Datenschutz

Die neue EU-DSGVO

Ab dem 25. Mai 2018 gilt auch in Deutschland die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Zeitgleich tritt ein dazugehöriges deutsches Ergänzungsgesetz (Datenschutz-Anpassungs- und Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert. Die DSGVO wird außerdem ergänzt durch die sich noch in Abstimmung befindliche EU-e-Privacy-Verordnung. Diese soll ebenfalls am 25. Mai 2018 in Kraft treten und betrifft Internet- und Telemediendienste.

Das Ziel der neuen DSGVO ist ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Dabei sollen vor allem die Rechte und Kontrollmöglichkeiten der Betroffenen gestärkt werden, deren personenbezogene Daten verarbeitet werden.

Zwar bleiben wesentliche Elemente des bisherigen BDSG erhalten. So gleichen die in Art. 5 DSGVO festgelegten Grundsätze der Datenverarbeitung, an denen sich die Verordnung orientiert, im Kern denen des BDSG. Dennoch wird es in Zukunft sowohl für Unternehmen als auch für Privatpersonen einige Änderungen geben, die es zu beachten gilt. Vor allem für Unternehmen ist es wichtig bereits jetzt in der Übergangsphase die Umsetzung der neuen Regelungen in die Wege zu leiten und neue datenschutzrechtliche Prozesse zu etablieren. Ansonsten drohen Bußgelder für die verspätete Einführung der neuen Vorgaben.

Was sind die wesentlichen Neuerungen?

Speziell geregelt werden in der neuen Verordnung vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Dabei werden durch die neuen Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen die Rechte der Nutzer gestärkt. Ihnen soll der Zugang zu ihren Daten und den Informationen über deren Nutzung erleichtert werden. Auch der Anspruch auf die Löschung personenbezogener Daten wird von der neuen Verordnung ausdrücklich bestätigt.

Darüber hinaus stellt die neue DSGVO auch höhere Anforderungen an den Datenschutz in Unternehmen. So sind diese nun verpflichtet elektronische Geräte und Anwendungen datenschutzfreundlich einzustellen. Desweiteren sieht die Verordnung Datenschutz-Folgeabschätzungen vor, wenn neue Technologien besonders hohe Risiken für die erhobenen Daten mit sich bringen.

Für wen gilt die DSGVO?

Die Datenschutzgrundverordnung gilt für alle Unternehmen, die in der EU ansässig sind. Jedoch müssen auch außereuropäische Unternehmen die Regelungen beachten, wenn sie:

  • eine Niederlassung in der EU haben oder
  • personenbezogene Daten von EU-Bürgern verarbeiten.

Der wichtigste Anknüpfungspunkt beim Anwendungsbereich der Datenschutzgrundverordnung sind personenbezogene Daten. Darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als „identifizierbar“ wird eine Person dann angesehen, wenn sie direkt oder indirekt, mittels der Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann.

Achtung: Bereits die Möglichkeit der Identifizierung einer Person reicht hier aus!

Personenbezogene Daten sind zum Beispiel:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontodaten
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies

Wann ist die Verarbeitung von Daten zulässig?

Die Verarbeitung von Daten ist nur dann zulässig, wenn es laut der DSGVO oder einem anderen Gesetz ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt).

Gemäß Art. 6 DSGVO sind die praktisch relevantesten Erlaubnistatbestände:

  • es liegt eine Einwilligung des Betroffenen vor. Art. 7 und Art. 8 DSGVO definieren die Anforderungen, die an diese Einwilligung zu stellen sind. So soll etwa das Mindestalter bei 16 Jahren liegen – es sei denn, die einzelnen Staaten senken die Altersgrenze auf maximal 13 Jahren ab.
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Zwar hat man als Betroffener hiergegen ein Widerspruchsrecht, auf das er auch hingewiesen werden muss – doch es ist unklar, aus welchen Gründen ein solcher Widerspruch Erfolg haben könnte. Daher dürfte dieses Recht ins Leere laufen.

