Home Kontakt Sitemap Impressum
 
Mitglieder-Login

Vorschlag des BvD e.V. zur Novellierung des Bundesdatenschutzgesetzes (BDSG)

Der Vorstand des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat auf seiner Sitzung am 29. Oktober 1998 einen Vorschlag zur Novellierung des Bundesdatenschutzgesetzes (BDSG) erarbeitet. Er orientiert sich am Gesetzentwurf von BÜNDNIS 90/ DIE GRÜNEN der vergangenen Legislaturperiode, weil dieser nach der Bundestagswahl der einzig vorliegende ist, der eine Chance hat, realisiert zu werden.

Der BvD hat sich bei seinem Vorschlag auf die Paragraphen konzentriert, die die Tätigkeit von betrieblichen und behördlichen Datenschutzbeauftragten unmittelbar berühren: Die Vorschriften über seine Rechte und Pflichten und der Katalog der technischen und organisatorischen Maßnahmen.

Dem BvD ist es besonders wichtig, daß der Gesetzgeber in Zukunft dafür sorgt, Fehlentwicklungen bei der Bestellung von Datenschutzbeauftragten entgegenzuwirken (siehe hierzu DuD Heft 12/97 S. 739 f, 07/98 S. 423 f, 08/98 S. 483 f und Heft 09/98 S. 545 f) und den Datenschutzbeauftragten einen Maßnahmenkatalog an die Hand zu geben, der endlich dem gegenwärtigen Stand der Technik entspricht.

Hier der Vorschlag des BvD zur Neuformulierung von §14 und §18 des Gesetzentwurfs von BÜNDNIS 90 / DIE GRÜNEN der 13. Legislaturperiode des Deutschen Bundestages:

§ 18 Bestellung des behördlichen bzw. betrieblichen Datenschutzbeauftragten

  1. Stellen, die personenbezogene Daten automatisiert verarbeiten und hierbei in der Regel mindestens fünf Mitarbeiter ständig beschäftigen, haben unter Beteiligung der Mitarbeitervertretung einen Datenschutzbeauftragten schriftlich zu bestellen.
  2. Zum Beauftragten für den Datenschutz kann nur bestellt werden, wer zur Stelle entweder in einem Dienst- oder Arbeitsverhältnis steht (interner Datenschutz-beauftragter) oder wer mit der Stelle einen entsprechenden Vertrag mit einer Mindestlaufzeit von fünf Jahren abgeschlossen hat (externer Datenschutzbeauf-tragter).
  3. Der Datenschutzbeauftragte muß die erforderliche persönliche und fachliche Qualifikation und Eignung besitzen; zur persönlichen Qualifikation gehört die Verschwiegenheit und das Fehlen von Interessenkollisionen; zur fachlichen Qualifikation gehören dem Stand der Technik entsprechende Kenntnisse in der Informationstechnik und die Fähigkeit, die Vorschriften dieses Gesetzes und der anderen den Umgang mit personenbezogenen Daten betreffenden Rechts-vorschriften anwenden zu können. Das Nähere wird durch Rechtsverordnung geregelt. Zum Erwerb und zur Pflege dieser Fähigkeiten und Kenntnisse hat die Stelle dem Datenschutzbeauftragten die gebotene Fortbildung zu ermöglichen und beim internen Datenschutzbeauftragten die entsprechenden Kosten zu übernehmen.
  4. Der Datenschutzbeauftragte ist dem Leiter oder dem Leitungsorgan der Stelle unmittelbar zu unterstellen. Er ist bei der Anwendung der Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Seine Bestellung darf nur widerrufen werden auf Verlangen der zuständigen Datenschutzkontrollinstanz oder in entsprechender Anwendung von §626 BGB; dies gilt auch für seine Tätigkeit außerhalb der Datenschutzaufgaben.
  5. Werden in der Regel mindestens 100 Mitarbeiter bei der automatisierten Verarbeitung von personenbezogenen Daten eingesetzt, so ist ein interner Datenschutzbeauftragter zu bestellen; werden dabei mindestens 300 Mitarbeiter eingesetzt, so ist der interne Datenschutzbeauftragten vollständig freizustellen. Für größere Stellen und für externe Datenschutzbeauftragte wird das Nähere in einer Rechtsverordnung geregelt.
  6. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Dies gilt für den internen Datenschutzbeauftragten auch für die Ausübung von Tätigkeiten außerhalb seiner Freistellung als Datenschutzbeauftragter.
  7. Die verarbeitende Stelle hat den Datenschutzbeauftragten bei der Ausführung seiner Aufgaben zu unterstützen. Er ist über Vorhaben der Informationsverarbeitung rechtzeitig zu unterrichten. Er ist zur Wahrnehmung seiner Aufgaben freizustellen und angemessen mit personellen und sachlichen Mitteln auszustatten. Mitarbeiter sowie die Mitarbeitervertretung können sich jederzeit an den Datenschutzbeauftragten wenden. Der Datenschutzbeauftragte kann sich jederzeit direkt an die zuständige Datenschutz-kontrollinstanz wenden.

