Reform des Datenschutzrechts: Ein Überblick (Teil 2)

In Teil 2 unserer Serie zum neuen Datenschutzrecht erfahren Sie mehr zu den Regelungen rund um den Datenschutzbeauftragten, das Verfahrensverzeichnis und die Folgenabschätzung sowie Details zu Bußgeldern, Schadenersatz und Beschäftigtendatenschutz. Lesen Sie außerdem mehr zur „Rechenschaftspflicht“, die die Beweislastumkehr mit sich bringt, und unser Gesamtfazit.

Datenschutzbeauftragter

Unternehmen haben aufgrund von § 38 Abs. 1 BDSG weiterhin einen Datenschutzbeauftragten zu bestellen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.  Nach der DSGVO ist aber auch bereits dann ein Datenschutzbeauftragter zu bestellen, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Welche Aufgaben mit dem Amt als Datenschutzbeauftragten einhergehen, wird durch Art. 39 DSGVO festgelegt. Außerdem ist darauf zu achten, dass nach Art. 13 Abs. 1 lit. b DSGVO die Kontaktdaten des Datenschutzbeauftragten im Rahmen der Informationspflichten bekannt zu geben sind.

Verfahrensverzeichnis und Folgenabschätzung

Nach Art. 30 DSGVO wird nicht mehr der Datenschutzbeauftragte, sondern vielmehr der Verantwortliche zur Führung eines schriftlichen oder elektronischen Verfahrensverzeichnisses verpflichtet. Dabei enthält der Artikel auch die aufzuführenden Pflichtangaben. Kleine Unternehmen/Einrichtungen mit weniger als 250 Mitarbeitern müssen dieser Pflicht nur nachkommen, wenn ihre Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, nicht nur gelegentlich erfolgt oder bestimmte besondere sensitive Daten gem. Art. 9 Abs. 1 DSGVO oder strafrechtliche Verurteilungen und Straftaten nach Art. 10 Abs. 1 DSGVO einschließt.

Die Unternehmen haben abhängig vom Schutzbedarf der Daten und der wirtschaftlichen Zumutbarkeit weiterhin technische und organisatorische Maßnahmen zur Datensicherheit zu treffen. Darüber hinaus müssen sie aber auch die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden, schützen.

Außerdem werden die Verantwortlichen durch Art. 35 DSGVO verpflichtet, eine Datenschutz-Folgenabschätzung vorzunehmen, wenn ihre Vertriebsform voraussichtlich ein hohes Risiko für die Betroffenen darstellt. Dabei wird der Rat des Datenschutzbeauftragten eingeholt. Falls dabei hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, muss der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde nach Art. 36 DSGVO konsultieren. Diese spricht sodann eine Empfehlung aus und kann die Maßnahme sogar ggf. untersagen.

Schadensersatz

Bisher konnte der Betroffene Haftungsansprüche nur geltend machen, wenn ihm ein materieller Schaden dadurch entstanden ist, dass Fehler in der Datenverarbeitung auftraten oder die eigentliche Verarbeitung unzulässig war. Nunmehr gewährt § 83 Abs. 2 BDSG auch das Recht auf Entschädigung bei einem Schaden, der keinen Vermögensschaden darstellt. Diese Neuregelung stellt ein deutlich höheres Haftungsrisiko für Unternehmen dar.

Bußgeld

Aufsichtsbehörden können nach Art. 83 DSGVO Bußgelder in Höhe von bis zu 20 Mio. Euro oder gegen Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorgegangenen Geschäftsjahres verhängen. Dabei hängt die Höhe von der verletzten Norm ab. Bisher kann grundsätzlich nur ein Bußgeld in Höhe von bis zu 300.000 Euro verhängt werden.

Auftragsverarbeitung

Der für die Auftragsverarbeitung zugrundeliegende Vertrag kann durch die DSGVO nunmehr auch in einem elektronischen Format festgehalten werden. Allerdings werden strengere Pflichten, vor allem für den Auftragsverarbeiter, eingeführt. Dieser muss z.B. auch nach Art. 30 Abs. 2 DSGVO ein Verzeichnis über die Verarbeitungstätigkeiten führen.

Beschäftigtendatenschutz

Art. 88 Abs. 1 DSGVO erlaubt den Mitgliedsstaaten, die Datenverarbeitung im Beschäftigungskontext zu konkretisieren. Zu diesem Zwecke wurde in Deutschland § 26 BDSG geschaffen. Dabei gilt die Vorschrift nicht nur für Arbeitgeber, sondern auch für sämtliche Verantwortliche, die personenbezogene Beschäftigtendaten im Beschäftigungskontext verarbeiten. Die Verarbeitung personenbezogener Daten ist danach zulässig, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, die Durchführung des Beschäftigungsverhältnisses, die Beendigung des Beschäftigungsverhältnisses oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Betriebsvereinbarung ergebenden Rechte und Pflichten des Betriebsrats erforderlich ist.

Das Tatbestandsmerkmal der Erforderlichkeit beruht dabei entsprechend der bisherigen Rechtsprechung zum alten § 32 BDSG auf einer umfassenden Interessenabwägung zwischen den Belangen des Arbeitgebers und denen des Arbeitnehmers.

Die Grundsätze, die das Bundesarbeitsgericht  für die Verarbeitung personenbezogener Daten von Arbeitnehmern durch den Betriebsrat aufgestellt hat, werden durch die neuen Regelungen im BDSG und DSGVO künftig geändert. Die Verarbeitung darf nunmehr ebenfalls nur noch aufgrund einer umfassenden Interessenabwägung geschehen, auch wenn es sich dabei um die Erfüllung oder der Ausübung der sich aus den Vorgaben eines Gesetzes oder einer Kollektivvereinbarung ergebenden Rechte oder Pflichten der Interessenvertretung von Beschäftigten handelt. Betriebsvereinbarungen können also weiterhin datenschutzrechtliche Erlaubnistatbestände für die Verarbeitung darstellen, müssen aber auch sämtlichen Anforderungen der DSGVO einhalten. Insbesondere müssen sie im Hinblick auf die Transparenz der Verarbeitung entsprechende Regelungen aufweisen. Dies hat zur Konsequenz, dass alle bisher bestehenden Betriebsvereinbarungen bis zum 25. Mai 2018 an die neuen Anforderungen angepasst werden müssen.

Auch die Einwilligung der Arbeitnehmer in die Verarbeitung bleibt möglich. Dabei ist sie grundsätzlich dann als freiwillig anzusehen, wenn der Arbeitnehmer einen wirtschaftlichen oder rechtlichen Vorteil erlangt oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen.

Beweislastumkehr

Die neuen Pflichten werden für die Unternehmen viel Arbeit bedeuten, wie z.B. die in Art. 5 Abs. 2 DSGVO enthaltene „Rechenschaftspflicht“. Unternehmen müssen danach die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten sowohl nach sämtlichen Vorgaben der DSGVO und des BDSG nachweisen.  Dadurch entsteht eine umfangreiche Dokumentationspflicht  und somit quasi eine Beweislastumkehr.

Fazit

Die Reform des Datenschutzrechts bringt einige neue Pflichten mit sich und erhöht die Anforderungen an den Datenschutz. Gerade für Unternehmen ist es wichtig, sich um die Umsetzung der neuen Regelungen zu bemühen. Angesichts der neuen Regelung zu der Höhe der Bußgelder und der Erweiterung der Haftung der Unternehmen werden die Haftungsrisiken erhöht und eine schnelle Anpassung ist geboten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.