Stellungnahme des Bundesrates

  Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze

Der Bundesrat hat in seiner 754. Sitzung am 29. September 2000 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Abs. 2 des Grundgesetzes wie folgt Stellung zu nehmen:

Inhalt:

l.	Zu Artikel l des Gesetzentwurfs im Ganzen
2.	Zu Artikel l Nr. 6. 7. 10 und 36 (§§ 4. 4d. 4e. 6a und 34 BDSG)
3.	Zu Artikel l Nr. 7 (§ 4b BDSG) und Artikel 8 § 2 Nr. 9 (§ 77 SGB X)
4.	Zu Artikel l Nr. 7 (§ 4f Abs. l Satz 6 BDSG)
5.	Zu Art. l Nr. 7 (§ 4g Abs. l Sätze 2 und 3 BDSG)
6.	Zu Artikel l Nr. 11 (§§7 Abs. l Satz l. Abs. 2 bis 4 und 6. 7 und 8 - neu -BDSG)
7.	Zu Artikel l Nr. 13 (§ 9a BDSG) und Artikel 8 § 2 Nr. 12 (§ 78c SGB X)
8.	Zu Artikel l Nr. 15 (§ 11 BDSG)
9.	Zu Artikel l Nr. 28 Buchstabe b (§ 24 Abs. 3 BDSG)
10.	Zu Artikel l Nr. 31 Buchstabe b (§ 28 Abs. l Satz l Nr. 3 BDSG)
11.	Zu Artikel l Nr. 31 Buchstabe h Doppelbuchstabe bb (§ 28 Abs. 4 BDSG)
12.	Zu Artikel l Nr. 32 (§ 29 BDSG)
13.	Zu Artikel l Nr. 41 (§ 38 BDSG)
14.	Zu Artikel l Nr. 42 (§ 38a Abs. l BDSG)
15.	Zu Artikel l Nr. 47 (§ 43 BDSG)
16.	Zu Artikel l Nr. 48 (§ 44 Abs. l BDSG)
17.	Zu Artikel l Nr. 48 a - neu - (§44 Abs. 2 BDSG)
18.	Zu Artikel 8 § 2 Nr. 16 (§ 82 Satz l SGB X)
19.	Zu Artikel 8a - neu - (Änderung des Strafvollzugsgesetzes)

  l. Zu Artikel l des Gesetzentwurfs im Ganzen

a) Mit dem vorliegenden Gesetzentwurf soll vorrangig die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie) umgesetzt werden.

b) Im Zuge der Beratungen der EG-Datenschutzrichtlinie haben die Länder und auch der Bundesrat zahlreiche Vorschläge zur Schaffung eines modernen Datenschutzrechts unterbreitet, die geeignet erscheinen, auf der Grundlage des in der Bundesrepublik Deutschland bestehenden Kontrollsystems einen wirksamen Schutz der Rechte der Bürgerinnen und Bürger beim Umgang mit ihren persönlichen Daten zu gewährleisten und gleichzeitig unangemessene Verwaltungsformalitäten bei den für die Verarbeitung Verantwortlichen und den Kontrollbehörden zu vermeiden.

c) Die Forderungen des Bundesrates vom 14. Dezember 1990 - (BR-Drs. 690/90 (Beschlüsse - zu dem Vorschlag der Kommission der Europäischen Gemeinschaften für eine Richtlinie des Rates zum Schutz von Personen bei der Verarbeitung personenbezogener Daten vom 27. Juli 1990 (ABI. Nr. C 277 vom 15. November 1990, S. 3) sind ebenso wie die dem Bundesministerium des Innern mit Schreiben vom 8. Februar 1993 zugeleitete Gemeinsame Stellungnahme der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich zu dem Geänderten Vorschlag der Kommission vom 16. Oktober 1992 (ABI. Nr. C 311 vom 27. November 1992, S. 30) in die weiteren Beratungen der EG-Datenschutzrichtlinie einbezogen worden und haben dazu beigetragen, dass die verabschiedete Richtlinie den vorstehenden Anliegen der Länder weitgehend Rechnung trägt.

d) Nach Inkrafttreten der EG-Datenschutzrichtlinie im Jahr 1995 haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich eine Prüfung der zu ihrer Umsetzung notwendigen Maßnahmen eingeleitet und in den letzten Jahren wiederholt Vorschläge und Empfehlungen zur Novellierung des Bundesdatenschutzgesetzes vorgelegt. Dabei wurde unter anderem gefordert,

• an der bisherigen Unterscheidung zwischen Vorschriften für den öffentlichen und den nicht-öffentlichen Bereich festzuhalten und
• bei der Ausgestaltung der Meldepflichten der datenverarbeitenden Stellen dem in Erwägungsgrund 49 der EG-Datenschutzrichtlinie genannten Anliegen, unangemessene Verwaltungsformalitäten zu vermeiden, Rechnung zu tragen.

e) Bei der Vorstellung des Geänderten Vorschlages für eine EG-Datenschutzrichtlinie ist von der Kommission deutlich gemacht worden, dass die „Rahmenrichtlinie die großen Leitlinien des Gesetzes festlege, gleichzeitig aber den Mitgliedstaaten in der Anwendung gemeinsamer Grundsätze sowie im Hinblick auf die Wahl der Methoden und Verfahren, mit denen die tatsächliche Anwendung dieser Grundsätze gewährleistet werden solle, viel Freiheit einräume". Vor diesem Hintergrund ist von den Ländern auch gefordert worden, die durch die EG-Datenschutzrichtlinie eröffneten Gestaltungsspielräume zu nutzen, um