Der Artikel sieht in Abs. 4 auch vor, dass Daten auch später zu weiteren Zwecken verarbeitet werden dürfen. Dies ist jedoch nur dann der Fall, wenn sie damit immer noch dem ursprünglichen Zweck der Erhebung entsprechen. Hierbei muss der Betroffene jedoch stets über die Nutzung seiner Daten informiert werden. Ein Beispiel hierfür ist die Nutzung der Daten zu statistischen Zwecken.

Welche Daten dürfen nicht verarbeitet werden?

Angelehnt an die Regelungen des BDSG, werden im Art. 9 DSGVO weiterhin besondere Kategorien von Daten aufgeführt, die grundsätzlich nicht verarbeitet werden dürfen. Zu diesen Daten zählen solche aus denen

  • die rassische und ethnische Herkunft
  • die politische Meinung
  • die religiösen oder weltanschaulichen Überzeugungen
  • die Gewerkschaftszugehörigkeit
  • die sexuelle Orientierung oder das Sexualleben
  • Informationen zur Genetik und Gesundheit

einer Person hervorgehen.

Die Kategorien wurden dabei im Vergleich zum BDSG erweitert. Insbesondere fallen nun auch biometrische Daten, wie zum Beispiel der Fingerabdruck einer Person oder die Stimmerkennung, darunter.

Allerdings gibt es auch hierbei Ausnahmen. So dürfen diese Daten dann verarbeitet werden, wenn ein Ausnahmetatbestand einschlägig ist. Neu ist dabei, dass dieser Tatbestand nicht mehr ausschließlich auf die gerichtliche Geltendmachung beschränkt ist. Nach der neuen Richtlinie dürfen diese Daten zukünftig auch verarbeitet werden, wenn eine Einwilligung der betroffenen Person vorliegt oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist.

Pflichten für Unternehmen

Technischer und organisatorischer Datenschutz

Gemäß Art. 24 und 25 der neuen DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zur Gewährleistung des Datenschutzes und der Datensicherheit treffen. Die zu ergreifenden Maßnahmen sind dabei unter anderem abhängig vom jeweiligen Stand der Technik und der Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten. So sollen beispielsweise nur so wenige Daten wie möglich erhoben werden, die so schnell wie möglich pseudonymisiert werden sollen. Aus diesem Grund sollen auch die Geräte und IT-Anwendungen, die für die Datenerhebung und –verarbeitung genutzt werden in Zukunft so voreingestellt werden, dass nur Daten, die für den Zweck der Verarbeitung notwendig sind, erhoben werden.

Auftragsdatenverarbeitung

Die Auftragsdatenverarbeitung ist auch in Art. 28 und 29 der neuen DSGVO zukünftig erlaubt. Das bedeutet, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gemäß den Weisungen des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter auf der Grundlage eines schriftlichen Vertrags zulässig ist. Hierzu zählen beispielsweise Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung von Rechnungen beauftragen.

Neu ist hierbei, dass die Auftragsverarbeitung in diesem Zug nur dann zulässig ist, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Eine umfangreiche Aufzählung von Regelungsinhalten sowie von Rechten und Pflichten, die die Verträge diesbezüglich beinhalten müssen, sind in Art. 28 DSGVO aufgeführt. Diese gleichen auch den in § 11 BDSG aufgeführten Inhalten. Hinzu kommt hierbei, dass der Auftragsverarbeiter nun ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss.

Die Daten- und Auftragsverarbeitung in Drittstaaten ist nur dann zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Somit entfällt durch die DSGVO die deutsche Restriktion, dass auch bei angemessenem Datenschutzniveau keine besonderen Daten in Drittstaaten verarbeitet werden dürfen.

Verzeichnis der Verarbeitungstätigkeiten

Angelehnt an das bisherige Verfahrensverzeichnis gemäß § 4g Abs. 2 in Verbindung mit § 4e BDSG sieht der Art. 30 der DSGVO ein „Verzeichnis der Verarbeitungstätigkeiten“ vor, dass von jedem Auftragsverarbeiter zu führen ist. Dabei handelt es sich um eine Dokumentation und Übersicht über alle Verfahren, bei denen personenbezogene Daten verarbeiten werden.

