Gesetzesantrag der Länder Niedersachsen, Hessen
Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

A. Problem und Ziel

B. Lösung

C. Alternativen

D. Finanzielle Auswirkungen

E. Sonstige Kosten

Gesetzesantrag der Länder Niedersachsen, Hessen
Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Der Niedersächsische Ministerpräsident Hannover, den 18. Juli 2005

An den

Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Matthias Platzeck

Sehr geehrter Herr Präsident,

die Niedersächsische Landesregierung hat in ihrer Sitzung am 12. Juli 2005 beschlossen, gemeinsam mit dem Land Hessen dem Bundesrat den anliegenden

Ich bitte, den Gesetzentwurf den Ausschüssen zuzuweisen.

Mit freundlichen Grüßen

Christian Wulff

Anlage

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:

Artikel 1 Änderung des Bundesdatenschutzgesetzes

Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66) wird wie folgt geändert:

1. In § 4d Abs. 3 wird das Wort "vier" durch die Zahl "19" ersetzt.

2. § 4f wird wie folgt geändert:

Artikel 2 Inkrafttreten

Dieses Gesetz tritt am Tage nach seiner Verkündung in Kraft.

Begründung

A. Allgemeiner Teil:

Seit der erstmaligen Einstellung von Regelungen über die Bestellung eines betrieblichen Datenschutzbeauftragten sowie der Meldepflicht durch das am 01.01.1978 in Kraft getretene Bundesdatenschutzgesetz (BDSG) haben sich die Bedeutung und der Anwendungsbereich der automatisierten Datenverarbeitung erheblich gewandelt.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch automatisierte Verfahren war damals die Ausnahme. Inzwischen ist die automatisierte Verarbeitung personenbezogener Daten sowohl im Handwerk und in der Industrie als auch bei den freiberuflich Tätigen die Rege1. Dies wird vor allem deutlich durch den verbreiteten Einsatz automatisierter Zahlungssysteme, den täglichen Umgang mit EC- und Kreditkarten, und die Nutzung der automatisierten Datenverarbeitung in Arztpraxen, Apotheken, Steuerberater- und Rechtsanwaltskanzleien.

Dies hat u.a. dazu geführt, dass heute viele tausend kleinere Betriebe und Unternehmen, die früher einen betrieblichen Datenschutzbeauftragten nicht zu bestellen hatten, weil überwiegend keine automatisierte Datenverarbeitung erfolgte, inzwischen von der Bestellpflicht betroffen sind. Um für diese Stellen auch weiterhin keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten entstehen zu lassen, wird eine Erhöhung der zu niedrigen mit automatisierter personenbezogener Datenverarbeitung beschäftigten Arbeitnehmerzahl vorgeschlagen. Damit diese Änderung zu keiner Erhöhung der Meldepflichten der nicht öffentlichen verantwortlichen Stellen bei den zuständigen Aufsichtsbehörden der Länder führt, ist parallel eine identische Erhöhung der Höchstarbeitnehmerzahl für das Einsetzen der Meldepflicht nach § 4d Abs. 3 BDSG erforderlich.

Die vorgesehenen Regelungen stehen mit der Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (95/46/EG) im Einklang.

Die Erhöhung der Anzahl der mit automatisierter Datenverarbeitung befassten Arbeitnehmer von bisher 4 auf 19 in § 4d Abs. 3 BDSG sowie in § 4f Abs. 1 BDSG ist keine grundsätzliche, neue Regelung. Sie ist lediglich eine angemessene Anpassung an geänderte Lebenssachverhalte und eine Berücksichtigung des technischen Wandels, der zu einer weiten Verbreitung automatisierter Verarbeitungsformen in fast allen Lebensbereichen geführt hat. Die übrigen zum Schutz der Betroffenen bei Erhebung, Verarbeitung oder Nutzung personenbezogener Daten getroffenen Regelungen bleiben unberührt. So ist gem. § 4 Abs. 3 BDSG weiterhin erforderlich, dass entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Soweit von dem Einsatz der automatisierten Verarbeitungsverfahren besondere Risiken für das Persönlichkeitsrecht eines Einzelnen ausgehen, verbleibt es ohnehin auch künftig bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Arbeitnehmer.

