Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww
  • · Fachbeitrag · Schnellüberblick

    12 wichtige Fakten über die DS-GVO unddas neue BDSG

    | Meilenstein am 25.5.18: An diesem Tag wird erstmals in Europa ein einheitlicher Datenschutz eingeführt. Dann startet die EU-Datenschutz-Grundverordnung (DS-GVO). AA Arbeitsrecht aktiv hat für Sie die 12 wichtigsten Fakten im Schnellüberblick zusammengefasst. |

     

    Übersicht / DS-GVO

    1. Wann treten die DS-GVO und das neue BDSG in Kraft?

    Warum jetzt? Am 25.5.18 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.16 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) unmittelbar geltendes Recht in allen EU-Mitgliedstaaten sein. Die DS-GVO gilt daher bereits seit dem 26.5.16. Wirksam wird sie ab erst am 25.5.18. Dann müssen die EU-Mitgliedstaaten sie anwenden. Um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 mit dem deutschen Datenschutzrecht sicherzustellen, wurde es erforderlich, das bisherige BDSG durch ein neues abzulösen. Das bestehende BDSG wurde in weiten Teilen überarbeitet und tritt ebenfalls am 25.5.18 in Kraft.

     

    2. Gibt es eine Übergangsfrist?

    Nein, eine Übergangsfrist wird es nicht geben. Rein rechtlich ist sie ja bereits am 26.5.16 in Kraft getreten. Sie entfaltet nur jetzt erst ihre Wirkung. ArbG und Betriebsrat müssen sich spätestens jetzt mit den notwendigen Maßnahmen zur Einhaltung der DS-GVO befassen. Denn bisherige Datenverarbeitungen und vor allem Einwilligungen bleiben nur gültig, wenn sie der DS-GVO entsprechen.

     

    3. Betrifft die DS-GVO jedes Unternehmen?

    Jedes Unternehmen muss am 25.5.18 nachweisen, dass es den Datenschutz einhält. Nach Art. 2 Abs. 1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen. Damit sind praktisch alle erfasst: Händler, Shop-Betreiber, Unternehmer, Arztpraxen, Kanzleien, Vereine ‒ wenn eine elektronische Datenverarbeitung erfolgt, auch wenn sie nur aus einem Computer besteht oder Daten aus einem Karteikartensystem auf Papier verarbeitet werden, dann gilt die DS-GVO.

     

    Beachten Sie | Für Privatpersonen bleibt es dabei, dass die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit) vorgenommen wird, nicht erfasst wird.

     

    4. Sind nur EU-Unternehmen betroffen?

    Nein, die DS-GVO betrifft nicht nur Unternehmen, die in der EU sitzen. Betroffen sind auch ArbG aus sogenannten „Drittstaaten“ außerhalb der EU, die personenbezogene Daten der EU-Bürger verarbeiten. Damit werden auch US-Anbieter wie Google oder Facebook der DS-GVO unterfallen.

    5. Was sind nun personenbezogene Daten?

    Art. 4 Nr. 1 DS-GVO sagt hierzu: Als „personenbezogene Daten“ gelten u„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Als identifizierbar wird „eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

     

    6. Wann „verarbeitet“ man überhaupt Daten?

    Der Begriff der Verarbeitung ist nach Art. 4 Nr. 2 DS-GVO weit gefasst, als jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

     

    So beinhaltet die Verarbeitung praktisch jede Art des Umgangs mit personenbezogenen Daten. Insbesondere wird jeder Umgang mit personenbezogenen Daten erfasst, die in Computern oder anderen digitalen Medien gespeichert sind.

     

    7. Worauf basieren die Grundsätze für die Verarbeitung personenbezogener Daten?

    Bei der Datenverarbeitung in Europa gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz (zum Beispiel aus BDSG, Telemediengesetz-TMG, DS-GVO) oder durch eine Einwilligung erlaubt wurde.

     

    In der DS-GVO sind die Art. 5 und 6 quasi die entscheidenden Artikel, wann eine Verarbeitung erlaubt sein kann: Art. 5 Abs. 1 a-f stellen die Prinzipien (also die Kernelemente des Gesetzes) dar:

    • Transparenz ‒ Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein.
    • Zweckbindung ‒ Unternehmen sollen Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Das heißt, man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren.
    • Datenminimierung ‒ Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken.
    • Richtigkeit ‒ Unternehmen müssen dafür sorgen, dass die personenbezogenen Daten korrekt sind. Daten, die im Hinblick auf ihre Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.
    • Speicherbegrenzung ‒ Unternehmen dürfen personenbezogene Daten nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
    • Integrität und Vertraulichkeit ‒ Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

     

    Nach Art. 6 DS-GVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

    • Einwilligung
    • Zweck der Vertragserfüllung/vorvertragliche Maßnahme
    • Erfüllung einer rechtlichen Pflicht des Verantwortlichen
    • Schutz lebenswichtiger Interessen
    • Aufgaben im Bereich der öffentlichen Sicherheit
    • Wahrung berechtigter Interessen, Erforderlichkeit und Abwägung der Verhältnismäßigkeit

     

    8. Was ändert sich für die Unternehmen konkret?

    Eine der wichtigsten Neuerungen ist die Einführung der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO: Danach sind Unternehmen verpflichtet, die Einhaltung der DS-GVO nachzuweisen. Daraus ergeben sich verstärkte Dokumentations- und Nachweispflichten: Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen sowie die Dokumentation von Datenschutzvorfällen.

