info@steinundpartner.de
+49 241 510550
 Arbeitsrecht 01/2018
02.03.2018

Arbeitsrecht 01/2018

EU Datenschutz-Grundverordnung (DS-GVO) und Bundesdatenschutzgesetz n.F.

Überblick

Am 25.05.2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DS-GVO) unmittelbar geltendes Recht in allen EU-Mitgliedsstaaten. Ab diesem Zeitpunkt müssen die Mitgliedsstaaten die DS-GVO anwenden. Hierzu hat die Bundesrepublik Deutschland das bisherige BDSG durch ein neues Gesetz, das BDSG n.F. abgelöst. Das bestehende BDSG wurde in weiten Teilen überarbeitet und das BDSG n.F. tritt ebenfalls am 25.05.2018 in Kraft.

Nachstehend ein Überblick über die wichtigsten Folgen der ab dem 25.05.2018 geltenden Rechtslage:

 

1.
Die bisherige Datenverarbeitung und eventuell erklärte Einwilligungen bleiben unter der Anwendung des neuen Gesetzes nur gültig, wenn sie den neuen Anforderungen der DS-GVO entsprechen.

 

2.
Betroffen sind nahezu alle Unternehmen. Gem. Art. 1 Abs. 1 DS-GVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen. Damit sind nahezu alle Unternehmen erfasst, die sich der elektronischen Datenverarbeitung bedienen.

 

3.
Als „personenbezogene Daten“ gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung, zu einem oder mehreren besonderen Merkmalen, die Ausdruck der psychischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind, identifiziert werden kann.

 

4.
Unter „Verarbeitung“ versteht Art. 4 Nr. 2 DS-GVO jeden mit Hilfe oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgehensweise in Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, das Verwenden, die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder Vernichten. Verarbeitung betrifft somit jede Art des Umgangs mit personenbezogenen Daten.

 

5.
Es gilt ein Verbot mit Erlaubnisvorbehalt. Danach ist jede Verarbeitung personenbezogener Daten verboten, außer sie ist per Gesetz (etwa aus dem BDSG n.F., dem Telekommunikationsgesetz oder der DS-GVO) oder durch Einwilligung erlaubt.

 

6.
Die Anforderungen an die Verarbeitung sind in Art. 5 DS-GVO im Einzelnen aufgeführt.

Danach gilt:

 

7.
Unabhängig von dem Vorstehenden ist die Datenverarbeitung nach Art. 6 DS-GVO nur rechtmäßig, wenn mindestens eine der nachstehend genannten Bedingungen erfüllt ist:

 

8.
Art. 5 Abs. 2 DS-GVO statuiert die Verpflichtung, die Einhaltung der DS-GVO nachzuweisen. Hieraus folgen verstärkte Dokumentations- und Nachweispflichten. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgeabschätzungen sowie die Dokumentation von Datenschutzvorfällen. Das Verzeichnis kann schriftlich oder elektronisch geführt werden und muss alle Verarbeitungstätigkeiten mit personenbezogenen Daten ausweisen.

Arbeitgeber, die weniger als 250 Mitarbeiter beschäftigen, müssen kein Verzeichnis führen. Dies gilt aber wiederum dann nicht, wenn der Arbeitgeber bzw. der Auftragsverarbeiter Verarbeitung personenbezogener Daten durchführt,

 

9.
Die Informationspflichten gegenüber Betroffenen
(z.B. die Datenschutzerklärung) sind umfangreicher, die Verträge mit Dienstleistern zur Auftragsverarbeitung unterliegen strengeren Anforderungen; das Recht auf Datenportabilität sowie die Fristen für die Bearbeitung der Anträge zur Ausübung der Rechte der Betroffenen sind zu beachten. Daher sollte jederzeit der Nachweis über die Datenverarbeitungsprozesse geführt werden können.

 

10.
Verstöße gegen die datenschutzrechtlichen Vorschriften werden mit empfindlichen Strafen geahndet und zwar mit Bußgeldern bis zu 20. Mio. Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes.

 

11.
Kontrolliert wird die Einhaltung der neuen Vorschriften durch die Aufsichtsbehörden, die für die Erfüllung der Aufgaben zuständig sind. Jedes Bundesland hat insoweit eine eigene Datenschutzaufsichtsbehörde. Die Datenschutzbeauftragten der Bundesländer sind sowohl für den nicht-öffentlichen als auch für den öffentlichen Bereich insoweit zuständig (Ausnahme Bayern).

 

12.
Der für das Arbeitsverhältnis maßgebliche Beschäftigtendatenschutz ist nunmehr in § 26 BDSG n.F. normiert.

Das Verarbeiten personenbezogener Daten von Beschäftigten ist erlaubt, sofern dies für die Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses „erforderlich“ ist. Es darf nur so viel an personenbezogenen Daten der Beschäftigten gespeichert werden, wie für die Durchführung des Arbeitsverhältnisses notwendig ist.

Rechtsgrundlage für eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis bleibt letztlich die Einwilligung des Arbeitnehmers nach § 26 Abs. 2 BDSG. Aus diesem Grunde sehen die von uns entworfenen Musterarbeitsverträge auch eine entsprechend vorbereitete Einwilligungsklausel vor.

Aber auch die nicht automatisierte Verarbeitung von Beschäftigtendaten unterliegt den vorstehend beschriebenen Regelungen des § 26 BDSG. Hierunter fallen alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – egal, ob Papier gebunden oder auch nur die handschriftliche Notiz des Arbeitgebers.

 

13.
Neue Regeln zum Datenschutzbeauftragten enthält Art. 4 der DS-GVO sowie § 38 BDSG n.F.

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen. Dies ist nur dann der Fall, wenn

oder

oder

 

14.
Die Aufgaben des Datenschutzbeauftragten nach Art. 39 DS-GVO sind:

Der Arbeitgeber muss die Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO).

Der Datenschutzbeauftragte besitzt besonderen Kündigungsschutz. Danach ist die Abberufung nur entsprechend § 626 BGB – also bei Gründen, die eine außerordentliche Kündigung rechtfertigen – möglich.

 

Fazit:

Die Datenschutz-Grundverordnung und das neue BDSG bringen zahlreiche Änderungen mit sich, auf die sich Unternehmen einstellen müssen. Bei Verstößen drohen hohe Sanktionen. Unternehmen müssen sich daher mit den neuen Regelungen auseinandersetzen. Wir sind Ihnen gerne behilflich.

 

Rechtsanwalt Dr. jur. Wolfgang Leister
Fachanwalt für Arbeitsrecht

zur Übersicht

Cookie-Einstellung

Bitte treffen Sie eine Auswahl. Weitere Informationen zu den Auswirkungen Ihrer Auswahl finden Sie unter Hilfe. Datenschutz | Kontakt

Treffen Sie eine Auswahl um fortzufahren

Ihre Auswahl wurde gespeichert!

Weitere Informationen

Hilfe

Um fortfahren zu können, müssen Sie eine Cookie-Auswahl treffen. Nachfolgend erhalten Sie eine Erläuterung der verschiedenen Optionen und ihrer Bedeutung.

  • Alle Cookies zulassen:
    Jedes Cookie wie z.B. Tracking- und Analytische-Cookies.
  • Nur First-Party-Cookies zulassen:
    Nur Cookies von dieser Webseite.
  • Keine Cookies zulassen:
    Es werden keine Cookies gesetzt, es sei denn, es handelt sich um technisch notwendige Cookies. Borlabs Cookie hat bereits ein notwendiges Cookie gesetzt.

Sie können Ihre Cookie-Einstellung jederzeit hier ändern: Datenschutz. Kontakt

Zurück