetenz oder sonst zusammengefasst sind, für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ohne Einwilli- Die Gesetzgebungskompetenz des Bundes folgt für Rege- gung der Betroffenen übermittelt oder genutzt werden. Die lungen des Datenschutzes als Annex aus der Kompetenz für praktische Anwendung dieser Vorschrift hat dazu geführt, die geregelte Sachmaterie. dass personenbezogene Daten der Bürgerinnen und Bürger weitläufig zum Erwerb oder zur Nutzung angeboten werden, Einem Datenschutzaudit nach Artikel 1 können sich private ohne in jedem Fall die in der Vorschrift angelegten Anforde- Unternehmen und diesen gleichgestellte öffentlich-recht- rungen zu beachten. Personenbezogene Daten werden ohne liche Wettbewerbsunternehmen unterziehen. Betroffene Beachtung der Zweckbindung verarbeitet und mit weiteren Sachmaterie ist daher ganz überwiegend das Recht der Wirt- Daten verknüpft und weiter übermittelt. Zudem hat sich das schaft (Artikel 74 Absatz 1 Nummer 11 des Grundgesetzes). Verhältnis der Bürgerinnen und Bürger zur Werbung und Die Berechtigung des Bundes zur Inanspruchnahme der Ge- Markt- oder Meinungsforschung seit der Einführung der setzgebungskompetenz ergibt sich aus Artikel 72 Absatz 2 Vorschrift im Bundesdatenschutzgesetz von 1977 gewan- Grundgesetz. Eine bundesgesetzliche Regelung über ein delt. Die gezielte Ansprache zum Zwecke der Werbung oder Datenschutzaudit ist zur Wahrung der Wirtschaftseinheit im Markt- oder Meinungsforschung wird von den Bürgerinnen Bundesgebiet im gesamtstaatlichen Interesse erforderlich. und Bürgern zunehmend als Belastung empfunden und ist Eine unterschiedliche Regelung dieser Materie durch den mit dem Wunsch nach mehr Selbstbestimmung verbunden. Landesgesetzgeber oder sein Untätigbleiben würde zu er- Zudem haben die öffentlich bekannt gewordenen Vorkomm- heblichen Nachteilen für die Gesamtwirtschaft führen, die nisse deutlich gemacht, dass für eine effektivere Durchset- sowohl im Interesse des Bundes als auch der Länder nicht zung der bestehenden gesetzlichen Regelungen zum Daten- hingenommen werden können. Insbesondere wäre zu be- schutz die Stellung der betrieblichen Beauftragten für den fürchten, dass unterschiedliche landesrechtliche Behandlun- Datenschutz gestärkt werden muss und die Bußgeldtatbe- gen gleicher Lebenssachverhalte erhebliche Wettbewerbs- stände erweitert werden müssen, um zu einem wirksamen verzerrungen und störende Schranken für die länderüber- Vorgehen der Aufsichtsbehörden beizutragen. Die vorge- greifende Wirtschaftstätigkeit zur Folge hätten. Dies wäre schlagenen Änderungen resultieren in weiten Bereichen aus etwa der Fall, wenn Datenschutzauditsiegel in den Ländern den Erfahrungen der Länder im Bereich der Aufsichtspraxis. anhand unterschiedlicher Verfahren vergeben würden. Die Die Regelungen zur Neugestaltung des § 28 Absatz 3 des landesrechtlich unterschiedliche Ausgestaltung des Kon- Bundesdatenschutzgesetzes finden unabhängig von der Un- trollverfahrens und des Verfahrens für die Zulassung der ternehmensgröße Anwendung, jedoch zielen insbesondere Kontrollstellen würde abweichende Maßstäbe bei der Prü- die vorgeschlagenen gesetzlichen Erlaubnistatbestände in fung und Bewertung nach sich ziehen. Unternehmen, die § 28 Absatz 3 Satz 2 Nummer 2 und Satz 4 auf eine Entlas- länderübergreifend oder bundesweit agieren, müssten sich tung spezialisierter kleinerer und mittlerer Unternehmen. für gleich