Handlungsbedarf für Unternehmen: Das neue Datenschutzrecht
Ab dem 25. Mai 2018 regelt die europäische Datenschutzgrundverordnung (DS-GVO; Verordnung (EU) Nr. 2016/679) den Datenschutz auch für Unternehmen als unmittelbar geltendes Recht in der gesamten Europäischen Union neu. Aufgrund von bereichsspezifischen Öffnungsklauseln wird parallel hierzu ein vollständig neugefasstes Bundesdatenschutzgesetz (BDSG 2018) zum gleichen Datum in Kraft treten, welches als Ergänzung zur DS-GVO anzusehen ist.
Verstöße gegen die neuen Anforderungen des Datenschutzrechts können drastische Folgen für Unternehmen haben. Die möglichen Bußgelder werden von 300.000 Euro auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Konzernumsatzes erhöht.
Mit der datenschutzrechtlichen Novelle ergeben sich u.a. folgende Neuerungen:
1. Rechenschaftspflicht für ordnungsgemäßen Datenumgang
Artikel 22 DS-GVO regelt die Rechenschaftspflicht für den Umgang mit personenbezogenen Daten. Danach müssen auch Unternehmen je nach Art der Daten „geeignete technische und organisatorische Maßnahmen“ zur Überwachung des rechtskonformen Datenumgangs ergreifen. Dadurch soll sichergestellt werden, dass personenbezogene Daten in Übereinstimmung mit den neuen datenschutzrechtlichen Regelungen verarbeitet werden. Diese neuen Rechenschaftspflichten bringen möglicherweise auch haftungsrechtliche Konsequenzen mit sich:
Derzeit muss ein Betroffener vor Gericht selbst den Nachweis dafür erbringen, dass das Unternehmen oder die Behörde als verantwortliche Stelle für eine fehlerhafte Verarbeitung von Daten haftbar ist. Diese Pflicht obliegt nach dem neuen Artikel 22 DS-GVO der datenverarbeitenden Stelle und muss durch Dokumente belegt werden können. Die DS-GVO stellt Methoden bereit, um die Einhaltung dieser Rechenschaftspflichten zu vereinfachen – insbesondere Zertifizierungsverfahren oder genehmigte Verhaltensregeln. In Zukunft werden Unternehmen folglich mehr von Zertifizierungen nach datenschutzrechtlichen Anforderungen Gebrauch machen müssen, um die Einhaltung der Pflichten nach außen besser dokumentieren zu können.
2. Verschärfte Anforderungen an Arbeitgeber
Der Beschäftigtendatenschutz in § 26 BDSG 2018 wird u.a. explizit auf Leiharbeiter, Heimarbeiter sowie Auszubildende erweitert. Neu ist die ausdrückliche Regelung zur Einwilligung in die Verarbeitung personenbezogener Daten von Beschäftigten im Beschäftigungsverhältnis. Hierbei muss der Arbeitgeber sicherstellen, dass sie trotz des Abhängigkeitsverhältnisses freiwillig abgegeben wird. Dies kann insbesondere dann der Fall sein, wenn dem Arbeitnehmer durch die Einwilligung ein Vorteil entsteht oder die Interessen der Parteien gleichgelagert sind.
In formaler Hinsicht empfiehlt sich eine schriftliche Einwilligungserklärung. Zuvor muss der Arbeitgeber den Beschäftigten aber umfangreich informiert haben, ihm die Zwecke der Verarbeitung klar benennen und über das Widerrufsrecht informieren. Auch hier empfiehlt sich eine geeignete Dokumentation.
3. Betroffenenrechte
Im Rahmen der sogenannten Betroffenenrechte erlegt die DS-GVO den Verantwortlichen bei der Datenverarbeitung zahlreiche Informationspflichten auf (Art. 12, 13 DS GVO). Die Betroffenenrechte gegenüber dem Verantwortlichen werden dagegen gestärkt (Auskunft, Löschung und Berichtigung sowie Widerspruch, Art. 15 bis 22 DS-GVO), wobei Ausnahmen zugunsten des Verantwortlichen in den §§ 32 bis 37 BDSG 2018 enthalten sind. So regelt beispielsweise § 33 BDSG 2018 eine Ausnahme von der Pflicht zur Erteilung der Information, wenn diese Information die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde.
4. Bestellung des Datenschutzbeauftragten
Unternehmen sind verpflichtet einen Datenschutzbeauftragten zu bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Eine ebensolche Verpflichtung gilt nunmehr auch unabhängig von der beschäftigten Personenzahl, wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO vorgenommen werden muss (§ 38 BDSG-neu). Eine solche Datenschutz-Folgenabschätzung ist insbesondere bei Datenverarbeitungsvorgängen notwendig, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern. Gleiches gilt, wenn in großem Umfang persönliche Daten von besonderen Kategorien (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtliche relevante Daten, wie z.B. Daten über gerichtliche Verurteilungen und Straftaten, verarbeitet werden.
Um den zahlreichen neuen Anforderungen mit dem Inkrafttreten des neuen Datenschutzrechts gerecht zu werden, empfiehlt es sich, die betriebsinternen Abläufe und Prozesse im Unternehmen rechtzeitig einer datenschutzrechtlichen Bewertung zu unterziehen. Hier kann die Implementierung eines entsprechenden Managementsystems mit anschließender Zertifizierung ein geeignetes Tool sein. Abschließend kann ein entsprechender Nachweis der datenschutzrechtlichen Compliance durch die Verleihung des Prüfsiegels DATA-Compliance erbracht werden, dass nach erfolgreicher Absolvierung eines Datenschutzaudits durch Zertifizierer des ESC Cert GmbH verliehen wird.
Gerne beantworten wir Ihre Fragen zum neuen Datenschutzrecht bzw. zur datenschutzrechtlichen Zertifizierung nach dem Datenschutzsiegel DATA-Compliance.
Mit freundlichen Grüßen
Stefanie Schönfeld
Assessor jur.
Tel.: +49 40 / 360 066 543
E-Mail: schoenfeld@dr-poppe-rae.de