Einführung einer neuen EU-Datenschutz-Grundverordnung (DS-GV)
Nach langjährigen Verhandlungen haben sich die in der EU zuständigen Institutionen auf ein einheitliches Datenschutzgesetz, die Datenschutz-Grundverordnung (DS-GV) verständigt. Diese ist am 25.5.2016 in Kraft getreten – sie wird nach Ablauf einer Übergangszeit von zwei Jahren ab 25.5.2018 für alle EU-Mitgliedstaaten unmittelbar verbindlich. Zu beachten ist insbesondere, dass Verstöße gegen die DS-GV erhebliche Sanktionen nach sich ziehen können. Es drohen Bußgelder bis zu 20 Mio EUR bzw. bis zu 4% des gruppenweiten Jahresumsatzes – der höhere Betrag ist maßgeblich. Daher ergibt sich für die betriebliche Praxis dringender Handlungsbedarf. Der Artikel soll insoweit einen ersten Überblick über Handlungsbedarf und etwaige Konsequenzen verschaffen.
Die neue DS-GV ersetzt die bisher geltende EU-Datenschutzrichtlinie 95/46/EG und stellt mit insgesamt 99 Artikeln und 173 Erwägungsgründen ein komplexes Regelwerk dar. Nationale Sonderregelungen sind aufgrund von vereinzelten Öffnungsklauseln in der DS-GV zusätzlich denkbar. Ziel der DS-GV ist die Vereinheitlichung des europäischen Datenschutzrechts. Dies wird dadurch erreicht, dass die DS-GV unmittelbare Wirksamkeit in allen EU-Staaten entfaltet. Sie muss nicht mehr von den einzelnen Staaten in nationales Recht umgesetzt werden. Ihre zwingende Geltung erlangt sie nach Auslaufen der Übergangsregelung mit Wirkung zum 25.5.2018 (Art. 4 Nr. 2 DS-GV).
Die DS-GV betrifft alle Unternehmen mit Sitz in der EU, die personenbezogenen Daten (insbesondere Mitarbeiter- und/oder Kundendaten etc.) verarbeiten. Daher ist bereits jedes Unternehmen betroffen, dass z.B. ein Personaldatensystem oder ein CRM-System nutzt.
Eine grundsätzliche Pflicht zur Bestellung eines Datenschutzbeauftragten sieht die DS-GV nicht vor, dies kann aber bereits, wie z.B. in Deutschland, durch nationale Regelungen verpflichtend sein (In Deutschland müssen Unternehmen einen Datenschutzbeauftragten bestellen, wenn sie personenbezogenen Daten automatisiert verarbeiten und mindestens zehn Arbeitnehmer damit ständig beschäftigen (§ 4f Abs. 1 Satz 1 und 4 BDSG)).
Neben etwaigen nationalen Regelungen müssen Unternehmen in der Praxis die allgemeinen Regeln der DS-GV zum Beschäftigtendatenschutz beachten, die auch auf Arbeitsverhältnisse anwendbar sein werden. Die DS-GV ist als Verbot mit Erlaubnisvorbehalt aufgebaut. Die Verarbeitung von personenbezogenen Daten ist somit nur zulässig wenn einer der folgenden Erlaubnistatbeständige anwendbar sind:
- die Einwilligung, die Datenverarbeitung zur Durchführung/Erfüllung eines Vertrags die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung die Datenverarbeitung zum Schutz lebenswichtiger Interessen, die Datenverarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, die Datenverarbeitung zur Wahrung berechtigter Interessen.
Im Arbeitnehmerbereich ist insbesondere der Ausnahmetatbestand der Einwilligung zu beachten. In der Praxis sollte genau geprüft werden, ob bisher verwendete Muster oder Formulare auch den Vorgaben der neuen DS-GV genügen.
Außerdem treffen die Unternehmen diverse weitere Pflichten, z.B.:
- die im Unternehmen für die Datenverarbeitung verantwortlichen Personen haben die Pflicht, den Datenschutz gewährleistende Technik bereitzustellen Sie müssen Dokumentationspflichten erfüllten – Dokumentationen sind für Aufsichtsbehörden bereitzuhalten die Auftragsdatenverarbeitung muss bestimmten Vorgaben gem. Art. 28 DS-GV entsprechen
Bei Verstößen ist ein Bußgeld von bis zu 20 Mio EUR oder bis zu 4% des gruppenweiten Jahresumsatzes möglich – es gilt der höhere Betrag. Dies stellt eine erhebliche Verschärfung des bisher in Deutschland geltenden Sanktionsspielraums dar. Nach dem BDSG waren lediglich Bußgelder bis maximal 300.000 EUR möglich. Daher ergibt sich für die betriebliche Praxis dringender Handlungsbedarf. Es ist empfehlenswert sich frühzeitig mit dem komplexen Vorschriften der DS-GV vertraut zu machen und den individuellen Handlungsbedarf im Unternehmen festzustellen sowie die Umsetzung zu planen.