bleibende Auditgegenstände unterschiedlichen Verfahren und Kontrollen durch wechselnde Personen unter- Das Datenschutzauditgesetz bietet Unternehmen die Mög- ziehen mit der Gefahr abweichender Ergebnisse. In einem lichkeit, sich auf freiwilliger Basis einem Datenschutzaudit Land auditierte und mit einem Datenschutzauditsiegel ge- zu unterziehen und hierfür in ein Kontrollsystem einbezie- kennzeichnete Datenschutzkonzepte oder informationstech- hen zu lassen. Erfüllt ein Datenschutzkonzept oder eine nische Einrichtungen unterlägen in den einzelnen Ländern informationstechnische Einrichtung von einem Datenschutz- unterschiedlichen Bedingungen. Dies würde die Verwend- auditausschuss beim Bundesbeauftragten für den Daten- barkeit für die betroffenen Unternehmen nachhaltig beein- schutz und die Informationsfreiheit festgelegte Richtlinien trächtigen. Unterschiedliche Landesregelungen zum Daten- zur Verbesserung des Datenschutzes und der Datensicherheit schutzauditverfahren würden zu einer gesamtstaatlich be- und lassen die Unternehmen dies in einem formalisierten denklichen Verlagerung der wirtschaftlichen Aktivitäten in Verfahren durch Kontrollstellen regelmäßig überprüfen, weniger kontrollintensive Länder führen. Unterläge ein Da- können sie das Datenschutzkonzept oder die informa- tenschutzkonzept oder eine informationstechnische Einrich- tionstechnische Einrichtung mit einem Datenschutzauditsie- tung in Ländern verschärften Kontrollmaßnahmen, käme es gel kennzeichnen. Auf diese Weise können Unternehmen unter Umständen dort nicht zum Einsatz. Dies hätte auch einen Vorteil gegenüber Wettbewerbern erzielen, die sich Folgen für Verbraucherinnen und Verbraucher, die in solchen keinem Datenschutzaudit unterziehen. Verbraucher können Ländern auf auditierte Verfahren und Produkte nicht zurück-
  • 17. Deutscher Bundestag – 16. Wahlperiode – 17 – Drucksache 16/12011 greifen könnten. Auch unterschiedliche Landesregelungen sind, kündigen können oder bei einer unbefugten Kenntnis- in Bezug auf den Kreis der in die Kontrollen einbezogenen erlangung sensibler Daten durch Dritte die Aufsichtsbehör- Auditgegenstände bergen Gefahren für die Sicherheit und den und die Betroffenen nicht benachrichtigen müssen. An- Verlässlichkeit des gesamten Kontrollverfahrens. Ein lan- deren Unternehmen in anderen Ländern bliebe diese desrechtlich unterschiedliches Kontrollniveau wäre den Ver- Möglichkeit verwehrt bzw. sie wären zur Benachrichtigung braucherinnen und Verbrauchern auch nicht zu vermitteln. verpflichtet, obwohl es sich um die gleichen personenbezo- Das Vertrauen der Verbraucher in Datenschutzauditsiegel genen Daten handelt, die gleichen betrieblichen Voraus- wäre insgesamt erschüttert. Auch für die Festlegung der von setzungen bestehen oder dieselbe unbefugte Kenntniserlan- den Kontrollstellen zu erfüllenden Aufzeichnungs- und Mel- gung sensibler Daten durch Dritte erfolgt ist. Es entstünden depflichten ist eine bundesgesetzliche Regelung im gesamt- für letztere gravierende wettbewerbsverzerrende Änderun- staatlichen Interesse notwendig. Im Falle landesrechtlich un- gen, denen die erstgenannten Unternehmen nicht ausgesetzt terschiedlich geregelter Pflichten der Kontrollstellen bestün- wären. Zudem können die bestehenden Regelungen des de die Gefahr, dass die für die Aufklärung von Verstößen Bundesdatenschutzgesetzes nur durch ein Bundesgesetz ge- wichtigen gegenseitigen