• der Eigenverantwortung der datenverarbeitenden Stellen den Vorrang gegenüber der Überwachung durch staatliche Kontrollstellen einzuräumen,

• verwaltungsaufwändige Verfahren nur vorzusehen, soweit dies zur Gewährleistung der schutzwürdigen Interessen der betroffenen Personen geboten ist,

• das Bundesdatenschutzgesetz übersichtlich, klar und verständlich auszugestalten und

• insbesondere sicherzustellen, dass auch kleinere Unternehmen und Betriebe sowie die bei diesen bestellten betrieblichen Datenschutzbeauftragten in der Lage sind, die zum Schutz der Bürgerinnen und Bürger erlassenen datenschutzrechtlichen Bestimmungen vor Ort effektiv umzusetzen.

f) Auch wenn der vorliegende Gesetzentwurf im Interesse einer zeitnahen Umsetzung der EG-Datenschutzrichtlinie begrüßt wird, hält der Bundesrat die Berücksichtigung der vorgenannten Anliegen der Länder im Rahmen der beabsichtigten grundlegenden Neufassung des Bundesdatenschutzgesetzes für geboten. Den Erfordernissen der Transparenz und Normenklarheit kann dabei insbesondere durch die Beibehaltung der Unterscheidung zwischen Vorschriften für den öffentlichen und den nichtöffentlichen Bereich Rechnung getragen werden.

  2. Zu Artikel l Nr. 6. 7. 10 und 36 (§§ 4. 4d. 4e. 6a und 34 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob und gegebenenfalls in welcher Form

• die Regelungen des § 4 Absatz 2 und 4 BDSG im Hinblick auf die grundrechtlich geschützte allgemeine Handlungsfreiheit sachgerecht modifiziert werden können,

• in § 4d BDSG klargestellt werden kann, dass sich die in dieser Vorschrift begründete Meldepflicht nicht auf jeden einzelnen Verarbeitungsvorgang, sondern auf den Einsatz eines automatisierten Verfahrens als Ganzes bezieht,

• die in § 4e Nr. 7 BDSG vorgesehene Regelung hinsichtlich der Festlegung von Speicherfristen vereinfacht oder gestrichen werden kann,

• in der Regelung des § 6a BDSG sichergestellt werden kann, dass Betriebs- und Geschäftsgeheimnisse der verantwortlichen Stellen angemessen geschützt werden,

• personenbezogene Daten, die ausschließlich zur Erfüllung gesetzlicher oder vertraglicher Aufbewahrungsvorschriften oder für Zwecke der Datensicherung und der Datenschutzkontrolle gespeichert werden, dem Auskunftsanspruch nach § 34 BDSG lediglich dann unterstellt werden, wenn im Einzelfall Anhaltspunkte für einen Datenschutzverstoß vorliegen,

• in § 34 Abs. 4 BDSG entsprechend der bisher geltenden Regelung des Bundesdatenschutzgesetzes eine Ausnahme von der Auskunftspflicht für den Fall der Gefährdung von Geschäftszwecken vorgesehen werden kann.

Begründung:

Die vorgesehenen Neuregelungen in den §§ 4 Abs. 2 und 4, 4d, 4e, 6a und 34 BDSG können in der Praxis zu einem erheblichen Verwaltungsmehraufwand führen, der auch unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen nicht gerechtfertigt erscheint. Bei den Vorschriften des § 4 Absatz 2 und 4 BDSG ist außerdem zu berücksichtigen, dass diese Vorschriften, die nach der bisherigen gesetzlichen Regelung lediglich für die Behörden und sonstigen öffentlichen Stellen galten, im Bereich der auf den Prinzipien der freien wirtschaftlichen Betätigung und der Vertragsfreiheit beruhenden Privatwirtschaft einer entsprechenden Modifizierung bedürfen.
Unabhängig von der geplanten grundlegenden Überarbeitung des Bundesdatenschutzgesetzes hält es der Bundesrat für geboten zu prüfen, ob in den genannten Bereichen bereits jetzt sachgerechte Regelungen geschaffen werden können.

  3. Zu Artikel l Nr. 7 (§ 4b BDSG) und Artikel 8 § 2 Nr. 9 (§ 77 SGB X)

Die Bundesregierung wird gebeten, im weiteren Gesetzgebungsverfahren zu prüfen, ob in Artikel l Nr. 7 die Vorschrift des § 4b BDSG und in Artikel 8 § 2 Nr. 9 die Vorschrift des § 77 SGB X wie folgt vereinfacht werden können:

Die jetzige Fassung des § 4b BDSG unterscheidet nicht nur zwischen Übermittlungen innerhalb der Mitgliedstaaten der Europäischen Union und Übermittlungen an Stellen außerhalb der Europäischen Union (letzteren sind über- und zwischenstaatlichen Stellen gleichgestellt), sondern unterscheidet auch noch bei Datenübermittlungen innerhalb der Mitgliedstaaten der Europäischen Union, ob der Anwendungsbereich von Artikel 3 der EG-Datenschutzrichtlinie gegeben ist. Die zuletzt genannte Unterscheidung ist für die tägliche Praxis sowohl in der Privatwirtschaft als auch in der Verwaltung äußerst problematisch, da bei jeder Datenübermittlung geprüft werden müsste, ob sie dem Anwendungsbereich der EG-Datenschutzrichtlinie unterfällt. In der täglichen Praxis müsste also die schwierige Frage des Anwendungsbereiches der EG-Datenschutzrichtlinie beantwortet werden. Ein Bundesgesetz sollte aber in sich aussagekräftig sein und sollte zu seiner Anwendung keinen ständigen Rückgriff auf die Richtlinie benötigen; dies wäre mit dem Gedanken der Normklarheit nicht vereinbar.
Einer Gleichbehandlung von Datenübermittlungen innerhalb der Europäischen Union stehen auch nicht Sicherheitsbelange entgegen. Denn für die Sicherheitsbehörden gelten nach den Artikeln 2 bis 7 des Gesetzentwurfs die Vorschriften der §§ 4b und 4c ohnehin nicht.

