Bereits vor knapp zwei Jahren trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) in Kraft. Die Vorschriften der DSGVO gelten zwar erst ab dem 25.5.2018. Ungeachtet dessen ist der Datenschutz seither in aller Munde und stellt Unternehmen vor große operative und administrative Herausforderungen.

I. Allgemeiner Hintergrund
II. Verschärfung der Datenschutzgrundsätze durch DSGVO
1. Verarbeitungsprinzipien
2. Verzeichnis und Datenschutz-Folgenabschätzung
3. Neue Informationspflichten
III. Beschäftigtendatenschutz
1. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
2. Einwilligung
3. Betriebsvereinbarungen
IV. Folgen für die betriebliche Praxis

I. Allgemeiner Hintergrund
Bereits vor knapp zwei Jahren trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) in Kraft. Ziel der Verordnung ist es, ein einheitliches und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Europäischen Union zu beseitigen. Um den Mitgliedstaaten die Möglichkeit der Vorbereitung und des Erlasses ergänzender und konkretisierender Regelungen zu ermöglichen, gelten die Vorschriften der DSGVO zwar erst ab dem 25.5.2018. Ungeachtet dessen ist der Datenschutz seither in aller Munde und stellt Unternehmen vor große operative und administrative Herausforderungen. Denn Verstöße können ernsthafte rechtliche Folgen nach sich ziehen. So drohen natürlichen Personen – also auch Vorständen und Geschäftsführern – Bußgelder in Höhe von bis zu 20 Mio. €, Unternehmen sogar bis zu 4 % des weltweiten (!) Jahresumsatzes des Gesamtkonzerns des vorangegangenen Geschäftsjahres (vgl. Art. 83 Abs. 6 DSGVO). Daneben steigt das Risiko von Schadensersatzforderungen, da künftig neben materiellen auch immaterielle Schäden geltend gemacht werden können (Schmerzensgeld; Art. 82 Abs. 1 DSGVO). Für Vorstände und Geschäftsführer ist dies umso bedrohlicher, da ihnen nicht nur eine persönliche Haftung droht, sondern bei besonders schwerwiegenden Verstößen nach § 42 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungs-Gesetz (EU) – DS-AnpUG-EU) vom 30.6.2017 (BGBl. I 2017, 2097 ff.) sogar eine Freiheitsstrafe. Es ist also höchste Zeit, sich mit den neuen Anforderungen und den wesentlichen Änderungen gegenüber dem bisherigen Datenschutzrecht auseinanderzusetzen.

II. Verschärfung der Datenschutzgrundsätze durch DSGVO
Die Regelungen der DSGVO gelten als zwingendes Recht unmittelbar in allen Mitgliedstaaten der Europäischen Union. Schon jetzt besteht ein hohes Datenschutzniveau in Deutschland und viele Regelungen der DSGVO sind dem deutschen Datenschutzrecht nicht unbekannt. Allerdings wird der Datenschutzstandard durch die DSGVO zum Teil noch einmal deutlich verschärft. Dies gilt vor allem im Hinblick auf die Transparenz der Verarbeitung personenbezogener Daten sowie die Rechenschaftspflicht. Wer sich einen umfassenden Überblick über die datenschutzrechtlichen Anforderungen verschaffen möchte, wird künftig nicht umhinkommen, sowohl die DSGVO als auch die nationale Gesetzgebung zur Hand zu nehmen.

1. Verarbeitungsprinzipien
Eine der zentralen Vorschriften der DSGVO ist Art. 5 Abs. 1 DSGVO, in welchem Verarbeitungsprinzipien niedergelegt sind, die bei der Verarbeitung personenbezogener Daten stets zu beachten sind. Personenbezogene Daten müssen danach auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie ...