open search
close
Arbeitsrecht 4.0 Compliance Datenschutz

Die EU-Datenschutz-GrundVO kommt – sind Sie bereit?

Print Friendly, PDF & Email
EU-Datenschutz-GrundVO

Fast fünf Jahre sind seit dem ersten Vorschlag der damaligen EU-Kommissarin Reding für eine neue europäische Datenschutzgrundverordnung (EU-DSGVO) ins Land gegangen. Mit dieser sollte ein europaweit vereinheitlichtes und „zeitgemäßeres“ Datenschutzrecht geschaffen werden. Nunmehr steht die endgültige Ratifizierung des Verordnungsentwurfs unmittelbar bevor – doch bei weitem nicht alle Unternehmen sind sich der teilweise weitreichenden Änderungen bewusst, die voraussichtlich bereits schon ab dem 1. Halbjahr 2018 gelten werden. Wir machen Sie vertraut mit den wichtigsten Änderungen.

Datenschutz als HR-Thema?

Hierbei sollte zuerst der Tendenz vorgebeugt werden, Datenschutzthemen als wenig attraktiv und/oder praxisrelevant in den Hintergrund zu schieben. Der Zeitraum bis zum Inkrafttreten der DS-GVO ist mit zwei Jahren knapp bemessen, betrachtet man die Vielzahl an Änderungen. Die meisten Unternehmen werden ihre datenschutzrechtlichen Einwilligungserklärungen und Betriebsvereinbarungen vollständig (!) auf den Prüfstand stellen müssen – von der IT-Rahmenregelung im weltweit agierenden Konzern bis hin zur Einwilligungserklärung, die als „Annex“ zum Arbeitsvertrag häufig mit vereinbart wird. Hierfür werden personelle Kapazitäten und Sachmittel benötigt, die jetzt – mangels Visibilität des Themas – in den meisten Fällen noch nicht einmal im Budget vorgesehen sein dürften. Unsere Empfehlung daher: Gehen Sie das Thema proaktiv im Unternehmen an, leisten Sie Überzeugungsarbeit bei den Budgetverantwortlichen, und sorgen Sie dafür, dass Sie eine Arbeitsgrundlage zur Anpassung aller maßgeblichen Regelungen bis 2018 haben.

Wann gilt die EU-DSGVO, wann das BDSG?

Herausfordernder als bisher wird sich in jedem Fall die Suche nach einer tauglichen Rechtsgrundlage für die Datenerhebung, -verarbeitung und –nutzung darstellen. Die EU-DSGVO gilt als Primärrecht unmittelbar in den Mitgliedsstaaten (Art. 288 Abs. 2 AEUV) und verdrängt als solche sowohl das BDSG als auch bereichsspezifische Regelungen innerhalb ihres Anwendungsbereiches. Mit anderen Worten: Das BDSG gilt nur noch dort, wo die EU-DSGVO dies durch Öffnungsklauseln zulässt


Welche Änderungen stehen auf dem Plan?

Die EU-DSGVO bringt insbesondere Änderungen zu den folgenden Punkten:

  • Anwendungsbereich: Die EU-DSGVO gilt auch für Verantwortliche Stellen aus Nicht-EU Ländern (Drittstaaten), die Waren oder Dienstleistungen an EU Bürger anbieten oder deren Verhalten überwachen.
  • Neue Anforderungen an die Einwilligung: Die Einwilligung bleibt aus EU-Sicht im Arbeitsverhältnis weiter möglich, muss aber durch eine eindeutige Handlung unmissverständlich bekundet werden („clear affirmative action“) und ist jederzeit widerruflich.
  • Weiterhin möglich bleibt die Einwilligung auf Grundlage einer Kollektivvereinbarung, was den Weg für Betriebsvereinbarungen als Eingriffsgrundlage offen hält (vgl. auch Erwägungsgrund 155 der EU-DSGVO). Um eine wirksame Rechtsgrundlage darstellen zu können, müssen Betriebsvereinbarungen jedoch
    • die Grenzen der DSGVO beachten,
    • klar machen, dass ein datenschutzrechtlicher Ausnahmetatbestand geschaffen werden soll (Empfehlung: Aufnehmung in die Präambel),
    • genaue und transparente Beschreibungen der Datenverarbeitung enthalten,
    • geeignete Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundrechte der betroffenen Personen beinhalten (Empfehlung: auch hier sollte eine entsprechende Formulierung in der Präambel oder an anderer geeigneter Stelle aufgenommen werden),
    • die Rechte der Betroffenen sowie die Pflichten des für die Verarbeitung Verantwortlichen (Arbeitgeber / Auftragsdatenverarbeiter) benennen und schließlich
    • mögliche Zweckänderungen der erhobenen Daten voraussehen und in der Betriebsvereinbarung selbst abbilden.
  • Neues Verfahren der Datenschutz-Folgenabschätzung und vorherige Konsultation – administrativ aufwendig, langwierig und bürokratisch.
  • Accountability – Verankerung des Datenschutzrechts in der Unternehmensorganisation durch Anweisungen, Dokumentation, Assessments, Prozessanpassungen u.v.m.
  • Rechte der Betroffenen auf „Vergessenwerden“ und Datenübertragbarkeit – auch hier drohen enorme administrative Herausforderungen.
  • Sanktionen: Bei Verstößen drohen massiv höhere Bußgeldrahmen als bisher. Vorgesehen sind gestaffelte Bußgelder von bis zu EUR 20 Mio. (!) oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nach dem was höher ist (!). Selbst leichte Verstöße können schon mit 2% des Jahresumsatzes sanktioniert werden.
  • Cybersicherheit: Ausführliche Regelungen zur Datensicherheit; insbesondere auch Pflicht zum Data breach reporting (derzeit nur geltend in wenigen Mitgliedsstaaten, vgl. § 42a BDSG), spätestens innerhalb von 72 Stunden ab Kenntnis.

Wie ist der weitere Ablauf – ab wann gilt die EU-DSGVO?

Während eine finale, offizielle deutsche Übersetzung noch aussteht, zeichnet die letzte Fassung des Rates vom 8. April 2016 bereits ein klares Bild der zu erwartenden Änderungen. Die Verordnung ist am 14. April – früher als erwartet – durch das EU-Parlament beschlossen worden. Sie tritt 20 Tage nach Veröffentlichung im EU-Amtsblatt in Kraft und kommt nach weiteren 24 Monaten zur Anwendung (Art. 99  des Entwurfes der EU-DSGVO). Es ist daher mit einer unmittelbaren Geltung der EU-DSGVO schon ab dem 1. Halbjahr 2018 zu rechnen.

Welche konkreten Prüfungsschritte sollten Sie in Ihrem Unternehmen einleiten?

Am Anfang jeder Anpassung wird eine Analyse des IST-Standes erfolgen müssen – welche Rechtsgrundlagen zur datenschutzrechtlichen Einwilligung werden bereits jetzt verwendet? Sind diese alle noch gültig, oder ggf. in Teilen schon überholt? Häufig genug schlummern hier noch Risiken.

Sodann sollte gemeinsam mit der Fachseite geprüft werden, wo – auf Grundlage des bisherigen Geschäftsmodells sowie bereits bekannter Zukunftsplanungen – Datenverarbeitungen erforderlich sein werden. Hier sollte eine Risikoanalyse erfolgen, bei der die Umsätze des Unternehmens in den einzelnen Geschäftsbereichen den potentiellen Bußgeldern gegenübergestellt werden sollten.

Schließlich sollte in all den Bereichen, in denen Bedarf identifiziert worden ist, ein Abgleich der Anforderungen der EU-DSGVO mit den bestehenden Regelungen erfolgen, um die konkret nötigen Änderungen zu identifizieren.

Damit verbleibt „nur noch“ die eigentliche Arbeit: Sie sollten Verantwortlichkeiten im Unternehmen definieren, alle maßgeblichen Entscheider einbeziehen, eine konkrete Aufgabenplanung mit Meilensteinen erstellen – wann soll welche Vereinbarung angepasst sein? – und baldmöglichst starten. 2018 ist schließlich nicht so fern, wie es den Anschein hat.

Dr. Till Heimann

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Till Heimann berät Arbeitgeber mit Fokus auf Unter­neh­mens­trans­ak­tio­nen (mit anschlie­ßen­der Integration), Umstruk­tu­rie­run­gen auf Unter­neh­mens- und Betriebsebene und Har­mo­ni­sie­rung von Arbeits­be­din­gun­gen. Besondere Expertise besitzt Till Heimann darüber hinaus hinsichtlich der Beratung zu regulierter Vergütung (Banken/Kapitalanlagegesellschaften u.A. Institute), von Unternehmen der Technologiebranche sowie von Startups. Er besitzt langjährige Erfahrung in der Steuerung inter­na­tio­na­ler Projekte. Er ist Mitglied der Fokusgruppe "ESG".
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert