CIO: Wen betreffen die Änderungen des Bundesdatenschutzgesetzes?
Marc Hilber: Im Prinzip jedes Unternehmen, weil jeder personenbezogene Daten bei sich gespeichert hat.
CIO: Welche Daten sind betroffen?
Hilber: Alle Daten, die sich auf eine natürliche Person beziehen lassen. Das reicht von Arbeitnehmerdaten über Kundendaten hin zu Lieferantendaten.
CIO: Was ändert sich für CIOs durch das neue Bundesdatenschutzgesetz?
Hilber: Die Gesetzesänderung bringt neben der Erweiterung der Befugnisse der Datenschutzbehörden, der Besserstellung des betrieblichen Datenschutzbeauftragten und der Erhöhung des Bußgeldrahmens im Wesentlichen vier Rechtsänderungen, die bis zum 1. September im Unternehmen umgesetzt werden müssen. An diesem Tag tritt das neue Gesetz in Kraft.
CIO Welche Änderungen sind das?
Hilber: Die für CIOs wichtigste Neuerung ist meiner Meinung nach der Arbeitnehmerdatenschutz. Bislang gab es keine spezielle Regelung zu den Daten, die der Arbeitgeber über den Arbeitnehmer gespeichert hat. Die neue Regelung erlaubt z.B. die Nutzung von Arbeitnehmerdaten zur Kriminalitätsbekämpfung in Unternehmen nur bei einem konkreten Verdacht. Deshalb sind etwa Stichproben in dienstlichen E-Mails ab September wohl nicht mehr erlaubt.
CIOs sollten sich um Betriebsvereinbarung kümmern
CIO: Was empfehlen Sie CIOs?
Hilber: Damit zur Korruptionsverhinderung notwendige Kontrollen weiter durchgeführt werden dürfen, empfehle ich dringend, zur Nutzung von E-Mail, Telefon und Internet eine Betriebsvereinbarung durchzusetzen.
CIO: Was ändert sich noch durch das neue Bundesdatenschutzgesetz?
Hilber: Unternehmen müssen ihre Vereinbarungen über Auftragsdatenverarbeitung überprüfen. Der Mindestinhalt solcher Verträge ist jetzt in zehn Punkten im Detail geregelt. Neu ist, dass bei jeder teilweisen Nichterfüllung dieser Anforderungen eine Ordnungswidrigkeit vorliegt und erhebliche Bußgelder fällig werden.
CIO: Was haben CIOs damit zu tun?
Hilber: Auch Wartungsverträge für IT-Anlagen und Outsourcingverträge sind betroffen. CIOs müssen bedenken, dass es keine Übergangsregelung gibt. Bislang bestehende Verträge müssen daher bis zum 1. September überprüft und durch Vertragsänderungen angepasst werden.
CIO: Was ist die dritte wichtige Änderung beim Bundesdatenschutzgesetz?
Hilber: Durch die Gesetzesänderung müssen Unternehmen neue Konzepte im Bereich Direktmarketing und Adresshandel beachten. Werden in Ihrer Firma für werbliche Zwecke Adressen verwendet, die von Dritten erfasst wurden, müssen Sie eine "Quellenangabe" machen. Sie müssen also angeben, woher diese Daten stammen.
CIOs müssen Datenverstöße anzeigen
CIO: Gibt es hier eine Übergangsregelung?
Für ab dem 1. September erhobene Daten gilt die neue Regelung. Alte Daten können zum Zwecke der Markt- oder Meinungsforschung noch bis zum 31. August 2010 und zum Zwecke der Werbung bis zum 31. August 2012 nach den alten Regelungen genutzt werden. CIOs tragen Verantwortung dafür, dass die Datenbanken die Einhaltung dieser Regeln erlauben, z.B. also dass zwischen Alt- und Neudaten unterschieden werden kann.
CIO: Mit dem Bundesdatenschutzgesetz im September kommt eine sogenannte Security Breach Notification. Was ist damit gemeint?
Hilber: Dieser Ansatz ist neu, wir kennen ihn aber bereits aus den USA. Es verpflichtet Unternehmen, Datenverstöße gravierender Art zu melden. Werden etwa Bank- und Kreditkartendaten unrechtmäßig Dritten bekannt, müssen Unternehmen ab September die Aufsichtsbehörde und die Betroffenen über den Verstoß informieren.
CIO: Was müssen CIOs beachten?
Da solche Nachrichten häufig bei CIOs aufschlagen, sollten sie die Rechtslage kennen. Im Ernstfall müssen sie ab September an die Pflicht denken, diese Vorgänge anzuzeigen.
Marc Hilber ist Partner im Kölner Büro der Kanzlei Oppenhoff & Partner.