30
Nov
2016
Europa

Anhörung vor dem EP-Rechtsausschuss zur Reform des europäischen Urheberrechts

Die Reform des europäischen Urheberrechts nimmt langsam Gestalt an. So fand am 29. November 2016 eine öffentliche Anhörung vor dem Rechtsausschuss des Europäischen Parlaments (JURI) statt. Es ging um ein wahrlich „heißes Eisen“, die geplante Kontrollpflichten für Service Provider. Außerdem fasste der Ausschuss seinen Beschluss zur Verordnung zur grenzübergreifenden Portabilität von Online-Inhalten. All dies steht im größeren Kontext der Strategie der Europäischen Kommission für einen digitalen Binnenmarkt, in deren Rahmen bislang fünf Entwürfe für Richtlinien und Verordnungen veröffentlicht wurden, die nun allesamt den Gesetzgebungsprozess durchlaufen (vgl. auch unseren Blogbeitrag). » Lesen Sie mehr

27
Nov
2016
Starttaste Computer
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Projektplanung zur Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO)

Erfahrungsberichte aus laufenden Projekten / Möglichkeit zum Erfahrungsaustausch

Am 14. Dezember 2016 laden wir unsere Mandanten und Vertreter anderer interessierter Unternehmen ab 18 Uhr zu unserem nächsten Workshop zu EU-Datenschutz-Grundverordnung (DSGVO) ein. Wir schildern dabei Erfahrungen aus laufenden DSGVO-Implementierungsprojekten und zeigen Ansätze und Vorgehensweisen, die sich in der Praxis als zweckmäßig erwiesen haben. Im Anschluss haben Sie die Gelegenheit, Erfahrungen mit Vertretern anderer Unternehmen in lockerer Runde auszutauschen.

Projektplanung von DSGVO-Umsetzungsprojekten

Ein Schwerpunkt des interaktiven Workshops liegt dabei auf der Projektplanung und -steuerung solcher Umsetzungsprojekte. Wir zeigen wesentliche Projektschritte, aber auch typische Fehler und wie man diese vermeidet. Gerade die erfolgreiche Kommunikation mit dem Vorstand entscheidet oft über Erfolg und Misserfolg der effektiven und risikobasierten Umsetzung der Vorgaben der DSGVO in Konzernen und Unternehmen. Wir geben Hilfestellungen dabei, die Unternehmensführung von der Notwendigkeit der Einführung oder Anpassung eines den Vorgaben der DSGVO entsprechenden Datenschutz Management Systems zu überzeugen. Auch die frühzeitige und strategisch gut vorbereitete Information und Einbindung betroffener Unternehmensbereiche ist ein wichtiger Faktor bei der Umsetzung des neuen EU-Datenschutzes. Ferner müssen Projektteams auch frühzeitig an die Kommunikation mit der Belegschaft und mit Betriebsräten denken. Gerade das Verhandeln neuer Betriebsvereinbarungen, die den Vorgaben der DSGVO entsprechen, ist zeitintensiv und muss gut vorbereitet sein. Auch hier zeigen wir anhand von Beispielen, welche Strategien sich als praxisgerecht erwiesen haben.

Erfahrungsaustausch mit anderen Kollegen

Ebenso wichtig wie der interaktive Erfahrungsbericht ist uns der anschließende Erfahrungsaustausch mit Datenschutz-Verantwortlichen aus anderen Unternehmen. Sie haben hierbei die Möglichkeit, eigene Ansätze mit Kollegen zu teilen, aber auch von deren Erfahrungen zu profitieren. Dabei stehen der kollegiale Austausch und das Erarbeiten von “Best Practices” ebenso im Vordergrund wie die Definition gemeinsamer Standards.

Erfahrungsbericht Boston Consulting Group

Auch Experten der Boston Consulting Group (BCG) schildern ihre Erfahrungen bei der Implementierung der Vorgaben der DSGVO. BCG ist eine weltweit führende Top-Managementberatung und hilft Kunden dabei die Veränderungen im Regulatorischen Umfeld gesamthaft zu analysieren. Die DSGVO stellt das Management vieler Unternehmen vor große Herausforderungen, beispielweise im Rahmen der Digitalisierungsstrategie. BCG beschreibt dabei auch die Sicht vieler Vorstände auf Datenschutzfragen und gibt Empfehlungen, um das Management von der Notwendigkeit eines umfassenden Transformationsprozesses in Bezug auf die DSGVO zu überzeugen.

Wo: Untermainanlage 1, 60329 Frankfurt am Main.

Wann: 14.12.2016, 18 Uhr bis 20 Uhr mit anschließendem
Get-together

Wer: Datenschutzbeauftragte, Bereichsleiter Datenschutz, Projektmanager von DSGVO-Projekten.

Die Anzahl der Teilnehmer ist begrenzt. Gehen mehr Anmeldungen als freie Plätze ein, werden Mandanten der Sozietät bevorzugt. Eine zeitnahe Anmeldung ist zweckmäßig, die freien Plätze waren bei ähnlichen Veranstaltungen in der Vergangenheit schnell belegt.
Bitte richten Sie Ihre Anmeldung an Frau Betina Schreiber unter betina.schreiber@hoganlovells.com.