Die Ergänzung des Bundesdatenschutzgesetzes, das sog. externe Datenschutzbeauftragte anstelle eigener interner Beauftragter für den Datenschutz mit der Wahrnehmung der Aufgabe betraut werden können, erfolgt aus Gründen der Rechtssicherheit. Unter den Aufsichtsbehörden der Länder gibt es unterschiedliche Auffassungen über den Umfang der Aufgaben, die Rechte und die Pflichten der externen Datenschutzbeauftragten. Es wird nunmehr klargestellt, dass externe Beauftragte den internen gleichgestellt sind.

B. Zu den einzelnen Vorschriften

Zu Artikel 1 (Änderung des BDSG)

Zu Nummer 1 ( § 4d BDSG)

Die in § 4d Abs. 3 BDSG enthaltene Regelung stellt eine Ausnahme von der in § 4d Abs. 1 BDSG vorgesehenen grundsätzlichen Meldepflicht für automatisierte Verarbeitungsverfahren dar. Nach der bisherigen Regelung entfällt die Meldepflicht, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Mit der Änderung wird lediglich die Höchstmitarbeiterzahl auf neunzehn erhöht, die übrigen Voraussetzungen bleiben bestehen. Eine Meldepflicht setzt somit u.a. voraus, dass ein Unternehmen mindestens zwanzig Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt. Ohne diese Regelung würde die unter Nummer 2 vorgesehene Änderung viele tausend Betriebe zwar von der Bestellung eines betrieblichen Datenschutzbeauftragten befreien, sie aber gleichzeitig zur Meldung der Verfahren bei der Aufsichtsbehörde verpflichten.

Zu Nummer 2 ( § 4f BDSG)

Zu Buchst. a (Absatz 1)

Mit der vorgeschlagenen Änderung werden die Voraussetzungen für die Bestellung eines betrieblichen Datenschutzbeauftragten erhöht. So wird zum einen die Unterscheidung zwischen der automatisierten und der kaum noch eine Rolle spielenden herkömmlichen personenbezogenen Datenverarbeitung aufgehoben, zum anderen wird die Zahl der Höchstarbeitnehmerzahl wie in Nummer 1 auf neunzehn festgelegt. Das hat zur Folge, dass künftig nicht öffentliche Stellen grundsätzlich einen betrieblichen Datenschutzbeauftragten erst zu bestellen haben, wenn sie mindestens zwanzig Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen.

Zu Buchst. b (Absatz 6)

In der Praxis ist strittig, ob ein nach Absatz 2 Satz 2 bestellter Beauftragter für den Datenschutz (sog. externer Datenschutzbeauftragter) dieselben Rechte wie ein innerhalb der verantwortlichen Stelle tätiger Datenschutzbeauftragter hat oder ob er sich von der verantwortlichen Stelle oder den dort tätigen Personen Geheimhaltungspflichten nach § 1 Abs. 3 Satz 2, beispielsweise die ärztliche Schweigepflicht, entgegenhalten lassen muss. Die engere Sicht hat zur Folge, dass der externe Datenschutzbeauftragte bei der Wahrnehmung zumindest eines Teils seiner Aufgaben (z.B. bei der Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, unter Umständen auch bei der Beschwerde eines Betroffenen) eingeschränkt ist, so dass innerhalb der verantwortlichen Stelle eine weitere Person für die Erledigung dieser Aufgaben bestellt werden muss. Dies kann dazu führen, dass sich Unternehmen, die gerne einen externen Datenschutzbeauftragten bestellen würden, letztlich doch für einen internen Datenschutzbeauftragten entscheiden. Dies wird in Zukunft nicht mehr nötig sein. Der neue Absatz 6 stellt im Sinne der bereits jetzt überwiegend vertretenen Auffassung klar, dass externe Datenschutzbeauftragte dieselben Aufgaben, Rechte und Pflichten haben wie interne.

Zu Artikel 2 (Inkrafttreten)

Die Vorschrift regelt das Inkrafttreten.