Unterrichtungen, die gerade auch ändert werden. ein schnelles Tätigwerden der zuständigen Behörden ermög- lichen sollen, ins Leere liefen. Nur durch eine bundesgesetz- Betroffene Sachmaterie der Artikel 3 und 4 ist das Recht der liche Regelung kann sichergestellt werden, dass für den Wirtschaft (Artikel 74 Absatz 1 Nummer 11 des Grundge- Wirtschaftsstandort Deutschland einheitliche rechtliche setzes). Es besteht die Erforderlichkeit einer bundesgesetz- Rahmenbedingungen im Hinblick auf die Verwendung des lichen Regelung gemäß Artikel 72 Absatz 2 Grundgesetz. Datenschutzauditsiegels gegeben sind. Sinn des Daten- Eine bundeseinheitliche Regelung der Informationspflicht schutzauditsiegels ist es gerade, durch seine einheitliche bei unbefugter Kenntniserlangung sensibler Daten und des Ausgestaltung die Verbraucherinnen und Verbraucher über Kopplungsverbots im Telemedien- und Telekommunika- die zur Verbesserung des Datenschutzes beitragende Gestal- tionsgesetz ist zur Wahrung der Wirtschaftseinheit im Bun- tung zu informieren und hinsichtlich dieser Gestaltung für desgebiet im gesamtstaatlichen Interesse erforderlich. Die das gesamte Bundesgebiet einheitliche Standards zu setzen. bestehenden Regelungen des Telemedien- und Telekommu- Eine bundesgesetzliche Regelung ist ferner erforderlich, um nikationsgesetzes können nur durch ein Bundesgesetz geän- einheitliche rechtliche Rahmenbedingungen im Hinblick auf dert werden. Eine ausbleibende Regelung würde zu erheb- den Schutz der Verbraucherinnen und Verbraucher durch lichen Nachteilen für die Gesamtwirtschaft führen, die im Sanktionen bei Verstößen zu gewährleisten. Interesse des Bundes nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass die unterschiedliche Betroffene Sachmaterien des Artikels 2 sind vorwiegend das Behandlung gleicher Lebenssachverhalte zu erheblichen Bürgerliche Recht (Artikel 74 Absatz 1 Nummer 1 des Wettbewerbsverzerrungen führt. Unternehmen, die dem Grundgesetzes), das Recht der Wirtschaft (Artikel 74 Telemedien- oder Telekommunikationsgesetz unterliegen, Absatz 1 Nummer 11 des Grundgesetzes) und das Arbeits- müssten bei einer unbefugten Kenntniserlangung sensibler recht (Artikel 74 Absatz 1 Nummer 12 des Grundgesetzes). Daten durch Dritte die Aufsichtsbehörden und die Betroffe- Soweit die konkurrierende Gesetzgebungskompetenz des nen nicht benachrichtigen und unterlägen einem gegenüber Bundes gemäß Artikel 74 Absatz 1 Nummer 11 des Grund- der Regelung im Bundesdatenschutzgesetz eingeschränktem gesetzes in Anspruch genommen wird, besteht die Erforder- Kopplungsverbot. Andere Unternehmen blieben zur Be- lichkeit einer bundesgesetzlichen Regelung gemäß Arti- nachrichtigung verpflichtet, obwohl es sich um vergleichbar kel 72 Absatz 2 des Grundgesetzes. Eine bundeseinheitliche sensible personenbezogene Daten handelt, und dürften in ge- Regelung der gesetzlichen Erlaubnistatbestände für die Ver- ringerem Umfang Kopplungen vornehmen. Es entstünden arbeitung und Nutzung personenbezogener Daten zum Zwe- für diese dadurch gravierende wettbewerbsverzerrende Än- cke des Adresshandels und der Werbung, Markt- oder derungen, denen die Unternehmen, die dem Telemedien- Meinungsforschung, des Kündigungsschutzes der Beauf- oder Telekommunikationsgesetz unterliegen, nicht ausge- tragten für den Datenschutz und einer Informationspflicht setzt wären. von Unternehmen bei einer unbefugten Kenntniserlangung sensibler