Arbeitsrecht 01/2018

EU Datenschutz-Grundverordnung (DS-GVO) und Bundesdatenschutzgesetz n.F.

Überblick

Am 25.05.2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DS-GVO) unmittelbar geltendes Recht in allen EU-Mitgliedsstaaten. Ab diesem Zeitpunkt müssen die Mitgliedsstaaten die DS-GVO anwenden. Hierzu hat die Bundesrepublik Deutschland das bisherige BDSG durch ein neues Gesetz, das BDSG n.F. abgelöst. Das bestehende BDSG wurde in weiten Teilen überarbeitet und das BDSG n.F. tritt ebenfalls am 25.05.2018 in Kraft.

Nachstehend ein Überblick über die wichtigsten Folgen der ab dem 25.05.2018 geltenden Rechtslage:

1.
Die bisherige Datenverarbeitung und eventuell erklärte Einwilligungen bleiben unter der Anwendung des neuen Gesetzes nur gültig, wenn sie den neuen Anforderungen der DS-GVO entsprechen.

2.
Betroffen sind nahezu alle Unternehmen. Gem. Art. 1 Abs. 1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen. Damit sind nahezu alle Unternehmen erfasst, die sich der elektronischen Datenverarbeitung bedienen.

3.
Als „personenbezogene Daten“ gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung, zu einem oder mehreren besonderen Merkmalen, die Ausdruck der psychischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind, identifiziert werden kann.

4.
Unter „Verarbeitung“ versteht Art. 4 Nr. 2 DS-GVO jeden mit Hilfe oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgehensweise in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, das Verwenden, die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder Vernichten. Verarbeitung betrifft somit jede Art des Umgangs mit personenbezogenen Daten.

5.
Es gilt ein Verbot mit Erlaubnisvorbehalt. Danach ist jede Verarbeitung personenbezogener Daten verboten, außer sie ist per Gesetz (etwa aus dem BDSG n.F., dem Telekommunikationsgesetz oder der DS-GVO) oder durch Einwilligung erlaubt.

6.
Die Anforderungen an die Verarbeitung sind in Art. 5 DS-GVO im Einzelnen aufgeführt.

Danach gilt:

• Transparenz – die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein.
• Zweckbindung – Unternehmen sollen die Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Dies bedeutet: zu Beginn des Verarbeitungsprozesses muss definiert werden, wofür die Daten benötigt werden. Zusätzlich ist dies zu dokumentieren.
• Datenminimierung – Die Verarbeitung von personenbezogenen Daten muss auf das für den Verarbeitungszweck notwendige Maß beschränkt werden.
• Richtigkeit – Es muss dafür Sorge getragen werden, dass die personenbezogenen Daten korrekt sind.
• Speicherbegrenzung – Personenbezogene Daten dürfen nur solange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
• Integrität und Vertraulichkeit – Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Kenntnisnahme, Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

7.
Unabhängig von dem Vorstehenden ist die Datenverarbeitung nach Art. 6 DS-GVO nur rechtmäßig, wenn mindestens eine der nachstehend genannten Bedingungen erfüllt ist:

• Einwilligung
• Zweck der Vertragserfüllung
• vorvertragliche Maßnahme
• Erfüllung einer rechtlichen Pflicht des Verantwortlichen
• Schutz lebenswichtiger Interessen
• Aufgaben im Bereich der öffentlichen Sicherheit
• Wahrung berechtigter Interessen, Erforderlichkeit und Abwägung Verhältnismäßigkeit.

8.
Art. 5 Abs. 2 DS-GVO statuiert die Verpflichtung, die Einhaltung der DS-GVO nachzuweisen. Hieraus folgen verstärkte Dokumentations- und Nachweispflichten. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgeabschätzungen sowie die Dokumentation von Datenschutzvorfällen. Das Verzeichnis kann schriftlich oder elektronisch geführt werden und muss alle Verarbeitungstätigkeiten mit personenbezogenen Daten ausweisen.

