Bundesregierung beschließt Datenschutz-Novelle

Heute morgen hat das Bundeskabinett den Entwurf für neue Datenschutzregelungen in der Privatwirtschaft beschlossen. Dies war ein Ergebnis der Datenskandale bei der Deutschen Telekom, bei Lidl, den Lottogesellschaften und anderen Unternehmen im Laufe des Jahres.

Wesentliche Neuerungen laut der Pressemitteilung des BMI, dpa und taz sind:

  • Die Weitergabe persönlicher Daten ohne Zustimmung der Betroffenen ist grundsätzlich verboten (opt-in-Verfahren). Bisher konnten bestimmte Daten wie Name, Adresse und Alter immer dann verkauft werden, wenn man nicht explizit widersprochen hat. Ausnahmen gibt es laut BMI für Eigenwerbung mit eigenen Kundendaten – auch unter Zuhilfenahme externer Selektionskriterien -, Spendenwerbung gemeinnütziger Organisationen, Werbung an Unternehmen und Freiberufler (B2B) sowie die sogenannte „Beipackwerbung“.
  • Internet-Geschäfte sollen müssen auch dann möglich sein, wenn man der Weitergabe seiner Daten nicht zustimmt. Dieses Koppelungsverbot gilt allerdings nur für marktbeherrschande Unternehmen.
  • Der Bußgeldrahmen wird von 250.000 auf 300.000 Euro erhöht, Gewinne aus illegaler Verwendung von Daten können nun abgeschöpft werden.
  • Bei Daten-Diebstählen müssen die Betroffenen künftig von den Firmen informiert werden.
  • Es gibt nun eine bundesweite Regelung zum Datenschutzaudit. Unternehmen können ein Gütesiegel erwerben, wenn sie sich einem Kontrollverfahren unterwerfen.
  • Die Firmen bekommen für die Anpassung ihres Werbeverhaltens drei Jahre Zeit.
  • Für die internen betrieblichen Datenschutzbeauftragten sind ein besserer Kündigungsschutz sowie ein Anspruch auf Fortbildung vorgesehen.

Die Kritik bezieht sich vor allem auf das Audit-Verfahren, auf diverse Ausnahmeregelungen zum Weitergabeverbot, die fehlende Kennzeichnung der Daten in Bezug auf ihre Herkunft und bei der Weitergabe, sowie die immer noch mangelnde Austattung der Datenschutzbehörden mit weiter gehenden Kompetenzen und auch mit entsprechenden Ressourcen:

Laut taz, der der Entwurf schon gestern vorlag, können Unternehmen bereits mit dem Datenschutzsiegel werben, bevor sie überhaupt ein Auditverfahren durchlaufen haben. Sie müssen es lediglich dem Bundesbeauftragten für Datenschutz mitteilen. Die Kontrolle müsse erst dann erfolgen, „sobald“ die Arbeit der Kontrollstelle „es ermöglicht“. Wer weiß, wie schlecht die Datenschutzbehörden personell ausgestattet sind, kann sich vorstellen, was das bedeuten wird. Zudem sind die Gutachter dafür nicht unabhängig. „Diese sollen von den Kontrollierten beauftragt und bezahlt werden. Das riecht stark nach Gefälligkeitsgutachten“, so Thilo Weichert, Landesdatenschutzbeauftragter von Schleswig-Holstein. Dort gibt es seit einigen Jahren bereits ein eigenes Gütesiegel, das mittlerweile als Modell für ein EU-weites Datenschutz-Siegel fungiert. „Bei uns werden die Gutachten noch einmal überprüft“, sagte Weichert der taz.

Weichert kritisierte außerdem die Ausnahmenregelungen zum Opt-in-Verfahren:

„Die Ausnahmen vom Einwilligungserfordernis haben zugenommen. Die Verständlichkeit der gesetzlichen Regelung bleibt noch hinter den bisher schon schwer handhabbaren Normen zurück. Das Koppelungsverbot wird durch den Verweis auf sonstige Marktangebote fast völlig entwertet.“

Was es ebenfalls nicht in den Gesetzesentwurf geschafft hat, ist eine Kennzeichnung der Daten mit Informationen über ihre Herkunft, ihre Weitergabe und ihre Verwendungszwecke. Damit wäre auch möglich, den Weg der Daten im Falle der Weitergabe zu dokumentieren. Solche Meta-Daten sind seit einigen Jahren ein heißes Thema auf den Datenschützerkonferenzen, und dieser Ansatz wird z.B. bei IBM schon länger intern benutzt. Mit der Enterprise Privacy Authorization Language (EPAL) gibt es sogar schon einen Entwurf für einen Standard. Hiermit könnte auch das seit einiger Zeit diskutierte Verfallsdatum für personenbezogene Daten implementiert werden. Innenminister Schäuble hat mal wieder nicht verstanden, dass es inzwischen solche technischen Lösungen gibt:

„Ein lückenloser Herkunftsnachweis ist unmöglich. Deswegen haben wir davon Abstand genommen.“

Während die Werbewirtschaft in den letzten Wochen Sturm gelaufen ist und offenbar die vielen Ausnahmeregeln noch mit erwirkt hat, ist der Bundesdatenschutzbeauftragte Peter Schaar laut eigener Aussage am Entstehen des Gesetzesentwurfs nur „bisweilen beteiligt gewesen“. „In den letzten Wochen sind wir nicht berücksichtigt worden“, kritisierte er.

Schaar fordert darüber hinaus auch weitere Befugnisse für die Datenschutzämter:

„Die Aufsichtsbehörden sollen nicht erst dann einschreiten können, wenn das Kind in den Brunnen gefallen ist. Sie brauchen die Befugnis, bei schwerwiegenden Datenschutzverstößen die Datenverarbeitung zu untersagen.“

Update: Heise berichtet jetzt auch und gibt noch Informationen zum Zeitplan:

Nach einem Durchgang durch den Bundesrat könnte das Vorhaben im März im Bundestag beraten und frühestens Mitte Mai verabschiedet werden.

Das Datenschutzzentrum (ULD) in Kiel fordert für das weitere Gesetzgebungsverfahren, die Audit-Regelungen wegen der schweren Probleme vom Rest des Gesetzes abzutrennen und gesondert nachzuarbeiten.

Update 2: Hier ist der alte Gesetzesentwurf mit Stand vom 30.7.2008. Sobald die heute beschlossene Fassung online ist, wird sie hier auch noch verlinkt. Hier ist die heute beschlossene Fassung. Seiten 1-12 sind das neue Datenschutzauditgesetz, Seiten 13-18 die Änderungen an Bundesdatenschutzgesetz, danach folgen Änderungen des Telemediengesetzes und des Telekommunikationsgesetzes, und die Seiten 21-56 sind die Begründung.

Update 3: Bei heise gibt es jetzt auch eine Übersicht der Reaktionen auf den Entwurf.

Update 4 (11.12.2008):Jetzt fordern auch prominente SPD-Abgeordnete Nachbesserungen. Mal sehen, wie schnell sie dieses Mal einknicken – nach kleinen kosmetischen Änderungen natürlich, über die Schäuble wieder öffentlich zetern wird, damit es als großer Erfolg erscheint.

3 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.