Daten durch Dritte ist zur Wahrung der Wirt- schaftseinheit im Bundesgebiet im gesamtstaatlichen Inte- III. Vereinbarkeit mit dem Recht der Europäischen resse erforderlich. Eine unterschiedliche oder ausbleibende Union Regelung dieser Materien durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft Der Gesetzentwurf ist mit dem Recht der Europäischen führen, die sowohl im Interesse des Bundes als auch der Län- Union vereinbar. Er steht insbesondere nicht im Widerspruch der nicht hingenommen werden kann. Insbesondere wäre zu zu den Regelungen der Richtlinie 95/46/EG (EG-Daten- befürchten, dass unterschiedliche landesrechtliche Behand- schutzrichtlinie). lungen gleicher Lebenssachverhalte erhebliche Wettbe- werbsverzerrungen und störende Schranken für die länder- Bei einem Datenschutzaudit nach dem Gesetzentwurf wer- übergreifende Wirtschaftstätigkeit zur Folge hätten. Bei den Datenschutzkonzepte oder informationstechnische Ein- unterschiedlichen Regelungen durch die Länder bestünde richtungen anhand von Richtlinien zur Verbesserung des die Gefahr, dass einige Unternehmen weiterhin personenbe- Datenschutzes und der Datensicherheit überprüft, die über zogene Daten ohne Einwilligung der Betroffenen zum Zwe- die Vorschriften hinausgehen, die die Vorgaben der EG- cke der Werbung, Markt- oder Meinungsforschung für Dritte Datenschutzrichtlinie enthält. Der Gesetzentwurf fördert verarbeiten und nutzen können, einen Beauftragten für den daher mittelbar die tatsächliche Durchsetzung dieser Rege- Datenschutz aus Gründen, die nicht auf sein Amt bezogen lungen.
  • 18. Drucksache 16/12011 – 18 – Deutscher Bundestag – 16. Wahlperiode Die Stärkung der Unabhängigkeit des Beauftragten für den bei unrechtmäßiger Kenntniserlangung bestimmter Daten Datenschutz durch einen erweiterten Kündigungsschutz und durch Dritte die Aufsichtsbehörden und die Betroffenen die Ermöglichung der Fortbildung fördern die Vorgabe in bzw. ersatzweise die Öffentlichkeit zu benachrichtigen. Artikel 18 Absatz 2 Spiegelstrich 3 der Richtlinie. Danach sehen die Mitgliedstaaten eine „unabhängige Überwachung“ Kosten für die Wirtschaft können nach Maßgabe von ggf. der Anwendung der zur Umsetzung der Richtlinie erlassenen von den Ländern und dem Bund zu erlassenden Kostenord- einzelstaatlichen Bestimmungen durch den Beauftragten für nungen entstehen, durch die die Kosten für die einzelnen den Datenschutz vor. Die Stärkung der Einwilligung und die Auditverfahren auf die Antragsteller abgewälzt werden kön- Beschränkung der gesetzlichen Erlaubnis zur Verarbeitung nen. Des Weiteren wird die Durchführung des Audits (Sam- und Nutzung personenbezogener Daten zu nicht ausschließ- meln und Zurverfügungstellen von Informationen, ggf. erfor- lich eigenen Zwecken der Werbung, Markt- oder Meinungs- derliche Nachbesserungen am Gegenstand des Audits) forschung steht im Einklang mit den Regelungen der Richt- Kosten bei den kontrollierten Stellen verursachen. Die Höhe linie und wird insbesondere den aus Artikel 2 Buchstabe h, dieser Kosten lässt sich zum gegenwärtigen Zeitpunkt nicht Artikel 7 Buchstabe a und Artikel 14 Satz 1 Buchstabe b der näher beziffern, da die konkrete Ausgestaltung des Verfah- Richtlinie abzuleitenden Zielen gerecht. rens einer noch zu erlassenden Rechtsverordnung vorbehal- ten ist und die Richtlinien zur Verbesserung des Datenschut- zes und der Datensicherheit als Maßstab der Prüfung von IV. Finanzielle