Eine Ausnahme hiervon bilden nach Art. 30 Abs. 5 DSGVO Unternehmen mit weniger als 250 Arbeitnehmern. Diese können unter bestimmten Voraussetzungen von der Pflicht ausgenommen werden.

Im Vergleich zur bisherigen Rechtslage sieht die neue Verordnung dabei zusätzliche Angaben vor. Dazu zählen unter anderem

  • Der Name und die Kontaktdaten des Datenschutzbeauftragten
  • Löschfristen
  • Technische und organisatorische Maßnahmen.

Das Verzeichnis muss anschließend auch auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden. Die im BDSG aufgeführte Pflicht das Verzeichnis jedermann zur Verfügung zu stellen, entfällt jedoch mit der neuen Verordnung.

Gemeinsame Datenverarbeitung

Die neue DSGVO sieht vor, dass es zukünftig zulässig ist, dass die erlaubte Datenverarbeitung von mehreren verantwortlichen Stellen gemeinsam durchgeführt werden darf. Allerdings ist hierbei eine transparente Verarbeitung erforderlich, die die jeweiligen Zwecke und Verantwortlichkeiten und die Handhabung in Bezug auf die Rechte der Betroffenen regelt. Ferner können Betroffene auch weiterhin ihre Rechte gegenüber jedem einzelnen Verantwortlichen geltend machen.

Datenschutzbeauftragte

Gemäß Art. 37 DSGVO müssen Unternehmen einen betrieblichen Datenschutzbeauftragten dann ernennen, wenn ihre Kerntätigkeit:

  • aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
  • die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft.

Die Gründe für die Benennung eines Datenschutzbeauftragten werden allerdings durch § 38 DSAnpUG-EU erweitert. Demnach ist sie auch dann erforderlich, wenn der Auftragsverarbeiter:

  • in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
  • Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Zum Datenschutzbeauftragten kann nur ernannt werden, wer auch über die berufliche und fachliche Qualifikation verfügt. So kommen zum Beispiel qualifizierte Mitarbeiter des datenverarbeitenden Unternehmens oder auch Externe in Frage. Für Konzerne, die über mehrere Gesellschaften verfügen ist ein gemeinsamer Konzerndatenschutzbeauftragter ausreichend. Desweiteren können Datenschutzbeauftragte ohne wichtigen Grund weder abberufen noch gekündigt werden (§ 626 BGB).

Gemäß Art. 38 DSGVO ist der Datenschutzbeauftrage frühzeitig einzubinden, fachlich weisungsfrei und ist verpflichtet unmittelbar der höchsten Managementebene Bericht zu erstatten.

Seine Aufgaben umfassen nach Art. 39 DSGVO die:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
  • Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle der Aufsichtsbehörde

Dem Datenschutzbeauftragten ist es darüber hinaus nicht verwehrt auch zusätzlich andere Aufgaben zu übernehmen. Wichtig ist hierbei jedoch, dass durch die Übernahme von anderen Aufgaben keine Interessenskonflikte mit seiner Tätigkeit als Datenschutzbeauftragter entstehen.

Datenschutzfolgeabschätzung

Neu für Unternehmen ist in der DSGVO die Notwendigkeit einer Datenschutzfolgeabschätzung. Diese ist in Art. 35 der Verordnung geregelt. Durchzuführen ist sie immer dann, wenn ein Datenverarbeitungsverfahren mit hoher Wahrscheinlichkeit ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt.

Die Datenschutzfolgeabschätzung erfolgt dabei in drei Stufen:

  1. In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
  2. Wenn ein solches Risiko besteht, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
  3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. (Diese Frist kann je nach Komplexität von der Aufsichtsbehörde verlängert werden.) Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU.