     

    Das aus dem BDSG bekannte Verfahrensverzeichnis (§ 4g Abs. 2 und 2a BDSG; dort „Übersicht“ genannt) wird mit der DS-GVO abgelöst durch ein (schriftliches oder elektronisches) Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Dieses Verzeichnis betrifft sämtliche ‒ auch teilweise ‒ automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Es wird praktischerweise meist aus mehreren Einzelbeiträgen bestehen.

     

    Nach Art. 30 Abs. 5 DS-GVO müssen ArbG mit weniger als 250 Mitarbeitern kein Verzeichnis führen, es sei denn, der Verantwortliche bzw. Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch,

    • die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder
    • die nicht nur gelegentlich erfolgen (z. B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
    • die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (Religionsdaten, Gesundheitsdaten, usw.) oder strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betreffen.

    Beachten Sie | Eine Mustervorlage für ein solches Verzeichnis von Verarbeitungstätigkeiten erhalten Sie unter aa.iww.de.

     

    Weitere Änderungen sind: Die Informationspflichten gegenüber Betroffenen (z. B. die Datenschutzerklärung) sind umfangreicher, die Verträge mit Dienstleistern zur Auftragsverarbeitung müssen strengere Anforderungen erfüllen; das Recht auf Datenportabilität sowie die Fristen für die Bearbeitung der Anträge zur Ausübung der Rechte der Betroffenen sind zu beachten. Das bedeutet, man muss jederzeit Nachweis über seine Datenverarbeitungsprozesse führen und belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen dokumentiert und die Zulässigkeit geprüft worden sind.

     

    9. Was, wenn sich der ArbG nicht an die Vorschriften hält?

    Wer die datenschutzrechtlichen Vorschriften nicht einhält, dem drohen empfindliche Strafen: Verstöße können mit Bußgeldern von bis zu 20 Millionen EUR oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Die EU will damit ein deutliches Zeichen setzen.

    Jede Aufsichtsbehörde muss nach Art. 83 Abs. 1 DS-GVO sicherstellen, dass Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Zusätzlich können weitere Einzelmaßnahmen in Betracht kommen: Zum Beispiel Bußgelder neben oder anstelle von Maßnahmen, wie Herausgabe von Informationen, Verwarnungen oder Beschränkungen der Verarbeitung. Diese finden sich in den sogenannten „Erwägungsgründen“ 148 bis 152 (die den Artikeln der DS-GVO vorgeschaltet sind) detaillierter wieder. Insgesamt gibt es 173 Erwägungsgründe, die zur Interpretation der DS-GVO herangezogen werden können.

     

    10. Wer sind die Aufsichtsbehörden?

    Nach Art. 55 Abs. 1 DS-GVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland gibt es sogenannte Datenschutzaufsichtsbehörden. Jedes Bundesland hat seine eigene Datenschutzaufsichtsbehörde. Die örtliche Zuständigkeit richtet sich nach dem Sitz der nicht-öffentlichen Stelle. Mit Ausnahme von Bayern sind die Datenschutzbeauftragten der Bundesländer sowohl für den nicht-öffentlichen, als auch für den öffentlichen Bereich zuständig.

     

    11. Wen trifft die Datenschutzreform vor allem?

    Wer bereits bis heute ein Verzeichnis der Datenverarbeitungen geführt hat, wird sich viel von dieser Fleißarbeit ersparen. Treffen wird es vor allem diejenigen, die sich bisher um den Datenschutz wenig Gedanken gemacht haben. Genau diese Zielgruppe wollte der Gesetzgeber erreichen.

     

    Der erhöhte Bußgeldrahmen richtet sich vor allem an Großunternehmen und ist gewollt, bei denen zum Beispiel die maximalen deutschen Bußgeldgrenzen von 50.000 EUR (im Telemediengesetz, TMG) und 300.000 EUR (im BDSG) kaum Abschreckung entfalteten.

     

    12. Kann es vor dem 25.5.18 zu „Ahndungen“ kommen?

    Wohl nicht. Das Verwaltungsgericht Karlsruhe traf in einem Urteil am 6.7.17 (10 K 7698/16, BB 17, 2449) bereits eine erste Entscheidung zur DS-GVO. Danach kann nicht bereits vor Geltung der DS-GVO ab 25.5.18 eine rechtsgültige Verfügung auf Basis dieser Rechtsvorschrift erlassen werden. Die Behörde stützte ihre Verfügung darauf, es seien bereits jetzt Verstöße gegen die DS-GVO erkennbar. Das Gericht folgte dieser Auffassung nicht.

     

    Weiterführende Hinweise