§ 18a Aufgaben des behördlichen bzw. betrieblichen Datenschutzbeauftragten

  1. Der Datenschutzbeauftragte unterstützt die Stelle bei der Sicher-stellung des Datenschutzes. Er hat insbesondere
    1. die Stelle bei der Umsetzung der datenschutzrechtlichen Vorschriften zu beraten und zu überprüfen,
    2. auf der Basis der Vorschriften von § 14 (Technische und organisatorische Maßnahmen) für die Erstellung von Datenschutzkonzepten zu sorgen und bei IT-Sicherheitskonzepten mitzuwirken,
    3. die bei der Verarbeitung personenbezogener Daten tätigen Personen in bezug auf den Datenschutz zu sensibilisieren und sie mit den spezifischen Erfordernissen des Datenschutzes vertraut zu machen,
    4. bei der Auswahl der Verarbeitungssysteme und -programme und wenn er es für erforderlich hält, bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken,
    5. bei der Einführung oder der wesentlichen Änderung von automatisierten Verfahren, bei denen keine Technikfolgen-abschätzung nach § 20 erfolgt, eine entsprechende Vorab-kontrolle durchzuführen.
  2. Dem Datenschutzbeauftragten ist von der verarbeitenden Stelle eine Übersicht zur Verfügung zu stellen über die in § 19 Abs. 2 genannten Angaben. Er hat diese Angaben jeder beantragenden Person in geeigneter Weise zugänglich zu machen.
  3. Der Datenschutzbeauftragte ist zu Verschwiegenheit über die Identität der betroffenen Personen sowie über die Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, soweit er von den betroffenen Personen davon nicht befreit wurde.

§ 14 Technische und organisatorische Maßnahmen:

  1. Bei der Verarbeitung personenbezogener Daten sind die Maßnahmen zu treffen, welche die
    • Vertraulichkeit,
    • Integrität,
    • Zurechenbarkeit und
    • Verfügbarkeit
    • von Inhalten und Vorgängen sicherstellen. Diese Maßnahmen haben sich am Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten, sie müssen nach Art der Verarbeitung und gemäß dem Stand der Technik geeignet und angemessen sein, insbesondere
    1. Unbefugten den Zugang zu personenbezogenen Daten zu verwehren (Zugangskontrolle),
    2. zu verhindern, daß gespeicherte Daten unbefugt genutzt, verändert oder gelöscht werden können (Datenträger-, Speicher- und enutzerkontrolle),
    3. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt werden können und übermittelt wurden (Übermittlungskontrolle),
    4. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten wann von wem eingegeben, verändert, genutzt oder gelöscht worden sind (Eingabekontrolle),
    5. zu gewährleisten, daß in einem vernetzten System überprüft und festgestellt werden kann, von welchen Systemteilen aus Daten genutzt, verändert oder weitergegeben worden sind (Netzkontrolle),
    6. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können und verarbeitet werden (Auftragskontrolle),
    7. zu verhindern, daß bei der Übertragung sowie beim Transport personenbezogene Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Übertragungs- und Transportkontrolle),
    8. zu gewährleisten, daß personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
    9. durch Dokumentation aller relevanten Verarbeitungsschritte die Revisionsfähigkeit eines Datenverarbeitungssystems sicherzustellen (Revisionskontrolle),
    10. die Organisation der Stelle so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
  2. Die näheren Einzelheiten werden in einer Verordnung geregelt, welche alle drei Jahre dem Stand der Technik anzupassen ist.

BvD e.V. - Telefon (030) 21 96 43 97 - Telefax (030) 21 96 43 92