Auswirkungen auf die öffentlichen einem noch zu errichtenden Datenschutzauditausschuss zu Haushalte beschließen sind. Kosten entstehen bei den Stellen, die sich beim Bundesbeauftragten für den Datenschutz und die Infor- Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- mationsfreiheit als Kontrollstellen zulassen und im Rahmen zugsaufwand. des Kontrollsystems gegen angemessene Vergütung Kon- In Bezug auf das Datenschutzauditgesetz entsteht bei den zu- trollen durchführen und dabei von den zuständigen Behör- ständigen Behörden der Länder Vollzugsaufwand. Sie haben den der Länder überwacht werden. die zugelassenen Kontrollstellen, die das Kontrollverfahren Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu durchführen, zu überwachen und Verstöße dem Bundes- erwarten. beauftragten für den Datenschutz und die Informationsfrei- heit mitzuteilen. Bestimmte hoheitliche Maßnahmen sind Zusätzliche Kosten für die Verwaltung entstehen nicht. Aus- ihnen vorbehalten. Die Kosten für die einzelnen Amtshand- wirkungen auf Einzelpreise und das allgemeine Preisniveau, lungen der zuständigen Behörden können vom Bund und den insbesondere auf das Verbraucherpreisniveau, sind nicht zu Ländern durch Kostenordnungen auf die Antragsteller abge- erwarten. wälzt werden. Vollzugsaufwand entsteht durch die Bildung eines Daten- VI. Auswirkungen schutzauditausschusses mit Vertretern aus Bund, Ländern und der Wirtschaft nebst Geschäftsstelle beim Bundesbeauf- 1. Bürokratiebelastungen für die Wirtschaft tragten für den Datenschutz und die Informationsfreiheit. Für die Wirtschaft werden 15 Informationspflichten neu ein- Die Tätigkeit der Vertreter erfolgt ehrenamtlich. geführt und eine Informationspflicht geändert. Weiterer Vollzugsaufwand entsteht beim Bundesbeauftrag- Geändert wird die Informationspflicht in § 28 Absatz 3 des ten für den Datenschutz und die Informationsfreiheit in Bundesdatenschutzgesetzes. Hier wird partiell die gesetz- einem Teilbereich durch die Überwachung der Kontrollstel- liche Erlaubnis mit der Möglichkeit des Widerspruchs (§ 28 len; ferner durch die Zulassung und die Entziehung der Zu- Absatz 4 Satz 1 des Bundesdatenschutzgesetzes) umgestellt lassung gegenüber den Kontrollstellen und die Führung auf eine Einwilligung. Damit entfällt in diesen Fällen die eines Registers der angezeigten Datenschutzkonzepte und Hinweispflicht bei der Verwendung der Daten zu Gunsten ei- informationstechnischen Einrichtungen sowie der zugelasse- ner Einwilligung von ihrer Weitergabe. Durch diese Ände- nen Kontrollstellen. rung entstehen Bürokratiekosten von 9,65 Mio. Euro. Der Für den Vollzugsaufwand beim Bundesbeauftragten für den Betrag errechnet sich bei einer Fallzahl von 30 Millionen Datenschutz und die Informationsfreiheit können in Abhän- Kundenbeziehungen, in denen der Vertragspartner diese gigkeit von der Zahl der Kontrollstellen bis zu 15 zusätzliche Einwilligung anstrebt (insbesondere Verträge im Versand- Stellen sowie jährlich Haushaltsmittel in Höhe von rd. handel – 13,5 Millionen, Telekommunikation – 13,5 Millio- 1,2 Mio. Euro für Personal- und Sachausgaben benötigt nen, übrige Gebiete – 3 Millionen Fälle), einer Bearbeitungs- werden. Über die Ausbringung und Finanzierung dieser zeit von einer Minute pro Fall und einem Stundensatz von Personal- und Sachausgaben ist im Haushaltsaufstellungs- 19,30 Euro. Die Bearbeitungszeit dürfte in der Vielzahl der verfahren 