  4. Zu Artikel l Nr. 7 (§ 4f Abs. l Satz 6 BDSG)

In Artikel l Nr. 7 sind in § 4f Abs. l Satz 6 die Wörter „eine Vorabkontrolle durchzuführen haben" durch die Wörter „automatisierte Verarbeitungen vornehmen, die der Vorabkontrolle unterliegen," zu ersetzen.

Begründung:

Eine Vorabkontrolle ist nach § 4d Abs. 5 durchzuführen, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen auf weisen. In diesen Fällen, in denen vielfach besondere Arten personenbezogener Daten nach § 3 Abs. 9 verarbeitet werden, ist zur Wahrung der Rechte der Betroffenen die auf Dauer angelegte Bestellung eines Beauftragten für den Datenschutz unabhängig von der Anzahl der Arbeitnehmer geboten.
Durch die vorgeschlagene Änderung wird klargestellt, dass die Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz nicht auf die Durchführung einer Vorabkontrolle beschränkt ist, sondern für die gesamte Dauer der Verarbeitung personenbezogener Daten, für die eine Vorabkontrolle durchzuführen ist, besteht.

  5. Zu Art. l Nr. 7 (§ 4g Abs. l Sätze 2 und 3 BDSG)

In Art. l Nr. 7 ist § 4g Abs. l wie folgt zu ändern:

a) In Satz 2 sind die Wörter „im Benehmen mit dem Leiter der verantwortlichen Stelle" zu streichen.

b) Satz 3 ist zu streichen.

Begründung:

Die in § 4g Abs. l Sätze 2 und 3 BDSG n. F. vorgesehene Regelung, nach der sich der behördliche Datenschutzbeauftragte nur im Benehmen mit dem Leiter der verantwortlichen Stelle an den Bundesbeauftragten für den Datenschutz wenden kann und bei Unstimmigkeiten zwischen dem behördlichen Datenschutzbeauftragten und dem Leiter eine Genehmigung der obersten Bundesbehörde erforderlich ist, ist mit der Aufgabenstellung des behördlichen Datenschutzbeauftragten nicht vereinbar (Art. 18 Abs. 2 Spiegelstrich 2 der EG-Datenschutzrichtlinie). Hinzu kommt, dass der Datenschutzbeauftragte in den in Art. 20 Abs. 2 der EG-Datenschutzrichtlinie beschriebenen Fällen im Zweifelsfall sogar die Kontrollstelle konsultieren muss.
Eine solch einschränkende Regelung gibt es in keiner Rechts- und Verwaltungsvorschrift der Länder, in denen behördliche Datenschutzbeauftragte vorgesehen sind.

  6. Zu Artikel l Nr. 11 (§§7 Abs. l Satz l. Abs. 2 bis 4 und 6. 7 und 8 - neu - BDSG)

Artikel l Nr. 11 ist wie folgt zu ändern:

a) § 7 ist wie folgt zu ändern:

aa) In Absatz l Satz l sind das Wort "schuldhaft" zu streichen und vor den Wörtern "ihr Träger" die Wörter "sie oder" einzufügen.

bb) Die Absätze 2 bis 4 sind zu streichen.

b) § 8 ist wie folgt zu ändern:

aa) Absatz 6 ist wie folgt zu fassen:

" (6) Mehrere Ersatzpflichtige haften als Gesamtschuldner."

" (7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.

(8) Der Rechtsweg zu den ordentlichen Gerichten steht offen."

Begründung:

In § 7 Abs. l ist das Verhältnis der Sätze l und 2 irritierend. Wenn nach Satz 2 die Ersatzpflicht (nur) entfällt, falls die verantwortliche Stelle den Nachweis

fehlenden Verschuldens erbringt, ist es folgerichtig, in Satz l das Wort "schuldhaft" zu streichen. Das dürfte der Regelung in Artikel 2 der Richtlinie entsprechen. Die Einfügung der Wörter "sie oder" in Satz l trägt dem Umstand Rechnung, dass bei juristischen Personen des Privatrechts eine Haftung des Trägers nicht in Betracht kommt.
Da § 7 einen deliktischen Anspruch zum Gegenstand hat, sind im Hinblick auf die §§ 823 ff. BGB die Absätze 2 bis 4 überflüssig. Die Änderungen des § 8 sind Folgeänderungen.