Arbeitgeber, die weniger als 250 Mitarbeiter beschäftigen, müssen kein Verzeichnis führen. Dies gilt aber wiederum dann nicht, wenn der Arbeitgeber bzw. der Auftragsverarbeiter Verarbeitung personenbezogener Daten durchführt,

• die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (im Falle von Überwachungsmaßnahmen) oder
• die nicht nur gelegentlich erfolgen (regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
• die besonderen Datenkategorien betreffen (z.B. Religionsdaten, Gesundheitsdaten usw.).

9.
Die Informationspflichten gegenüber Betroffenen (z.B. die Datenschutzerklärung) sind umfangreicher, die Verträge mit Dienstleistern zur Auftragsverarbeitung unterliegen strengeren Anforderungen; das Recht auf Datenportabilität sowie die Fristen für die Bearbeitung der Anträge zur Ausübung der Rechte der Betroffenen sind zu beachten. Daher sollte jederzeit der Nachweis über die Datenverarbeitungsprozesse geführt werden können.

10.
Verstöße gegen die datenschutzrechtlichen Vorschriften werden mit empfindlichen Strafen geahndet und zwar mit Bußgeldern bis zu 20. Mio. Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes.

11.
Kontrolliert wird die Einhaltung der neuen Vorschriften durch die Aufsichtsbehörden, die für die Erfüllung der Aufgaben zuständig sind. Jedes Bundesland hat insoweit eine eigene Datenschutzaufsichtsbehörde. Die Datenschutzbeauftragten der Bundesländer sind sowohl für den nicht-öffentlichen als auch für den öffentlichen Bereich insoweit zuständig (Ausnahme Bayern).

12.
Der für das Arbeitsverhältnis maßgebliche Beschäftigtendatenschutz ist nunmehr in § 26 BDSG n.F. normiert.

Das Verarbeiten personenbezogener Daten von Beschäftigten ist erlaubt, sofern dies für die Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses „erforderlich“ ist. Es darf nur so viel an personenbezogenen Daten der Beschäftigten gespeichert werden, wie für die Durchführung des Arbeitsverhältnisses notwendig ist.

Rechtsgrundlage für eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis bleibt letztlich die Einwilligung des Arbeitnehmers nach § 26 Abs. 2 BDSG. Aus diesem Grunde sehen die von uns entworfenen Musterarbeitsverträge auch eine entsprechend vorbereitete Einwilligungsklausel vor.

Aber auch die nicht automatisierte Verarbeitung von Beschäftigtendaten unterliegt den vorstehend beschriebenen Regelungen des § 26 BDSG. Hierunter fallen alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – egal, ob Papier gebunden oder auch nur die handschriftliche Notiz des Arbeitgebers.

13.
Neue Regeln zum Datenschutzbeauftragten enthält Art. 4 der DS-GVO sowie § 38 BDSG n.F.

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen. Dies ist nur dann der Fall, wenn

• im Unternehmen i.d.R. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind

oder

• im Unternehmen personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

oder

• die Hauptaufgabe des Unternehmens in einer umfangreichen Verarbeitung besonderer Datenkategorien oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

14.
Die Aufgaben des Datenschutzbeauftragten nach Art. 39 DS-GVO sind:

• die Unterrichtung und Beratung der Geschäftsführung und der Beschäftigten hinsichtlich ihrer Pflichten
• die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen sowie der Strategien für den Schutz personenbezogener Daten und Zuweisung von Zuständigkeiten
• die Sensibilisierung und Schulung der Mitarbeiter
• die Beratung bei der Datenschutz-Folgeabschätzung sowie deren Überwachung
• die Zusammenarbeit mit Aufsichtsbehörden.

Der Arbeitgeber muss die Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO).

Der Datenschutzbeauftragte besitzt besonderen Kündigungsschutz. Danach ist die Abberufung nur entsprechend § 626 BGB – also bei Gründen, die eine außerordentliche Kündigung rechtfertigen – möglich.

Fazit:

Die Datenschutz-Grundverordnung und das neue BDSG bringen zahlreiche Änderungen mit sich, auf die sich Unternehmen einstellen müssen. Bei Verstößen drohen hohe Sanktionen. Unternehmen müssen sich daher mit den neuen Regelungen auseinandersetzen. Wir sind Ihnen gerne behilflich.

Rechtsanwalt Dr. jur. Wolfgang Leister
Fachanwalt für Arbeitsrecht