Die Datenschutzfolgeabschätzung ist stets schriftlich zu dokumentieren und kann mit dem Verzeichnis der Verarbeitungstätigkeiten verknüpft werden.

Melde- und Informationspflicht bei Datenpannen

Art. 33 der DSGVO sieht vor, dass alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden müssen. Eine Ausnahme hiervon bilden lediglich Fälle, bei denen ein Risiko für persönliche Recht und Freiheiten unwahrscheinlich ist.

Fälle der Datenschutzverletzung, bei denen ein Risiko besteht, müssen der Aufsichtsbehörde innerhalb von 72 Stunden nach der Verletzung mitgeteilt werden.

Die Mitteilung muss folgende Informationen enthalten:

  • Beschreibung des Vorfalls, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
  • Beschreibung der Folgen der Datenschutzverletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Darüber hinaus müssen auch die von der Datenschutzverletzung Betroffenen eine Mitteilung über den Vorfall erhalten. In einigen Ausnahmefällen kann die Benachrichtigungspflicht jedoch auch entfallen. Diese Fällen treten ein, wenn:

  • der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zu machen, etwa durch Verschlüsselung,
  • der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen,
  • sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.

Rechte der Betroffenen

Recht auf Datenübertragbarkeit

Art. 20 DSGVO sieht für die Betroffenen der Datenverarbeitung ein Recht auf Datenübertragbarkeit vor. Im Zuge dieses Rechts können diese an Unternehmen die Forderung stellen, gewisse Daten von einer automatisierten Anwendung, wie zum Beispiel einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. So soll ihnen ermöglicht werden, den Anbieter ohne Verlust der Daten wechseln zu können. Dies betrifft allerdings nur solche Daten, die der Nutzer dem Anbieter selbst zur Verfügung gestellt hat und keine sonstigen vom Anbieter erhobenen Daten. Übermittelt werden müssen die Daten in meinem strukturierten, maschinenlesbaren Format.

Widerspruch bei automatisierten Einzelfallentscheidungen

Unter automatisierten Einzelfallentscheidungen versteht man alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Mensch getroffen wurden. Dazu zählen zum Beispiel die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen, bei denen persönliche Aspekte lediglich elektronisch ausgewertet werden. Miteingeschlossen ist hierbei auch das Profiling, beispielsweise für werbliche Zwecke, bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden wie die wirtschaftliche Lage, das Verhalten oder die Arbeitsleistung.

Gemäß Art. 22 DSGVO erhalten Betroffene nun das Recht Widerspruch gegen eine solche automatisierte Einfallentscheidung einzulegen. Hier wird ein erheblicher Unterschied zum bislang geltenden § 6a BDSG deutlich, da dieser derartige Entscheidungen bis auf einige wenige Ausnahmen grundsätzlich, unabhängig von einem Widerspruch der Betroffenen, verboten hatte.

Recht auf Auskunft

Art. 15 DSGVO sieht für die Betroffenen ein umfassendes Auskunftsrecht vor. Dieses ist mit dem in § 34 BDSG verankerten Aufsichtsrecht weitestgehend vergleichbar. Eine Neuerung ist jedoch, dass den Betroffenen nun auch das Recht eingeräumt wird, die Auskunft und die Übermittlung der Daten in elektronischer Form und auch eine Kopie der Daten verlangen kann.

Informationsanspruch

Gemäß Art. 13 und 14 der neuen DSGVO haben Betroffene einen umfassenden Informationsanspruch gegenüber den Unternehmen, die ihre Daten verarbeiten oder aber auch bei Dritten, wie zum Beispiel der Schufa. Dieser Anspruch stellt für die Unternehmen gleichzeitig auch eine Pflicht dar, die die aktuell geltenden Regelungen des BDSG stärken.