2010 zu entscheiden. Fälle bei einer elektronischen Abwicklung deutlich geringer sein. Die angenommene Minute beinhaltet daher auch Auf- wand zur Schulung von Mitarbeitern und zur Umstellung V. Kosten von Webseiten. Kosten für die Wirtschaft entstehen, soweit nach Ablauf der Durch die übrigen neu eingeführten Informationspflichten Übergangsvorschrift künftig eine Einwilligung der Betroffe- entstehen insgesamt Bürokratiekosten von 493 761 Euro. nen einzuholen ist, um deren personenbezogene Daten für Zwecke der Werbung, Markt- oder Meinungsforschung zu Durch die Änderung des § 28 Absatz 4 Satz 2 des Bundesda- verarbeiten und zu nutzen. Ferner können Kosten für die tenschutzgesetzes werden nichtöffentliche Stellen verpflich- Wirtschaft entstehen, soweit diese künftig verpflichtet sind, tet, Betroffene über die verantwortliche Stelle und das
  • 19. Deutscher Bundestag – 16. Wahlperiode – 19 – Drucksache 16/12011 Widerspruchsrecht in den Fällen des § 28 Absatz 1 Satz 1 Sofern ein Unternehmen sich entscheidet, als Kontrollstelle Nummer 1 auch bei Begründung des rechtsgeschäftlichen Kontrollen durchzuführen, erfolgt dies gegen angemessene oder rechtsgeschäftsähnlichen Schuldverhältnisses zu unter- Vergütung. Die durch die Benennung der Vertreter für den richten. § 42a des Bundesdatenschutzgesetzes verpflichtet Datenschutzauditausschuss und das Erzielen eines Einver- nichtöffentliche Stellen, die Aufsichtsbehörde und die Be- nehmens über deren Person verursachten Kosten fallen nicht troffenen unverzüglich zu benachrichtigen, wenn bestimmte ins Gewicht und werden durch die Mitwirkung an der Er- sensible Daten unrechtmäßig Dritten zur Kenntnis gelangt arbeitung des Prüfmaßstabs des Datenschutzauditverfahrens sind und schwerwiegende Beeinträchtigungen für die Rechte aufgewogen. oder schutzwürdigen Interessen der Betroffenen drohen. So- weit die Benachrichtigung der Betroffenen einen unverhält- 2. Bürokratiebelastungen für die Bürgerinnen und Bürger nismäßigen Aufwand erfordern würde, insbesondere auf- Für die Bürgerinnen und Bürger wird keine Informations- grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle pflicht neu eingeführt, geändert oder abgeschafft. die Information an die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Zeitungsseite umfassen, in mindes- 3. Bürokratiebelastungen für die Verwaltung tens zwei bundesweit erscheinenden Tageszeitungen. Für die Verwaltung werden zwölf Informationspflichten neu eingeführt und keine Informationspflichten geändert oder Das Datenschutzauditgesetz enthält für die Wirtschaft fol- abgeschafft. gende neue Informationspflichten: Diese Informationspflichten sind im Einzelnen: Eine Kontrollstelle hat ihre Zulassung zu beantragen (§ 4 Absatz 1) und kann diese auf einzelne Länder beschränken § 7 Absatz 1 Satz 2 Auskunftserteilung der zuständigen (§ 4 Absatz 2 Satz 2). Auf Antrag der Kontrollstelle kann Datenschutzaudit- Behörden untereinander ihr eine Ausnahme von der Einbeziehung von einem Daten- gesetz schutzkonzept oder einer informationstechnischen Einrich- § 7 Absatz 1 Satz 3 Mitteilungspflicht der zuständigen tung in ihre Kontrollen gewährt werden (§ 6 Absatz 1 Nummer 1 Daten- Behörde zur Anregung der Ent- Satz 2). Jährlich hat die Kontrollstelle den zuständigen schutzauditgesetz ziehung der Zulassung oder Ände- Behörden ein Verzeichnis der nichtöffentlichen Stellen, die rung von Auflagen an den Bundes- am 31. Dezember