BDSG-Novelle – 2001

Die Novelle des Bundesdatenschutzgesetzes (BDSG) wurde am 7. April 2001 vom Bundestag verabschiedet. Am 11. Mai 2001 hat der Bundesrat seine Zustimmung erteilt. Die Novelle setzte die Anforderungen aus der EU-Datenschutzrichtlinie um, was in Österreich bereits mit dem DSG 2000 geschehen war.
Grundsätzlich musste das neue BDSG ab Inkrafttreten beachtet werden. Bereits vor dem Inkrafttreten begonnene Datenverarbeitungen mussten jedoch nicht sofort umgestellt werden; hier sah das Gesetz eine Umsetzungsfrist von drei Jahren, in Ausnahmefällen sogar von fünf Jahren vor.
Für die Bank ergaben sich aus der Novellierung eine Vielzahl von Änderungen, die hier nicht abschließend aufgezählt werden können. Aus diesem Grunde haben wir die wichtigsten Punkte wie folgt für Sie zusammengefasst:

1. Unterrichtungspflicht bei der Datenerhebung
    
   Von den Neuregelungen zur Datenerhebung ist vor allem die Unterrichtungspflicht von Bedeutung für die Praxis. Danach ist insbesondere der Betroffene künftig bei jeder Datenerhebung über ihren Zweck zu unterrichten.
   Bei der Umsetzung des neuen BDSG in der Bank wird auf mögliche Unterrichtungspflichten zu achten sein, weil unter diesem Gesichtspunkt letztlich alle Formulare der Bank geprüft werden müssen.
    
2. Unterrichtung über Widerspruchsrecht bei Ansprache zum Zwecke der Werbung
    
   Der Betroffene ist künftig bei der Ansprache zum Zwecke der Werbung oder der Markt- oder Meinungsforschung (z.B. bei Mailingaktionen) insbesondere über das Widerspruchsrecht gegen die Nutzung oder Übermittlung seiner Daten zu diesen Zwecken zu unterrichten.
    
3. Grundsatz der Datenvermeidung und -sparsamkeit
    
   Der schon bisher geltende Grundsatz der Erforderlichkeit wurde durch eine Kodifizierung des Grundsatzes der Datenvermeidung und -sparsamkeit klargestellt und konkretisiert. Danach hat sich die Gestaltung und die Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder nur so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen.
    
4. Vorrang der anonymen und pseudonymen Datenverarbeitung
   
   Ergänzend zum Grundsatz der Datenvermeidung und -sparsamkeit ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich und der damit verbundene Aufwand zumutbar ist. Diese Vorschrift wird insbesondere bei der Anwendungsentwicklung, aber auch bei der Einschaltung von Dritten zur Datenverarbeitung im Auftrag der Bank von Bedeutung sein.
    
5. Regelung zur Datenübermittlung ins Ausland
    
   Während früher die Zulässigkeit der Datenübermittlung ins Ausland nach allgemeinen Grundsätzen zu beurteilen war, stellt das neue BDSG genaue Regelungen hierzu auf, wobei die Datenübermittlung innerhalb der EU der Datenübermittlung im Inland gleichgestellt wird.
    
6. Regelung zu automatisierten Einzelfallentscheidungen (Scoring)
    
   Die Zulässigkeit automatisierter Einzelfallentscheidungen wird ausdrücklich geregelt. Diese Regelung ist in der Praxis vor allem zur Beurteilung von Scoring-Verfahren relevant. Im Fall einer nachteiligen automatisierten Entscheidung ist künftig der Betroffene über die Tatsache, dass eine automatisierte Entscheidung getroffen wurde, zu unterrichten, und er muss die Möglichkeit erhalten, seinen Standpunkt geltend zu machen, so dass die Entscheidung manuell überprüft wird.
    
7. Zulässigkeit des Einsatzes bestimmter Verfahren erst nach Vorabkontrolle durch den Datenschutzbeauftragten
    
   Soweit eine neue Anwendung besondere Risiken für die Rechte der Betoffenen aufweist, darf sie erst in Betrieb genommen werden, wenn der Datenschutzbeauftragte zugestimmt hat. In der Praxis wird eine Vorabkontrolle insbesondere in folgenden Fällen in Betracht kommen: Einsatz von Datawarehouse- und Dataminingmethoden, Verarbeitung von Daten besonderer Art (z.B. Religion oder Gesundheit) sowie Datenverarbeitung zu dem Zweck, die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistungen oder seines Verhaltens zu bewerten (z.B. Personalverwaltungssysteme, Bonitätsbeurteilung, alle Verfahren mit Profilbildung).
    
8. Verfahrensregister
    
   Neu ist, dass die „verantwortliche Stelle“ (bisher „speichernde Stelle“ genannt) ein Register der eingesetzten Verfahren (Anwendungen) zu führen und dem betrieblichen Datenschutzbeauftragten vorzulegen hat. Auf Antrag muss das Verfahrensregister jedermann in geeigneter Weise zur Verfügung gestellt werden; es ist damit beschränkt öffentlich.
    
9. Neufassung der „10 Gebote“
    
   Die sog. „10 Gebote“ in der Anlage zu § 9 BDSG werden neu gefasst und auf nun 8 Gebote reduziert. Neu ist insbesondere das Trennungsgebot in Nr. 8 der Anlage, wonach künftig Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt zu verarbeiten sind.
    
10. Datenschutzaudit durch unabhängige und zugelassene Prüfer
     
    Mit dem Datenschutzaudit können die verantwortlichen Stellen ein Gütesiegel für den Datenschutz erwerben und dadurch einen Wettbewerbsvorteil erringen.
     
    
11. Schadensersatzpflicht / Sanktionen / Rechte der Aufsichtsbehörden
     
    Das neue BDSG gibt eine echte Anspruchsgrundlage, wonach die verantwortliche Stelle dem Betroffenen die Schäden ersetzen muss, die durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten entstehen. Neben neuen Strafvorschriften wurde der Bußgeldrahmen von 50.000 auf 500.000 DM erhöht. Die Rechte der Aufsichtsbehörden für den Datenschutz wurden dadurch gestärkt, dass ihnen mit der Novellierung ein anlassunabhängiges Kontrollrecht und die Strafantragsberechtigung eingeräumt wird.