Informationen, die in diesem Zug mitgeteilt werden müssen, sind:

  • Name und Kontaktdaten des Verantwortlichen,
  • ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
  • Zwecke und Rechtsgrundlage der Datenverarbeitung,
  • Darstellung der berechtigten Interessen (wenn die Datenverarbeitung auf dem Tatbestand der Interessenabwägung gem. Art. 6 Abs. 1 f) BDSG beruht),
  • ggf. Empfänger oder Kategorien von Empfängern der Daten,
  • ggf. Informationen zur Datenübermittlung in Drittländer,
  • Dauer der Datenspeicherung,
  • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
  • Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
  • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)

Die Unternehmen müssen die Betroffenen hierbei umgehend bei der Erhebung der Daten entsprechend benachrichtigen. Dies ist zum Beispiel bereits bei der Bestellung eines Newsletters der Fall.

Der Informationsanspruch entfällt allerdings, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar nicht möglich ist. Diese Ausnahme gilt nur, wenn die Daten bei Dritten verarbeitet werden. Ist dies der Fall bedarf es jedoch einer öffentlichen Bekanntmachung dieser Information. Diese Veröffentlichung kann zum Beispiel auf einer Website stattfinden.

Hat der Betroffene eine Mitteilung über seine gespeicherten und zur Verarbeitung verwendeten Daten erhalten, ergibt sich aus Art. 19 DSGVO ein weiterer Informationsanspruch. Dieser kommt dann zur Geltung, wenn die Daten des Betroffenen entweder berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wurde.

Recht auf Löschung

Das Recht auf Löschung der eigenen Daten steht gemäß Art. 17 DSGVO den Betroffenen zu, wenn:

  • die Speicherung der Daten nicht mehr notwendig ist
  • der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • die Daten unrechtmäßig verarbeitet wurden
  • eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht.

Keine Anwendung findet des Recht jedoch, wenn:

  • die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
  • die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
  • Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
  • die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Ergänzt wird dieses Recht durch Art. 16 DSGVO. Dieser sieht ein Recht auf Berichtigung vor. Dabei haben Betroffene die Möglichkeit zu verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.

In Art. 18 DSGVO ist darüber hinaus das Recht verankert, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder die Verarbeitung unrechtmäßig ist.

Auswirkungen der neuen EU-Datenschutz-Grundverordnung auf Betriebsräte

Mit dem Inkrafttreten der DSGVO und des neuen BDSG müssen sich auch Betriebsräte mit neuen gesetzlichen Grundlagen des Datenschutzes befassen.

Änderungs- und Anpassungsbedarf aufgrund des neuen Datenschutzes besteht hierbei besonders dann, wenn Betriebsvereinbarungen die datenschutzrechtliche Erlaubnisnorm für das Verarbeiten von Beschäftigtendaten sind. Dies kann zum Beispiel im Zusammenhang mit der Nutzung eines bestimmten IT-Systems der Fall sein. Die Regelungsteile, die Verarbeitungen ermöglichen, müssen dementsprechend den neuen datenschutzrechtlichen Vorgaben entsprechen. Angepasst werden müssen zum Beispiel Vereinbarungen, die umfassende verdeckte Überwachungsmaßnahmen zulassen, keine oder sehr lange Löschungsfristen beinhalten, Datenverarbeitungsprozesses nicht transparent beschreiben oder weitgehend zweckfreie Vorratsdatenspeicherungen zulassen. Werden derartige Regelungen nicht überarbeitet, können gemäß Art. 88 DSGVO Geldbuße gegen das Unternehmen verhängt werden.

Welche Strafen drohen bei Verstößen gegen das DSGVO?

Im Hinblick auf Verstöße gegen die neue DSGVO wurde vor allem die Höhe der vorgesehenen Strafen und Bußgelder neu geregelt. Bisher lag der Rahmen für diese bei 50.000 bis maximal 300.000 Euro für sehr schwere Verstöße. Dies soll sich nun ändern. So sind zukünftig Bußgelder von bis zu 20 Millionen oder vier Prozent des weltweiten Umsatzes vorgesehen. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zur Hand zu haben.

Wichtig sind hierbei stets die Anfragen und Beschwerden von Nutzern und Datenschutzbehörden ernst zu nehmen!