DS-GVO

Die Datenschutzgrundverordnung im Überblick

Während das BDSG auf Basis des “Volkszählungsurteils” von 1983 und damit auf dem damals vom Bundesverfassungsgericht festgestellten “Recht auf informationelle Selbstbestimmung” gründete und somit mittelbar auf Artikel 1 und 2 der Verfassung, bezieht sich die DS-GVO direkt auf Artikel 8 der europäischen Grundrechtecharta: Hier ist der Datenschutz explizit als Grundrecht aufgeführt.

Für alle, die entsprechende Argumentationen bislang nicht nachvollziehen wollten ist damit eindeutig klargestellt:

Datenschutz ist ein europäisches Grundrecht!

Aufgrund der neuen Verortung des Datenschutzes auf europäischer Ebene ergeben sich auch Änderungen für den nationalen Datenschutz, denn: Zuerst gilt europäisches Recht, dann erst nationales (sog. Subsidiaritätsprinzip). Daraus folgt, dass die neuen Datenschutzregelungen sich auch auf nationale Gesetze abseits des Datenschutzes auswirken.

Der steigenden Wichtigkeit des Themas wurde damit deutlich Rechnung getragen. Eine Entwicklung die sich auch in einer empfindlichen Erhöhung der Bußgelder auswirkt: Bußgelder im sechsstelligen Bereich und darüber sind auch in Deutschland keine Ausnahme mehr und wurden in 2019 bereits verhängt.

Die folgenden Seiten erklären die Belange der DS-GVO etwas genauer.

Die DS-GVO beinhaltet in Art. 88 eine Öffnungsklausel für “Kollektivvereinbarungen” unter die auch die Betriebsvereinbarungen gemäß BetrVG fallen. Da europäisches Recht dem nationalen Recht vorgeht, ist § 75 BetrVG in Bezug auf die DS-GVO auszulegen. Dementsprechend müssen Betriebsvereinbarungen die DS-GVO berücksichtigen. Die entsprechende Öffnungsklausel zielt dabei auf “spezifischere” Regelungen ab, was bedeutet, dass die Regelungen der DS-GVO nicht unterschritten werden dürfen. Wichtig sind für Betriebsvereinbarungen daher in Zukunft die Datenschutzgrundsätze (Art. 5 DS-GVO), die Abwägung gegen die Interessen der Betroffenen (Art. 6 Abs. 1 lit. f DS-GVO) und die Transparenz der Verarbeitung (Art. 88 Abs. 2 DS-GVO) vor allem in Bezug auf Art. 12 DS-GVO.

Es besteht also Handlungsbedarf für den Betriebsrat, die aktuellen BVs müssen angepasst werden. Und zwar auch unter Berücksichtigung der folgenden Punkte:

  • Auskunftsrechte der Betroffenen
  • Informationspflicht bei Erhebung von Daten
  • Recht auf Berichtigung, Löschung, Sperrung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • die Rechte im Bezug auf Profilingmaßnahmen

Es müssen also – im Gegensatz zu bisher – die Inhalte der Artikel 12 – 19 und 21 DS-GVO in den BVs angesprochen werden, da diese ansonsten dem Transparenzgebot der DS-GVO (Art. 88) nicht genügen.

Nicht zeitgleich mit der DS-GVO, sondern vermutlich erst im Laufe des Jahres 2021, wird die neue ePrivacy-Verordnung in Kraft treten. Diese rangiert noch über der DS-GVO, muss also zuerst beachtet werden.

Geregelt werden in der ePrivacy Verordnung unter anderem die Behandlung von Cookies sowie die Verwendung von personenbezogenen Daten zu Marketing Zwecken. Da diese Verordnung – als europäisches Recht – dem nationalen Recht vorgeht, sind auch hier alte nationale Regelungen, beispielsweise aus dem UWG, von Änderungen betroffen.

Artikel 5 der DS-GVO definiert im Absatz 1 die Grundsätze des europäischen Datenschutzes. Diese sind:

  • Rechtmäßigkeit
  • Transparenz
  • Treu und Glauben
  • Zweckverbindung
  • Datenminimierung
  • Speicherbegrenzungsintegrität und Vertraulichkeit durch angessene Sicherheit

Insbesondere in den Punkten Treu und Glauben, Speicherbegrenzung und Sicherheit ergeben sich deutliche Unterschiede zu bislang geltendem Recht. Da Verstöße gegen diese Grundsätze mit Geldbußen bis 20.000.000 € bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des Vorjahres belegt werden können, ist auf diese Änderungen ein besonderes Augenmerk zu legen.

Die DS-GVO verfügt an unterschiedlichen Stellen über Öffnungsklauseln. Diese erlauben den einzelnen Mitgliedstaaten, die entsprechenden Stellen mit eigenem Recht zu füllen, solange dadurch das Schutzniveau der DS-GVO nicht unterschritten wird. In Deutschland werden diese Öffnungsklauseln durch zahlreiche Gesetze genutzt, das BDSG ist nur eines davon.

Im Gegensatz zu der Vorabprüfung des BDSG sieht die DS-GVO (Art. 35 Abs. 1) eine Datenschutz-Folgenabschätzung durchführen, wenn

  • die Form der Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat,
  • insbesondere wenn dabei neue Technologien Verwendung finden.

Nach der bisherigen Auslegung der Richtlinie wird in folgenden Fällen ein besonderes Risiko angenommen: Bei

  • besonders schützenswerten Daten (Daten über Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln, ungünstige verwaltungsrechtliche Entscheidungen, biometrische Daten, Daten über Minderjährige, sonstige vertrauliche oder einem Amtsgeheimnis unterliegenden Verfahren),
  • besonders intensiven Datenverarbeitungen (umfangreiche Verknüpfungsmöglichkeiten, erschwerte Wahrnehmung von Betroffenenrechten, weitreichender Verwendungszweck),
  • großer Gefahr einer unzulässigen Datenverarbeitung (Vielzahl Zugriffsberechtigter etc.),
  • besonders tiefgreifenden Auswirkungen einer Datenverarbeitung

Nach Artikel 35 Abs. 2 der DS-GVO ist eine Datenschutz-Folgenabschätzung in den folgenden Fällen vorzunehmen: Bei

  • einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
  • einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • systematischer, umfangreicher Überwachung öffentlich zugänglicher Bereiche