DSGVO: Das bringt die neue EU-Datenschutz-Grundverordnung

Am 25.05.2016 ist die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) in Kraft getreten. Damit wird nach der zweijährigen Übergangsfrist ab 25.05.2018 in den Mitgliedstaaten das nationale Datenschutzrecht (z.B. das BDSG) abgelöst, es gilt – bis auf wenige Ausnahmen – nur noch die DSGVO. Wir erläutern Ihnen die inhaltlichen Besonderheiten dieser für Unternehmen und das Qualitätsmanagement wichtigen Neuregelung.

EU will Rechtssicherheit in ganz Europa

Die EU-Kommission will mit der DSGVO den Datenschutz vereinheitlichen und somit mehr Rechtssicherheit schaffen. Mit der neuen DSGVO wird der Datenschutz im unternehmerischen Bereich grundsätzlich neu geregelt, einige bestimmte Bereiche (z.B. Datenschutz in staatlichen Stellen) dürfen allerdings über sogenannte Öffnungsklauseln der Verordnung weiter vom nationalen Gesetzgeber geregelt werden.

Den Text der DSGVO finden Sie hier.

Compliance und Qualitätsmanagement

Compliance (also die Einhaltung aller geltenden rechtlicher Standards und Vorschriften im Unternehmen) ist natürlich juristisch an die Geschäftsführung adressiert. In den meisten Unternehmen wird das Thema aber vom Qualitätsmanagement (mit)bearbeitet.

Datenschutzrecht wird oft unterschätzt

Das Thema Datenschutz erfährt in vielen Unternehmen nicht immer die Wertschätzung, die angemessen ist. Fahrlässige Verstöße gegen bestehende Datenschutzvorschriften werden in aller Regel als Kavaliersdelikt angesehen. Die Ursachen dafür sind einfach zu finden – sie liegen zum einen am fehlenden Verfolgungsdruck durch die Behörden, zum anderen an der geringen Höhe der Bußgelder, die bei Verstößen verhängt werden.

Der Inhalt der neuen DSGVO

In der neuen Verordnung wird u.a. Folgendes geregelt:

• Rechtsgrundlagen der Datenverarbeitung
• Rechte der Betroffenen
• Pflichten der Verantwortlichen

Darüber hinaus werden die jetzt schon bestehenden Verbraucherrechte ausgedehnt und durch zusätzliche Rechte ergänzt, u.a. das Recht auf Datenportabilität und Datenlöschung.

Was sich für Unternehmen ändert

Die mit der Verordnung verbundenen Rechtsänderungen dürften zu erheblichen Herausforderungen in vielen Unternehmensbereichen führen.

Generell (wenn auch mit unterschiedlicher Intensität) betroffen sind hier folgende Bereiche:

• Datenerhebung
• Datenverarbeitung
• Rechte der Kunden
• Beziehungen zu Dienstleistern
• Datenschutzmanagement
• Meldepflichten bei Verstößen und Datenverlust
• Haftung
• Bußgelder

Anwendung der DSGVO jetzt schon planen

In vielen Unternehmen wird über die neue Verordnung noch kaum nachgedacht – 2018 ist ja weit weg. Das kann sich als fatal erweisen.

Spätestens ab Jahresbeginn 2018 dürfte bezüglich der Umstellung einiges an Arbeitskraft und Ressourcen im Unternehmen gebunden werden – Änderungen der eigenen Datenorganisation, Abläufe, Prozesse, Software und Datenverarbeitung werden an der Tagesordnung sein.

Bundestag hat aktuell neues Bundesdatenschutzgesetz verabschiedet

Am 27.04.2017 hat der Deutsche Bundestag das vollständig neue Bundesdatenschutzgesetz (BDSG) endgültig gebilligt und beschlossen – somit wird das seit 40 Jahren geltende gleichnamige Gesetz abgelöst. Mit dem neuen BDSG will die Bundesregierung das deutsche Recht an die Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) anpassen.

Das neue Gesetz bildet die Basis für die Anpassung deutscher Gesetze an die Verordnung. Weitere Gesetze zu Spezialgebieten (bspw. Sozialdatenschutz) werden folgen. Dem BDSG muss noch vom Bundesrat zugestimmt werden, dies gilt aber nach den vorangegangenen Verhandlungen als sicher.

Wichtige Neuregelungen zum Beschäftigtendatenschutz

Der neue § 26 BDSG mit der Überschrift „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ bildet jetzt die Kernvorschrift für den Datenschutz von Arbeitnehmern.

Hier die entscheidenden Problembereiche:

• Bei Verstößen gegen die EU-DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes (je nachdem, welcher Betrag höher ist). Datenschutzverstöße, die ausschließlich deutsches Recht betreffen, werden auf 50.000 Euro begrenzt.
• Arbeitnehmer und Verbraucher können Schadenersatzansprüche auch wegen Nichtvermögensschäden (Schmerzensgeld) geltend machen.

• Der Arbeitgeber bzw. das Unternehmen muss nachweisen, dass er die geltenden datenschutzrechtlichen Vorgaben einhält (Beweislastumkehr). Dazu muss das Unternehmen die vorgeschriebenen Dokumentationspflichten der DSGVO beachten.
• Das BDSG enthält Sonderregelungen zum Datenschutz am Arbeitsplatz, Videoüberwachung oder dem Profiling.
• Die Aufklärung von Straftaten oder anderen Pflichtverstößen durch den Arbeitgeber bleibt zwar zulässig, sie muss aber strengen Anforderungen genügen.
• Die umfassenden Unterrichtungspflichten nach Art. 13 ff. DSGVO bleiben bestehen (zunächst vorgesehene Einschränkungen der Betroffenenrechte wurden kaum aufgenommen).
• Die Dokumentationspflichten nach der DSGVO werden durch das BDSG nicht reduziert.
• Die Datenverarbeitung durch Betriebs- oder Personalräte unterliegt ebenfalls den Maßstäben des BDSG und der DSGVO.
• Tarif- oder Betriebsvereinbarungen (sogenannte Kollektivvereinbarungen) zur Regelung zulässiger Datenverarbeitung bleiben erlaubt – sie unterliegen aber den Anforderungen von Artikel 88 Absatz 2 EU-DSGVO und § 26 BDSG.

Laut einiger deutscher Datenschutzbehörden überschreitet das neue BDSG den nach der DSGVO zulässigen Spielraum des Gesetzgebers. Dies könne ggf. zu Vertragsverletzungsverfahren der EU-Kommission führen.

Außerdem dürfen deutsche Gerichte und Behörden die Vorschriften des BDSG nicht anwenden, wenn sie diese für europarechtswidrig halten. Diese Meinung macht deutlich, wie unsicher das Terrain für Unternehmen in Zukunft ist – mit derartigen Problemen werden sich die Gerichte (Bundesarbeitsgericht, Bundesverfassungsgericht und EuGH) in den nächsten Jahren ausgiebig beschäftigen können.