  7. Zu Artikel l Nr. 13 (§ 9a BDSG) und Artikel 8 § 2 Nr. 12 (§ 78c SGB X)

Begründung:

Gegen das vorgesehene Datenschutzaudit bestehen erhebliche Bedenken, da es für einen effektiven Datenschutz nicht notwendig, aber kostenträchtig ist. Aus der formalen Freiwilligkeit kann im nicht-öffentlichen Bereich aus Wettbewerbsgründen leicht faktischer Zwang werden. Dies würde eine wesentliche Kostenbelastung der deutschen Wirtschaft mit sich bringen. Vor allem aber würde durch ein Audit die Stellung des betrieblichen Datenschutzbeauftragten entwertet werden, für dessen rechtliche Absicherung in der EG-Datenschutzrichtlinie sich gerade Deutschland eingesetzt hat. Diese betriebliche Selbstkontrolle durch betriebliche Datenschutzbeauftragte hat sich bewährt. So ist es nicht verständlich, warum durch ein Datenschutzaudit eine Art „dreifache Kontrolle" eingeführt werden soll, nämlich neben der Selbstkontrolle durch betriebliche Datenschutzbeauftragte und der Fremdkontrolle durch Aufsichtsbehörden nunmehr noch ein Datenschutzaudit. Unklar sind auch die Rechtswirkungen eines Audits durch einen Gutachter. Probleme können etwa dann auftreten, wenn Gutachter und Datenschutzkontrollbehörden zu unterschiedlichen Bewertungen gelangen.
Im Übrigen ist zur Zeit kein aktueller Regelungsbedarf gegeben, zumal Satz 2 der vorgesehenen Vorschriften (§ 9a Satz 2 BDSG und § 78c Satz 2 SGB X) ohnehin auf eine erst zukünftig zu schaffende gesetzliche Regelung verweist. Auch besteht die Möglichkeit, dieses Thema im Rahmen der von der Bundesregierung angekündigten grundlegenden Überarbeitung des Bundesdatenschutzgesetzes vertieft zu erörtern.

  8. Zu Artikel l Nr. 15 (§ 11 BDSG)

Artikel l Nr. 15 Buchstabe d Doppelbuchstabe bb ist wie folgt zu fassen:

'bb) Dem Absatz wird folgender Satz angefügt:

„Der Auftraggeber hat sich in geeigneter Weise von der Einhaltung der

beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen."'

Begründung:

Die in der vorliegenden Entwurfsfassung des § 11 Abs. 2 Satz 4 BDSG für den Auftraggeber vorgesehene generelle Verpflichtung, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen, kann in der Praxis große Probleme bereiten. So gibt es z.B. Rechenzentren mit über 30.000 Auftraggebern. Es wäre sowohl aus organisatorischen als auch aus Sicherheitsgründen nicht vorstellbar, wenn sämtliche Auftraggeber die diversen Sicherheitseinrichtungen dieser Einrichtung inspizieren müssten. Die Einfügung „in geeigneter Weise" trägt diesem Umstand Rechnung.

  9. Zu Artikel l Nr. 28 Buchstabe b (§ 24 Abs. 3 BDSG)

In Artikel l Nr. 28 Buchstabe b ist § 24 Abs. 3 zu streichen.

Begründung:

Nach der geltenden Fassung von § 24 Abs. 3 BDSG unterliegen die Bundesgerichte der Kontrolle des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden. Die neue Fassung von Absatz 3 schränkt die Ausnahme von der Kontrollbefugnis insoweit ein, dass bei den Bundesgerichten nur noch die unmittelbar der Rechtsprechung dienende Tätigkeit der Richter von der Kontrolle ausgenommen sein soll.
Dies hätte etwa zur Folge, dass die Unterstützungstätigkeiten der gerichtlichen Geschäftsstellen, die die Durchführung der Rechtspflegeaufgaben im Auftrag und auf Weisung des Richters ermöglichen sollen, der uneingeschränkten datenschutzrechtlichen Prüfung durch den Bundesbeauftragten für den Datenschutz unterliegen würden. Auch das Ob und Wie der Nutzung technischer Hilfsmittel durch die Richter, insbesondere technische bzw. organisatorische Maßnahmen zur Datensicherung könnten von der Kontrolle des Bundesbeauftragten für den Datenschutz betroffen sein.
Da dies den Bereich der richterlichen Unabhängigkeit jedenfalls mittelbar einschränken würde und sich die bisherige Regelung darüber hinaus bewährt hat, besteht für eine Änderung des geltenden Rechts kein Anlass.

  10. Zu Artikel l Nr. 31 Buchstabe b (§ 28 Abs. l Satz l Nr. 3 BDSG)

Artikel l Nr. 31 Buchstabe b Doppelbuchstabe dd ist wie folgt zu fassen:

'dd) Nummer 3 wird wie folgt gefasst:

"3. wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt; dies kann insbesondere bei einer Verknüpfung mit anderen Daten der Fall sein."'

Begründung:

Die modernen Informations- und Kommunikationstechniken bieten vielfältige Möglichkeiten, auf der Grundlage der §§ 28, 29 BDSG gespeicherte personenbezogene Daten auszuwerten und weiter zu verarbeiten. Eine Gefährdung für das Recht auf informationelle Selbstbestimmung kann sich dabei vor allem ergeben, wenn Angaben zu einzelnen natürlichen Personen mit Informationen aus anderen Datenbeständen verknüpft werden und hierdurch umfassende Persönlichkeitsprofile Betroffener entstehen können. Insoweit bedarf es bei der Verknüpfung personenbezogener Daten jeweils einer Prüfung im Einzelfall, ob hierdurch schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.
Mit der vorgeschlagenen Änderung des § 28 Abs. l Satz l Nr. 3 soll eine Verknüpfung von personenbezogenen Daten vor allem in denjenigen Fällen ausgeschlossen werden, in denen offensichtlich überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen. Die Vorschrift soll insbesondere auch verhindern, dass durch das Auswerten und Zusammenführen von Informationen aus verschiedenen Datenbeständen einschließlich der allgemein zugänglichen Quellen personenbezogene Daten aus unterschiedlichen Bereichen miteinander verknüpft und hierdurch schutzwürdige Interessen der Betroffenen verletzt werden.

