EU-Datenschutz-Grundverordnung


Wo gibt es jetzt Handlungsbedarf für Unternehmen?

Nach einer langwierigen Verhandlungs- und Entwurfsphase ist die EU-Datenschutz-Grundverordnung (DS-GVO) am 14.04.2016 durch das EU-Parlament beschlossen worden und am 24.05.2016 in Kraft getreten. Damit wird nach über 20 Jahren das Datenschutzrecht in der Europäischen Union auf eine völlig neue und vor allem einheitliche Grundlage gestellt.

Die EU-Datenschutz-Grundverordnung (DS-GVO) wird ab dem 25.05.2018 zur Anwendung kommen und die seit 1995 geltende EU-Datenschutzrichtlinie (RL 95/46/EG) ersetzen.

Was sind die wichtigsten Änderungen?

  • Harmonisierung
    Die Verordnung zielt darauf ab, ein vereinheitlichtes Datenschutzregime in der Europäischen Union zu schaffen, da sie in allen 28 EU-Mitgliedstaaten direkte Anwendung findet. Eine Umsetzung durch nationale Gesetze ist nicht nötig. Zu einer vollständigen Harmonisierung wird es aber nicht kommen. Die DS-GVO enthält bei 99 Artikeln an über 50 Stellen Möglichkeiten für nationale Sonder- und Ausnahmeregelungen. Der Datenschutz wird also – wenngleich auf Basis vereinheitlichter Grundwerte – ein Flickenteppich bleiben.
  • Anwendungsbereich
    Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, soweit die in den Nicht-EU Ländern ansässigen Unternehmen Waren oder Dienstleistungen an EU Bürger anbieten oder deren Verhalten überwachen.
  • Sanktionen
    Bei Verstößen gegen die Verordnung müssen Unternehmen mit sehr erheblichen Sanktionen rechnen. Die Bußgelder können bis zu vier Prozent des weltweiten Unternehmensumsatzes bzw. € 20 Millionen betragen.
  • Einwilligung
    Bei der Einwilligungshandlung eines Betroffenen in die Verarbeitung personenbezogener Daten muss es sich um eine klar bestätigende Handlung handeln, die unmissverständlich und ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erteilt wurde und jederzeit mit Wirkung für die Zukunft widerruflich ist.
  • Datenschutzbeauftragter
    Unternehmen haben einen Datenschutzbeauftragten zu bestellen, soweit deren Kerntätigkeit aufgrund ihres Geschäftszwecks oder dessen Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert oder eine ausgedehnte Verarbeitung von besonders sensiblen Daten (z.B. rassische und ethnische Herkunft, Gesundheitsdaten etc.) nach Art. 9 oder Daten über strafrechtliche Verurteilungen oder Straftaten nach 10 DSGVO umfasst. Für die Bundesrepublik Deutschland wird sich indessen voraussichtlich nichts an den bisherigen gesetzlichen Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist, ändern. Die DS-GVO enthält in Art. 37 Abs. (4) eine entsprechende Öffnungsklausel für Sonderregelungen durch die Mitgliedsstaaten. Zu beachten ist aber die zukünftig bestehende Pflicht des Datenschutzbeauftragten zur Überwachung der Einhaltung des DS-GVO, so dass hier ein deutlich höheres Haftungsrisiko für Datenschutzbeauftragte zu erwarten ist.
  • One-Stop-Shop
    EU-Bürger*innen sowie Unternehmen müssen sich zukünftig nur noch an eine Datenschutzbehörde EU-weit als Ansprechpartnerin wenden. Diese sind bei länderübergreifenden Aspekten des Datenschutzes verpflichtet, mit den Datenschutzbehörden der anderen Länder eine Harmonisierung zu erreichen.
  • Meldepflichten
    Das für die Verarbeitung der Daten verantwortliche Unternehmen muss Datenschutzverstöße innerhalb von 72 Stunden nach Bekanntwerden des Datenschutzverstoßes an die zuständige Aufsichtsbehörde melden.
  • Privacy by Design/Privacy by Default
    Unternehmen müssen ihre Produkte Angebote soweit wie möglich datensparsam entwerfen und mit datenschutzfreundlichen Voreinstellungen anbieten.
  • Datenschutz-Folgeabschätzung
    Die Datenschutz-Folgeabschätzung setzt sich aus einer genauen Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen zusammen, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen in sich bringen. Ergibt diese Datenschutz-Folgeabschätzung tatsächlich ein hohes Risiko, so muss der Verantwortliche geeignete Schutzmaßnahmen ergreifen, oder die Aufsichtsbehörde hinzuziehen.
  • Sicherstellungs- und Nachweispflicht
    Der Verantwortliche für die Datenverarbeitung muss geeignete technische und organisatorische Maßnahmen ergreifen und umsetzen, um sicherzustellen und den Nachweis zu erbringen, dass die Datenverarbeitung im Einklang mit der DS-GVO erfolgt. Die Aufsichtsbehörde kann die Sicherstellung der Datenverarbeitung prüfen. Das wird die Einrichtung eines Datenschutz-Management-Systems regelmäßig erforderlich machen.

