Neue Datenschutzbestimmungen für Arbeitgeber ab 25.05.2018!

Die europäische Datenschutz-Grundverordnung und die in diesem Zuge novellierte Fassung des Bundesdatenschutzgesetzes (BDSG-neu) bringen entscheidende Veränderungen bei den Bestimmungen für den Beschäftigtendatenschutz. Arbeitgeber sollten sich dazu über die neuen Regelungen informieren und – sofern noch nicht erfolgt – dringend handeln.

Hier sind die wichtigsten Neuregelungen im Überblick:

  1. Geltung ab 25.05.2018
    Die Datenschutzgrundverordnung und das BDSG-neu sind ab 25.05.2018 anzuwenden. Die DSGVO ist in Deutschland unmittelbar geltendes Recht. Es gilt also nicht „nur“ das BDSG-neu.
  2. Verschärfung der Bußgeldandrohungen für Unternehmen
    Die Bußgelder bei Verletzung von Datenschutzbestimmungen wurden empfindlich verschärft. Sie können nun gemäß Datenschutzgrundverordnung maximal bis zu 20 Mio. EUR oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr ausmachen.
  3. Schadensersatzklagen und Beweislast
    Unternehmen können wie bisher auch, aber nunmehr unter erleichterten Bedingungen auf Schadensersatz und Entschädigung in Anspruch genommen werden. Sie müssen gem. Artikel 24 Abs. 1 DSGVO beweisen, dass sie beim Datenschutz alles richtig gemacht haben. Es gibt – zusätzlich zu den Klagemöglichkeiten von Einzelpersonen - ein Verbandsklagerecht.
  4. Datenverarbeitung aufgrund bestehender Einwilligungen
    Soweit die Datenverarbeitung im Unternehmen für Zwecke der Durchführung des Arbeitsverhältnisses erforderlich ist, bedarf es nach wie vor keiner Einwilligung des Arbeitnehmers. Allerdings sind die Grundsätze der Datensparsamkeit und der Verhältnismäßigkeit zu beachten. In Einzelfällen könnte also problematisch werden, ob die Verarbeitung bestimmter Daten wirklich erforderlich war. Es wird daher empfohlen, von den Arbeitnehmern entsprechende Einwilligungen für die Datenverarbeitung einzuholen. Bestehende Einwilligungen sollten daraufhin überprüft werden, ob sie den neuen gesetzlichen Anforderungen genügen. Bisherige Einwilligungen könnten lückenhaft sein.

    Insbesondere schreiben die neuen Regelungen vor, dass besondere Datenkategorien nur dann von der Einwilligung erfasst werden, wenn sich diese spezifisch auf diese Kategorien bezogen hat.
  5. Bestellung eines Datenschutzbeauftragten
    Da unter anderem aufgrund der Neuregelungen den von einer Datenverarbeitung Betroffenen die Person des Datenschutzbeauftragten benannt werden muss, ist dringend zu empfehlen, sofern noch nicht erfolgt, einen Datenschutzbeauftragten zu ernennen. Ein Datenschutzbeauftragter war bislang in jedem Unternehmen zu ernennen, in dem zehn oder mehr Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind. § 38 BDSG-neu und Art. 37 Abs. 1 DSGVO erweitern diese Pflicht nun auf weitere Unternehmen, deren Kernaufgaben in der Datenverarbeitung liegen.
  6. Betroffenenrechte
    Betroffenenrechte werden sich ab dem 25.05.2018 aus §§ 32 ff. BDSG-neu und Art. 13 DSGVO ergeben. Die gesetzlichen Regelungen sehen dann nicht nur Auskunftsrechte der Betroffenen vor, sondern sie müssen auch aktiv über Datenverarbeitungsvorgänge informiert werden.
  7. Angaben im Internet
    Unternehmen müssen auch prüfen, ob sie im Internet geänderte oder erweiterte Angaben zur Datenverarbeitung machen müssen.
  8. Geeignete Maßnahmen zur Umsetzung
    Gemäß § 26 Abs. 5 BDSG-neu müssen Unternehmen, die Daten verarbeiten, geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Grundsätze der Datenschutz-Grundverordnung eingehalten werden.
  9. Maßnahmen zur Datensicherheit
    Art. 32 DSGVO schreibt Maßnahmen zur Verarbeitungssicherheit vor. Unternehmen sollten sicherstellen, dass hinreichende Überlegungen zur Verschlüsselung, zum Passwortschutz, zur sonstigen Zugriffsberechtigung u. a. getroffen werden. Diese Maßnahmen sollten unbedingt dokumentiert werden.
  10. Verzeichnis der Verarbeitungstätigkeiten
    Art. 30 Abs. 1 DGSVO schreibt vor, dass jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führt. Dieses Verzeichnis muss sämtliche folgenden Angaben enthalten:
    - den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
    - die Zwecke der Verarbeitung;
    - eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
    - die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
    - gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
    - wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
    - wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  11. Auftragsdatenverarbeitung
    Art. 28 DSGVO schreibt vor, dass mit dem Auftragsdatenverarbeiter hinreichend vertragliche Abmachungen getroffen werden. Es werden ganz genaue Vorgaben für diese Verträge gemacht. Bestehende Verträge mit Auftragsdatenverarbeitern sollten daher unbedingt überprüft werden, ob sie dem neuen Rechtsstandard entsprechen.
Dr. Bert Howald
Rechtsanwalt
Fachanwalt für Arbeitsrecht

 

 

 

 

 

 

 

 

Zurück