  11. Zu Artikel l Nr. 31 Buchstabe h Doppelbuchstabe bb (§ 28 Abs. 4 BDSG)

In Artikel l Nr. 31 Buchstabe h Doppelbuchstabe bb ist in dem neuen Satz nach dem Wort "unterrichten" folgender Halbsatz "; nutzt der Werbetreibende personenbezogene Daten des Betroffenen, die bei einer anderen Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann" einzufügen.

Begründung:

Mit der Ergänzung soll klargestellt werden, dass die Verpflichtung, dem Betroffenen die Kenntnis über die Quelle seiner für die Werbung genutzten Daten zu verschaffen, auch dann besteht, wenn der Werbetreibende fremde Datenbestände insbesondere im sog. Listbrokingverfahren einsetzen lässt. Der Entwurf der Bundesregierung enthält keine eindeutige Verpflichtung mehr, den Betroffenen beim Einsatz fremder Adresslisten in der Werbung über die Herkunft seiner Daten zu unterrichten. Damit der Betroffene das Widerspruchsrecht effektiv wahrnehmen kann, muss er jedoch die Möglichkeit haben, sich auf einfache Weise Kenntnis über die Quelle seiner Daten zu verschaffen. Dazu reicht die Verpflichtung aus, dem Betroffenen bei der werblichen Ansprache eine Nachfragemöglichkeit nach dem Adresslisteneigner zu eröffnen, der seine Daten für die Werbung zur Verfügung gestellt hat. Dies kann beispielsweise durch die Angabe einer Telefonnummer im Werbemittel realisiert werden, die zu einer Stelle geschaltet ist, welche über die Zuordnung der Daten zum Adresseigner informieren und ggf. Widersprüche des Betroffenen entgegennehmen kann. Im Gegensatz zu der inzwischen von der Bundesregierung verworfenen Verpflichtung zur Benennung der Herkunft der Daten im Werbemittel ist der werbetreibenden Wirtschaft die Eröffnung einer Informationsmöglichkeit zumutbar; auch ist damit sichergestellt, dass im Werbemittel selbst keine schutzbedürftigen Daten des Betroffenen, wie etwa die Kundenbeziehung zu einem Unternehmen, offenbart werden.

  12. Zu Artikel l Nr. 32 (§ 29 BDSG)

Artikel l Nr. 32 ist wie folgt zu ändern:

a) Buchstabe b Doppelbuchstabe cc ist wie folgt zu fassen:

'cc) Nummer 2 wird wie folgt gefasst:

"2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt; dies kann insbesondere bei einer Verknüpfung mit anderen Daten der Fall sein."'

b) Buchstabe c Doppelbuchstabe cc ist wie folgt zu fassen:

'cc) Satz l Nr. l Buchstabe b wird wie folgt geändert:

aaa) Die Angabe "Abs. 2 Nr. l Buchstabe b" wird durch die Angabe "Abs. 3 Nr. 3" ersetzt.

bbb) Das Wort "und" wird gestrichen.'

c) Nach Buchstabe c Doppelbuchstabe cc ist folgender Doppelbuchstabe cd einzufügen:

'cc1) In Satz l nach Nummer l wird folgender Halbsatz ausgerückt angefügt:

"und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, oder";

d) Nach Buchstabe c ist nach dem Doppelbuchstaben cd folgender Doppelbuchstabe cc2 einzufügen:

'cc2) Satz l Nr. 2 wird wie folgt gefasst:

"2. es sich um nach Absatz l Satz l Nr. 2 gespeicherte Daten handelt, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung offensichtlich überwiegt.'"

Begründung:

Die modernen Informations- und Kommunikationstechniken bieten vielfältige Möglichkeiten, auf der Grundlage der §§ 28, 29 BDSG gespeicherte personenbezogene Daten auszuwerten und weiter zu verarbeiten. Eine Gefährdung für das Recht auf informationelle Selbstbestimmung kann sich dabei vor allem ergeben, wenn Angaben zu einzelnen natürlichen Personen mit Informationen aus anderen Datenbeständen verknüpft werden und hierdurch umfassende Persönlichkeitsprofile Betroffener entstehen können. Insoweit bedarf es bei der Verknüpfung personenbezogener Daten jeweils einer Prüfung im Einzelfall, ob hierdurch schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.
Für die Stellen, die personenbezogene Daten zum Zwecke der Übermittlung erheben, speichern oder verändern, wird die Übermittlung von Daten, die aus allgemein zugänglichen Quellen stammen, neu geregelt.

Zu Buchstabe a

Durch die in Buchstabe b Doppelbuchstabe cc vorgesehene Neufassung des § 29 Abs. l Satz l Nr. 2 BDSG soll verhindert werden, dass personenbezogene Daten in einer das Persönlichkeitsrecht der Betroffenen beeinträchtigenden Weise miteinander verknüpft werden, unabhängig davon, ob diese Angabe aus allgemein zugänglichen Quellen stammen oder in sonstiger Weise erhoben worden sind.

Zu Buchstaben b und c

Die bisherigen Nummern l und 2 des § 29 Abs. 2 Satz l werden ohne inhaltliche Änderung in der neuen Nummer l zusammengefasst.
Die Regelung unter b) cc) aaa) entspricht der Regelung unter Buchstabe c Doppelbuchstabe cc des Entwurfs der Bundesregierung.

