07 / 2018

Thomas Niklas

Datenschutz-Grundverordnung – Es wird ernst!

I. Allgemeiner Hintergrund

Bereits vor knapp zwei Jahren trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) in Kraft. Ziel der Verordnung ist es, ein einheitliches und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Europäischen Union zu beseitigen. Um den Mitgliedstaaten die Möglichkeit der Vorbereitung und des Erlasses ergänzender und konkretisierender Regelungen zu ermöglichen, gelten die Vorschriften der DSGVO zwar erst ab dem 25.5.2018. Ungeachtet dessen ist der Datenschutz seither in aller Munde und stellt Unternehmen vor große operative und administrative Herausforderungen. Denn Verstöße können ernsthafte rechtliche Folgen nach sich ziehen. So drohen natürlichen Personen – also auch Vorständen und Geschäftsführern – Bußgelder in Höhe von bis zu 20 Mio. €, Unternehmen sogar bis zu 4 % des weltweiten (!) Jahresumsatzes des Gesamtkonzerns des vorangegangenen Geschäftsjahres (vgl. Art. 83 Abs. 6 DSGVO). Daneben steigt das Risiko von Schadensersatzforderungen, da künftig neben materiellen auch immaterielle Schäden geltend gemacht werden können (Schmerzensgeld; Art. 82 Abs. 1 DSGVO). Für Vorstände und Geschäftsführer ist dies umso bedrohlicher, da ihnen nicht nur eine persönliche Haftung droht, sondern bei besonders schwerwiegenden Verstößen nach § 42 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungs-Gesetz (EU) – DS-AnpUG-EU) vom 30.6.2017 (BGBl. I 2017, 2097 ff.) sogar eine Freiheitsstrafe. Es ist also höchste Zeit, sich mit den neuen Anforderungen und den wesentlichen Änderungen gegenüber dem bisherigen Datenschutzrecht auseinanderzusetzen.


II. Verschärfung der Datenschutzgrundsätze durch DSGVO

Die Regelungen der DSGVO gelten als zwingendes Recht unmittelbar in allen Mitgliedstaaten der Europäischen Union. Schon jetzt besteht ein hohes Datenschutzniveau in Deutschland und viele Regelungen der DSGVO sind dem deutschen Datenschutzrecht nicht unbekannt. Allerdings wird der Datenschutzstandard durch die DSGVO zum Teil noch einmal deutlich verschärft. Dies gilt vor allem im Hinblick auf die Transparenz der Verarbeitung personenbezogener Daten sowie die Rechenschaftspflicht. Wer sich einen umfassenden Überblick über die datenschutzrechtlichen Anforderungen verschaffen möchte, wird künftig nicht umhinkommen, sowohl die DSGVO als auch die nationale Gesetzgebung zur Hand zu nehmen.

1. Verarbeitungsprinzipien

Eine der zentralen Vorschriften der DSGVO ist Art. 5 Abs. 1 DSGVO, in welchem Verarbeitungsprinzipien niedergelegt sind, die bei der Verarbeitung personenbezogener Daten stets zu beachten sind. Personenbezogene Daten müssen danach auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“), dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden („Datenminimierung“), sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“). Des Weiteren müssen sie in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“) sowie in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet („Integrität und Vertraulichkeit“). Wenngleich die meisten dieser Prinzipien schon nach dem bisherigen Datenschutzrecht galten, werden diese durch weitere Regelungen in der DSGVO vielfach konkretisiert. Von besonderer Bedeutung ist, dass der für die Datenverarbeitung Verantwortliche nicht nur für deren Einhaltung verantwortlich ist, sondern künftig die Einhaltung nachweisen können muss („Rechenschaftspflicht“). Kann er dies nicht, drohen die genannten Konsequenzen.

2. Verzeichnis und Datenschutz-Folgenabschätzung

Neben den vorgenannten Prinzipien müssen Unternehmen ab dem 25.5.2018 diverse formale Anforderungen beachten. So ist z.B. regelmäßig ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), welches der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens dient. Bei risikoreichen Datenverarbeitungsprozessen ist zudem eine Datenschutz-Folgenabschätzung vorzunehmen (Art. 35 DSGVO). Ist etwa geplant, in einer Supermarktfiliale eine Videoüberwachung einzuführen, muss zunächst eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Verarbeitungszwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen sowie eine Beschreibung der Maßnahmen und Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten erfolgen. Kann das hohe Risiko trotz entsprechender Maßnahmen nicht eingedämmt werden, schließt sich ein Konsultationsverfahren mit der Aufsichtsbehörde an, in welchem umfassende Informationen zur Verfügung gestellt werden müssen (Art. 36 DSGVO).

3. Neue Informationspflichten

Für die betriebliche Praxis von besonderer Relevanz sind ferner die neuen Informationspflichten nach Art. 13 u. 14 DSGVO. Sofern personenbezogene Daten erhoben werden, müssen die betroffenen Personen hierüber umfassend informiert werden. Diese Informationspflichten umfassen u.a. den Namen und die Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die zugrundeliegenden Rechtsgrundlagen, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht), die möglichen Empfänger der personenbezogenen Daten, die Dauer der Speicherung oder die Kriterien für die Festlegung dieser Dauer, das Bestehen eines Rechts auf Auskunft, Berichtigung und Löschung sowie des jederzeitigen Widerrufs einer Einwilligung und das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde. Bei der Erhebung durch Dritte ist zusätzlich u.a. über die Kategorien der verarbeiteten personenbezogenen Daten sowie die Quellen der personenbezogenen Informationen zu unterrichten. Sofern beabsichtigt ist, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben wurden, sind die betroffenen Person vor dieser Weiterverarbeitung erneut zu informieren, insbesondere über den geänderten Zweck.