Was ist jetzt vor allem für Arbeitgeber wichtig?

Art. 88 Abs.1 DSGVO enthält eine Öffnungsklausel, wonach spezifischere Regelungen zum Datenschutz im Beschäftigungskontext durch den nationalen Gesetzgeber selbst geschaffen werden können. Es ist wahrscheinlich, dass es in der Bundesrepublik zunächst bei der Fortgeltung von § 32 BDSG (ggf. modifiziert) bleiben wird. Ein zeitnaher, erneuter Versuch eines detailliert kodifizierten Beschäftigungsdatenschutzes erscheint unwahrscheinlich. Aber auch im Beschäftigtendatenschutz müssen die nationalen Regelungen die Grundgedanken der DS-GVO beachten, was in Deutschland aufgrund der zahlreichen höchstrichterlichen Entscheidungen als gewahrt anzusehen sein wird.

Weiterhin bleibt auch die Möglichkeit der Verarbeitung personenbezogener Daten auf Basis einer Kollektivvereinbarung. Das sind in Deutschland vor allem Betriebsvereinbarungen und Tarifverträge. Der für die Personalpraxis besonders wichtige Weg, Betriebsvereinbarungen als Erlaubnistatbestand zur Datenverarbeitung in Unternehmen zu nutzen, wird also offen gehalten.

Auch stellt die DS-GVO klar, dass eine Einwilligung auch im Beschäftigungsverhältnis möglich ist. Voraussetzung ist aber stets, dass der Abschluss eines Arbeitsvertrages, dessen Änderung oder die Zusage einer arbeitgeberseitigen Leistung nicht von einer Einwilligung in die Datenverarbeitung abhängig gemacht wird, die hierfür nicht erforderlich ist.

Um eine wirksame Rechtsgrundlage für die Datenverarbeitung darzustellen, müssen Betriebsvereinbarungen aber bestimmte Voraussetzungen erfüllen und demnach neu entworfen oder an die Vorgaben der DSGVO angepasst werden. Das bedeutet, dass angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insb. im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb des Konzerns und die Überwachungssysteme am Arbeitsplatz geregelt werden müssen.

Auch wenn die Zeit bis zur Anwendbarkeit der DSGVO lang erscheint, sollten sich Unternehmen zügig mit den Gesetzesänderungen auseinandersetzen. Die erhebliche Verschärfung der Sanktionsmechanismen und das damit gestiegene Schadensrisikos müssen die Unternehmen zum Anlass nehmen, die betrieblichen Datenschutzsysteme zu analysieren und ein für die Sicherstellung und den Nachweis der Einhaltung der DS-GVO geeignetes Datenschutz-Management-System zu entwickeln. Nur so kann den gestiegenen Anforderungen der neuen Verordnung Rechnung getragen und existenzgefährdende Bußgelder vermieden werden.

Vom arbeitsrechtlichen Standpunkt aus, sollten vor allem arbeitsvertragliche Regelungen sowie Betriebsvereinbarungen an der EU-Datenschutz-Grundverordnung gemessen sowie angepasst werden.

Seite als PDF sichern

Tags: #Datenschutz

Artikel versenden