Zu Buchstabe d

Bei der Übermittlung personenbezogener Daten, die aus allgemein zugänglichen Quellen stammen oder veröffentlicht werden dürfen, soll auf die glaubhafte Darlegung eines berechtigten Interesses des Dritten, an den die Daten übermittelt werden, verzichtet werden. Die Zulässigkeit der Übermittlung von aus allgemein zugänglichen Quellen gewonnenen Daten setzt auf der anderen Seite voraus, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung nicht offensichtlich überwiegt. Dies kann insbesondere der Fall sein, wenn die verantwortliche übermittelnde Stelle die Daten mit anderen Angaben verknüpft und hierdurch aus verschiedenen Lebensbereichen Informationen über einzelne natürliche Personen zusammengeführt werden.
Die Regelung gilt nicht für die Übermittlung allgemein zugänglicher Daten, die mit nicht allgemeinzugänglichen Daten verknüpft sind.

  13. Zu Artikel l Nr. 41 (§ 38 BDSG)

Artikel l Nr. 41 ist wie folgt zu ändern:

a) Nach Buchstabe b wird der folgende neue Buchstabe bl eingefügt:

'bl) In Absatz 3 Satz l wird das Wort „Prüfung" durch das Wort „Kontrolle" ersetzt.'

b) Buchstabe c ist wie folgt zu fassen:

'c) Absatz 4 wird wie folgt geändert:

aa) In Satz l werden die Wörter „Überprüfung und Überwachung" durch das Wort „Kontrolle" ersetzt.

bb) In Satz 2 wird die Angabe 㤠37 Abs. 2" durch die Angabe 㤠4 g Abs. 2 Satz l "ersetzt."'

c) Nach Buchstabe d wird der folgende Buchstabe e angefügt:

'e) In Absatz 6 wird das Wort „Überwachung" durch das Wort „Kontrolle" ersetzt.'

Begründung:

Da § 38 Abs. l Satz l BDSG nunmehr von einer „Kontrolle" durch die Aufsichtsbehörden spricht, muss § 38 insgesamt dem neuen Sprachgebrauch angepasst werden.

  14. Zu Artikel l Nr. 42 (§ 38a Abs. l BDSG)

In Artikel l Nr. 42 ist dem § 38a Abs. l folgender Satz 2 anzufügen:

"Die Entwürfe sind zu begründen und auf Verlangen der Aufsichtsbehörde näher zu erläutern."

Begründung:

Durch Satz 2 soll sichergestellt werden, dass nur begründete Entwürfe vorgelegt werden und diese auf Verlangen der Aufsichtsbehörde näher zu erläutern sind.

  15. Zu Artikel l Nr. 47 (§ 43 BDSG)

Artikel l Nr. 47 ist wie folgt zu ändern:

a) Buchstabe a ist wie folgt zu ändern:

aa) Doppelbuchstabe aa) ist wie folgt zu fassen:

'aa) Der erste Halbsatz wird wie folgt gefasst:

"Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind,"'.

bb) Nach Doppelbuchstabe cc ist folgender Doppelbuchstabe dd anzufügen:

'dd) Im abschließenden Satzteil sind die Wörter "bis zu einem Jahr" durch die Wörter "bis zu zwei Jahren" zu ersetzen.'

b) Buchstabe b ist wie folgt zu ändern:

aa) Dem Doppelbuchstaben aa) ist folgender Doppelbuchstabe aa0) voranzustellen:

'aa0) Der erste Halbsatz wird wie folgt gefasst:

"Ebenso wird bestraft, wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen,".'

bb) Doppelbuchstabe aa) ist wie folgt zu fassen:

'aa) In Nummer l werden die Wörter " durch dieses Gesetz geschützten "gestrichen und das Wort "offenkundig" durch die Wörter "allgemein zugänglich" ersetzt.'

c) Nach Buchstabe b ist folgender Buchstabe b1 einzufügen:

'b1) Absatz 3 wird aufgehoben.

Begründung:

Nach der geltenden Rechtslage macht sich strafbar, wer personenbezogene Daten, die nicht offenkundig sind, speichert oder in sonstiger Weise nach Maßgabe des § 43 Abs. l BDSG verarbeitet. Im Hinblick auf die Vielzahl der Datenverarbeitungsvorgänge, die von der Straf Vorschrift inzwischen erfasst sind, die vielfach schwierige Abwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und den schutzwürdigen Belangen Betroffener, sowie vor dem Hintergrund der geringen praktischen Bedeutung, die die im Übrigen verfassungsrechtlich problematische "Blankettvorschrift" des § 43 Abs. l BDSG erlangt hat, ist es sachgerecht, zukünftig nicht mehr jeden unbefugten Umgang mit personenbezogenen Daten unter Strafe zu stellen.
Durch eine Erweiterung der Bußgeldvorschriften (siehe Änderungsvorschläge zu § 44 BDSG) sollen auf der anderen Seite gleichzeitig die Voraussetzungen geschaffen werden, dass zukünftig jede unbefugte Erhebung und weitere Verarbeitung personenbezogener Daten von den zuständigen Kontrollbehörden nach Maßgabe des Opportunitätsprinzips als Ordnungswidrigkeit verfolgt werden kann.
An der bisherigen Strafandrohung soll im übrigen in denjenigen Fällen festgehalten werden, in denen der Täter in besonderem Maße verwerflich handelt. Entsprechend der bisherigen Regelung des § 43 Abs. 3 BDSG soll danach auch zukünftig mit Freiheitsstrafe oder mit Geldstrafe bestraft werden können, wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, unbefugt personenbezogene Daten erhebt oder verarbeitet.
Die Vorschläge zur Neufassung der §§43 und 44 BDSG in diesem und den weiteren Änderungsvorschlägen entsprechen der Konzeption, die den vergleichbaren Regelungen der Datenschutzgesetze mehrerer Länder zugrunde liegt.