III. Beschäftigtendatenschutz

Ein Schwerpunkt der Verarbeitung personenbezogener Daten im Unternehmen liegt regelmäßig im Bereich des Beschäftigtendatenschutzes. In diesem Zusammenhang sind nicht nur die Vorschriften der DSGVO zu beachten, sondern auch die aufgrund der Öffnungsklausel des Art. 88 DSGVO novellierten Regelungen des Bundesdatenschutzgesetzes (BDSG), die ebenfalls ab dem 25.5.2018 wirksam werden.

1. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

Im Hinblick auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis hat die Novellierung des BDSG keine grundlegenden Änderungen gebracht. Denn anders als erhofft, hat der deutsche Gesetzgeber schlussendlich die bisherigen Regelungen des BDSG mit all ihren Unzulänglichkeiten weitgehend übernommen und nur dort Anpassungen vorgenommen, wo dies aus seiner Sicht geboten erschien. Gemäß § 26 Abs. 1 BDSG n.F., der die bisherige Regelung des § 32 BDSG ersetzt, dürfen Daten von Beschäftigten danach für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (vgl. zur Verarbeitung besonders sensibler personenbezogener Daten Art. 9 DSGVO, § 26 Abs. 3 BDSG). Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten ebenfalls unter bestimmten Voraussetzungen verarbeitet werden. Ob dies – wie bislang für den insoweit inhaltsgleichen § 32 Abs. 1 S. 2 BDSG vom BAG angenommen (vgl. BAG v. 27.7.2017 – 2 AZR 681/16, NZA 2017, 1327 [1330]) und auch von der DSGVO gedeckt (vgl. etwa Art. 6 Abs. 1 lit. c u. f DSGVO) – für die Aufdeckung von Pflichtverletzungen unterhalb der Schwelle der Strafbarkeit ebenfalls gilt, bleibt abzuwarten. Führt man sich vor Augen, dass Art. 88 Abs. 1 DSGVO den Mitgliedstaaten „lediglich“ das Recht einräumt, spezifischere Vorschriften vorzusehen („more specific rules“), wäre eine andere, wortlautgetreue Auslegung des § 26 Abs. 1 BDSG n.F. aber wohl europarechtswidrig.

2. Einwilligung

Nach § 26 Abs. 2 BDSG n.F. ist die Verarbeitung personenbezogener Daten von Beschäftigten ferner auch weiterhin auf der Grundlage einer Einwilligung zulässig. Wie der Gesetzgeber nunmehr hervorgehoben hat, sind für die Beurteilung der Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis aber die bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann danach insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Da weitere Klarstellungen fehlen, wird die Frage der Freiwilligkeit aber auch in Zukunft zu Diskussionen führen und ist für die Verarbeitung personenbezogener Daten mit Vorsicht zu genießen.

3. Betriebsvereinbarungen

Schließlich können personenbezogene Daten auch nach der neuen Rechtslage auf der Grundlage von Betriebsvereinbarungen verarbeitet werden (§ 26 Abs. 4 BDSG n.F.). Dabei müssen indes angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorgesehen werden (vgl. auch Art. 88 Abs. 2 DSGVO). Hierbei handelt es sich nicht etwa um einen bloßen Programmsatz. Vielmehr sind sämtliche – auch bereits abgeschlossene – Betriebsvereinbarungen dahingehend zu überprüfen, ob sie den Anforderungen der DSGVO und des BDSG genügen (vgl. etwa die Checkliste bei Imping, CR 2017, 379 [384]).


IV. Folgen für die betriebliche Praxis

Die Menge der in einem Unternehmen tagtäglich verarbeiteten personenbezogenen Daten einerseits und die Reichweite der Verpflichtungen nach dem neuen Datenschutzrecht andererseits machen deutlich, dass ein vollumfänglich datenschutzkonformes Verhalten für Unternehmen und deren Organe künftig mit erheblichen Anstrengungen verbunden ist. Umso wichtiger ist es, entsprechende Compliance-Strukturen im Unternehmen zu schaffen, welche eine bestmögliche Einhaltung der Datenschutzvorschriften gewährleisten. Dies beinhaltet vor allem zunächst die Erstellung eines Verzeichnisses mit den im Unternehmen verarbeiteten personenbezogenen Daten, die Erarbeitung eines Maßnahmenkataloges sowie die klare Festlegung von Verantwortlichkeiten. Wichtig sind zudem in der Folge regelmäßige Audits zur Überprüfung, inwieweit das Unternehmen noch den gesetzlichen, datenschutzrechtlichen Anforderungen entspricht. Schlussendlich verantwortlich sind und bleiben hierfür stets die Vorstände und Geschäftsführer von Unternehmen, auch wenn die Aufgaben delegiert werden können.

Verlag Dr. Otto-Schmidt vom 02.05.2018 10:36