des Vorjahres ihrer Kontrolle unterstan- beauftragten für den Datenschutz den und bis zum 31. März jedes Jahres einen Bericht über und die Informationsfreiheit ihre Tätigkeit im Vorjahr vorzulegen (§ 6 Absatz 2). Die § 7 Absatz 1 Satz 3 Mitteilungspflicht an die zuständige Kontrollstellen erteilen einander die für eine ordnungsge- Nummer 2 Daten- Behörde des Landes mäße Durchführung dieses Gesetzes notwendigen Aus- schutzauditgesetz künfte (§ 6 Absatz 3 Satz 1). Stellt eine Kontrollstelle Un- § 7 Absatz 1 Satz 4 Mitteilungspflicht der zuständigen regelmäßigkeiten oder Verstöße fest, unterrichtet sie unver- Datenschutzaudit- Behörde zur Anregung eines Verfah- züglich die zuständige Behörde (§ 6 Absatz 3 Satz 2). gesetz rens der Entziehung der Zulassung Soweit eine Kontrollstelle im Rahmen der von ihr durchge- oder Änderung von Auflagen an den führten Kontrollen Tatsachen feststellt, die einen hinrei- Bundesbeauftragten für den Daten- chenden Verdacht auf Verstöße der in Satz 2 genannten Art schutz und die Informationsfreiheit begründen, der eine nicht von der Kontrollstelle kontrol- § 8 Absatz 4 Satz 2 Hinweispflicht gegenüber dem Aus- lierte nichtöffentliche Stelle betrifft, teilt die Kontrollstelle Datenschutzaudit- kunftspflichtigen die Tatsachen unverzüglich der Kontrollstelle mit, deren gesetz Kontrolle die betroffene nichtöffentliche Stelle untersteht § 9 Absatz 1 Satz 2 Führung eines Verzeichnisses für (§ 6 Absatz 3 Satz 3). Die Kontrollstelle unterrichtet die von Datenschutzaudit- Datenschutzkonzepte durch den ihr kontrollierten nichtöffentlichen Stellen, die zuständigen gesetz Bundesbeauftragten für den Daten- Behörden sowie den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit schutz und die Informationsfreiheit, bevor sie ihre Tätigkeit § 9 Absatz 1 Satz 2 Veröffentlichungspflicht im Internet einstellt, oder im Falle eines Antrags auf Eröffnung des Datenschutzaudit- und im elektronischen Bundes- Insolvenzverfahrens (§ 6 Absatz 4 Satz 1). Die nichtöffent- gesetz anzeiger lichen Stellen sowie die Kontrollstellen haben den zuständi- gen Behörden auf Verlangen Auskünfte zu erteilen (§ 8 § 9 Absatz 2 Satz 1 Führung eines Verzeichnisses der Absatz 1). Auf ihr Aussageverweigerungsrecht sind sie hin- Datenschutzaudit- zugelassenen Kontrollstellen zuweisen (§ 8 Absatz 4 Satz 2). Vor der erstmaligen Ver- gesetz wendung des Datenschutzauditsiegels ist das Datenschutz- § 9 Absatz 2 Satz 1 Veröffentlichungspflicht im Internet konzept oder die informationstechnische Einrichtung dem Datenschutzaudit- und im elektronischen Bundes- Bundesbeauftragten für den Datenschutz und die Informa- gesetz anzeiger tionsfreiheit anzuzeigen (§ 9 Absatz 1 Satz 1). § 11 Absatz 1 Veröffentlichungspflicht der maß- Satz 3 Daten- geblichen Richtlinien im Internet und Die Summe der zu erwartenden Belastungen für die Wirt- schutzauditgesetz im elektronischen Bundesanzeiger schaft beträgt insgesamt 10,14 Mio. Euro. § 15 Absatz 2 Berichtspflicht an die Aufsichts- Die für die Wirtschaft entstehenden Kosten sind hinnehm- Satz 3 Daten- behörde bar, weil das Datenschutzaudit freiwillig ist und es die Un- schutzauditgesetz ternehmen daher von einer Wirtschaftlichkeitsbetrachtung § 15 Absatz 3 Pflicht der Genehmigung durch die abhängig machen können, ob sie sich einem Audit mit den Satz 1 Daten- Aufsichtsbehörde damit ggf. einhergehenden Bürokratiekosten unterziehen. schutzauditgesetz