Zu Buchstaben a und b

Nach den Änderungsvorschlägen zu § 43 Abs. l und 2 sollen Verstöße gegen datenschutzrechtliche Vorschriften zukünftig grundsätzlich nur dann strafbar sein, wenn der Täter gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht handelt. Hierfür sieht der bisherige Absatz 3 ein erhöhtes Strafmaß vor. Die qualifizierten Tatbestandsmerkmale und das erhöhte Strafmaß werden aus Absatz 3 in die Absätze l und 2 übernommen.
Handelt der Täter nicht gegen Entgelt oder fehlt die Bereicherungs- oder Schädigungsabsicht, reicht es grundsätzlich aus, wenn Verstöße gegen datenschutzrechtliche Vorschriften als Ordnungswidrigkeit geahndet werden können und damit eine Entkriminalisierung des Handelns des Betroffenen erfolgt.
Voraussetzung für die Verwirklichung des Straftatbestandes des § 43 Abs. l ist bisher, dass die personenbezogenen Daten, die unbefugt gespeichert, übermittelt, abgerufen oder in sonstiger Weise verarbeitet werden, „nicht offenkundig" sind. Offenkundigkeit ist nach der Rechtsprechung allerdings bereits dann gegeben, wenn personenbezogene Daten bei Vorliegen bestimmter im Einzelnen geregelter Voraussetzungen an jedermann übermittelt werden können. Auf der Grundlage dieser Rechtsauffassung konnten beispielsweise unbefugte Abrufe aus dem zentralen Informationssystem des Kraftfahrtbündesamtes durch einzelne öffentliche Bedienstete und die Weitergabe dieser Daten an private Stellen strafrechtlich nicht geahndet werden.
Durch die vorgeschlagene Gesetzesänderung soll sichergestellt werden, dass bei Vorliegen der sonstigen Voraussetzungen des § 43 eine strafrechtliche Ahndung nur in denjenigen Fällen ausgeschlossen ist, in denen es sich Daten handelt, die von jedermann zur Kenntnis genommen werden können, ohne dass der Zugang aus Gründen des Persönlichkeitsschutzes rechtlich beschränkt ist.

Zu Buchstabe c

Mit der Übernahme der qualifizierten Tatbestandsmerkmale und des erhöhten Strafmaßes in die Absätze l und 2 wird der bisherige Absatz 3 entbehrlich.

  16. Zu Artikel l Nr. 48 (§ 44 Abs. l BDSG)

In Artikel l Nr. 48 sind folgende Buchstaben d bis f anzufügen:

'd) In Nummer 6 wird nach dem Wort „duldet," das Wort „oder" gestrichen.

e) In Nummer 7 wird der Punkt durch ein Komma ersetzt.

f) Nach Nummer 7 werden folgende Nummern 8 bis 11 angefügt:

„8. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht oder nicht rechtzeitig über sein Widerspruchsrecht gegen die Nutzung oder Übermittlung seiner Daten zu Werbezwecken oder zu Zwecken der Markt- und Meinungsforschung unterrichtet,

9. entgegen § 29 Abs. 3 Satz l personenbezogene Daten in elektronische oder gedruckte Adress-, Telefon-, Branchen- oder vergleichbare Verzeichnisse aufnimmt,

10. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, oder

11. entgegen § 30 Abs. l Satz 2 die in § 30 Abs. l Satz l bezeichneten Merkmale oder entgegen § 40 Abs. 2 Satz 3 die in § 40 Abs. 2 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt."'

Begründung:

Dieser und der weitere Änderungsvorschlag zu § 44 BDSG ergänzen das Änderungsbegehren zu § 43 BDSG, wonach künftig nicht mehr jeder unbefugte Umgang mit personenbezogenen Daten unter Strafe gestellt werden soll. Durch die vorgesehene Erweiterung des § 44 BDSG sollen gleichzeitig die Voraussetzungen geschaffen werden, dass zukünftig jede unbefugte Erhebung und weitere Verarbeitung personenbezogener Daten von den zuständigen Kontrollbehörden nach Maßgabe des Opportunitätsprinzips als Ordnungswidrigkeit verfolgt werden kann. Die zuständigen Behörden sollen in die Lage versetzt werden, gegenüber den verantwortlichen Stellen ein Bußgeldverfahren einzuleiten, wenn diese den in den Nummern 8 bis 11 genannten gesetzlichen Verpflichtungen zur Gewährleistung des Rechts auf informationelle Selbstbestimmung nicht nachkommen.

  17. Zu Artikel l Nr. 48 a - neu - (§44 Abs. 2 BDSG)

Nach Artikel l Nr. 48 ist folgende Nummer 48a einzufügen:

'48a) § 44 wird wie folgt geändert:

a) Nach Absatz l wird folgender Absatz 2 eingefügt:

„ (2) Ordnungswidrig handelt auch, wer vorsätzlich oder fahrlässig

1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,

2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,

3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht-automatisierten Dateien verschafft,

4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,

5. entgegen § 16 Abs. 4 Satz l, § 28 Abs. 5 Satz l, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. l Satz l oder § 40 Abs. l die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder

6. entgegen §§28 oder 29, auch in Verbindung mit § 4b, personenbezogene Daten erhebt, verarbeitet oder nutzt."

b) Der bisherige Absatz 2 wird Absatz 3 und wie folgt geändert:

aa) Nach dem Wort „kann" werden die Wörter „im Falle des Absatzes l" eingefügt.

bb) Nach den Wörtern „Deutsche Mark" werden die Wörter „, in den übrigen Fällen mit einer Geldbuße bis zu fünfhunderttausend Deutsche Mark" eingefügt.'

Begründung:

Dieser Änderungsvorschlag ergänzt die übrigen Vorschläge zu §§ 43 und 44 BDSG, wonach künftig nicht mehr jeder unbefugte Umgang mit personenbezogenen Daten unter Strafe gestellt werden soll. Durch die vorgesehene Erweiterung des § 44 BDSG sollen gleichzeitig die Voraussetzungen geschaffen werden, dass zukünftig jede unbefugte Erhebung und weitere Verarbeitung personenbezogener Daten von den zuständigen Kontrollbehörden nach Maßgabe des Opportunitätsprinzips als Ordnungswidrigkeit verfolgt werden kann.
Die drei Vorschläge zur Neufassung der §§ 43 und 44 BDSG entsprechen der Konzeption, die den vergleichbaren Regelungen der Datenschutzgesetze mehrerer Länder zugrunde liegt.

Zu Buchstabe a

Nach den Änderungsvorschlägen zu § 43 Abs. l und 2 sollen Verstöße gegen datenschutzrechtliche Vorschriften zukünftig grundsätzlich nur dann strafbar sein, wenn der Täter gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht handelt. Auf der anderen Seite soll der unbefugte Umgang mit personenbezogenen Daten in den Fällen des neuen Absatzes 2 als Ordnungswidrigkeit verfolgt werden können. Damit werden die zuständigen Behörden in die Lage versetzt, nach Maßgabe des Opportunitätsprinzips einzelne Datenschutzverstöße effektiv verfolgen zu können.

Zu Buchstabe b

Der Bußgeldrahmen soll künftig in Absatz 3 geregelt werden.
Nach der bisherigen Vorschrift des § 44 Abs. 2 konnten Ordnungswidrigkeiten mit einem Bußgeld von bis zu 50.000 Deutsche Mark geahndet werden. Im Hinblick auf die „formellen" Verstöße gegen einzelne Verfahrensvorschriften, die Gegenstand des Ordnungswidrigkeitenkatalogs des Absatzes l sind, erscheint die Beibehaltung des bisherigen Bußgeldrahmens insoweit angemessen und ausreichend.
Demgegenüber stellen die zukünftig in Absatz 2 geregelten "materiellen" Datenschutzverstößeinsbesondere dann einen schwerwiegenden Eingriff in das Recht auf informationelle Selbstbestimmung dar, wenn persönliche Daten einer Vielzahl von betroffenen Personen unbefugt erhoben und verarbeitet werden, um diese in Adress-, Häuser- oder vergleichbare Datenbanken einzustellen und für wirtschaftliche Zwecke zu nutzen. In diesen Fällen kann es im Einzelfall notwendig sein, entsprechend hohe Bußgelder zu verhängen.
Mit der Erweiterung des Bußgeldrahmens für Fälle eines Verstoßes gegen die "materiell-rechtlichen" Datenschutzvorschriften wird im übrigen den Anforderungen des Artikels 28 Abs. 3 der EG-Datenschutzrichtlinie Rechnung getragen, wonach die staatlichen Kontrollbehörden über wirksame Eingriffsbefugnisse verfügen sollen.

  18. Zu Artikel 8 § 2 Nr. 16 (§ 82 Satz l SGB X)

In Artikel 8 § 2 Nr. 16 ist in § 82 Satz l das Wort "schuldhaft" zu streichen.

Begründung:

Vgl. Begründung zu Ziffer 6.

  19. Zu Artikel 8a - neu - (Änderung des Strafvollzugsgesetzes)

'Artikel 8a Änderung des Strafvollzugsgesetzes

Das Strafvollzugsgesetz vom 16. März 1976 (BGBl. I S. 581, 2088, 1977 I S. 436), zuletzt geändert durch ..................... wird wie folgt geändert:

1. In §179 Abs. 2 Satz 2 wird die Angabe "§13 Abs. 2 bis 4" durch die Angabe "§ 4 Abs. 2 bis 4" ersetzt.

2. In § 184 Abs. 5 wird die Angabe "§ 20 Abs. l bis 7" durch die Angabe

"§ 20 Abs. l bis 4 und 6 bis 8" ersetzt. 3. In § 187 Satz l werden

a) die Angabe "(§ 4 Abs. 2 und 3)" durch die Angabe "(§ 4a Abs. l und 2)"

und

b) die Angabe "(§18 Abs. 2 und 3)" durch die Angabe "(§18 Abs. 2)' ersetzt.'

Begründung:

Die Änderungen von datenschutzrechtlichen Bestimmungen des Strafvollzugsgesetzes, die ihrerseits auf einzelne Bestimmungen des Bundesdatenschutzgesetzes verweisen, sind durch die im Rahmen der Novellierung geänderte Zählweise der Vorschriften im Bundesdatenschutzgesetz bedingt.