 

 

25
Nov
2016
Figuren

Endgültig beschlossen: AÜG-Reform kommt zum 1.4.2017

Nach fast zwei Jahren ist das von Bundesarbeitsministerin Andrea Nahles angestoßene Gesetzgebungsverfahren zur Änderung des Arbeitnehmerüberlassungsgesetzes (AÜG) nun beendet. Am heutigen 25. November 2016 hat der Deutsche Bundesrat die Gesetzesnovelle endgültig beschlossen. Ab dem 1. April 2017 gilt damit eine Vielzahl von Neuregelungen für den Einsatz von Fremdpersonal in Unternehmen. » Lesen Sie mehr

24
Nov
2016
Big Data

BGH: Keine Verpflichtung zur Änderung des WLAN-Schlüssels eines neuen Routers

 

Wann haftet der Betreiber eines WLAN-Netzes als Störer? Diese Frage beschäftigt die Gerichte bereits seit geraumer Zeit. Immer wieder stehen neue Aspekte des drahtlosen Internetzugangs zur Entscheidung an. Mit Urteil vom heutigen Tage hat der Bundesgerichtshof (BGH) einen weiteren Mosaikstein zu den rechtlichen Grundlagen der sogenannten Störerhaftung hinzugefügt. Gegenstand des Verfahrens war dieses Mal die Frage, ob Privatpersonen für Urheberrechtsverletzungen haften, die Dritte in unberechtigter Nutzung des privaten WLANs begangen haben, wenn das herstellerseitige WLAN-Passworts beibehalten wurde. Im Ergebnis verneinen die Karlsruher Richter in einer solchen Konstellation eine Stöerhaftung (BGH, Urteil vom 24. November 2016, Az.: I ZR 220/15 – WLAN-Schlüssel). » Lesen Sie mehr

23
Nov
2016
Starttaste Computer
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EU-Datenschutz-Grundverordnung: Überblick über den neuen Gesetzentwurf zur DSGVO

Gesetzentwurf zum neuen Bundesdatenschutzgesetz (BDSG) abrufbar – Erster Überblick über geplante Regelungen

Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt. Das Gesetz soll “Datenschutz-Anpassungs- und Umsetzungsgesetz EU” (DSAnpUG-EU) heißen. Kernstück des ersten vorgelegten Entwurfs war ein “Allgemeines Bundesdatenschutzgesetz” (ABDSG). Das ABDSG sollte eine Anpassung des deutschen Rechts an die Vorgaben der DSGVO sicherstellen. Zudem soll es die in der DSGVO vorgesehenen Öffnungsklauseln möglichst weitgehend nutzen. Dieser Entwurf war Gegenstand teilweise massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Nähere Einzelheiten hierzu sowie ausführliche Stellungnahmen finden Sie hier.

Ein entsprechendes Interview aus der Zeitschrift für Datenschutz (ZD) mit dem Berichterstatter der DSGVO im Europaparlament und Hogan Lovells-Partner Tim Wybitul können Sie hier mit freundlicher Genehmigung des Verlag C.H. Beck abrufen.

Ein erster Überblick über den  neuen BDSG-Entwurf

Nun hat die Deutsche Vereinigung für Datenschutz e.V. (DVD) eine neue Entwurfsfassung vom 11.11.2016 geleakt. Die wichtigsten Änderungen sollen nun in einem neu gefassten Bundesdatenschutzgesetz geregelt werden. Dessen Entwurf können sie hier online abrufen. Bereits beim ersten Durchlesen fällt auf, dass der Entwurf viele Kritikpunkte nicht berücksichtigt. Nachstehend finden Sie einige für Unternehmen besonders relevante erste Eckdaten des Referentenentwurfs für ein BDSG:

  • Struktur und Klarheit: Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich. Erwägungsgrund 8 der DSGVO stellt hierzu allerdings recht hohe Anforderungen auf: “Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.” Insgesamt dürfte zweifelhaft sein, ob der BDSG-E die Kohärenz wahrt. Noch mehr Zweifel dürften bestehen, ob das geplante deutsche Gesetz “die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher” macht.
  • Begriffsbestimmungen: In § 2 BDSG-E sind eine Reihe gesetzlicher Begriffsbestimmungen aus Art. 4 DSGVO wiedergegeben. Diese Regelung dürfte im Hinblick auf das vom EuGH aufgestellte Wiederholungsgebot problematisch sein.
  • Datenschutz am Arbeitsplatz: § 24 BDSG-E regelt den künftigen Beschäftigendatenschutz. Die Vorschrift entspricht weitgehend dem bisherigen § 32 BDSG. Hier stellt sich die Frage, ob diese Regelung den Anforderungen des Art. 88 Abs. 2 DSGVO entspricht. Einen ausgesprochen gelungenen Überblick zu dieser Frage gibt Kort, Die Zukunft des deutschen Beschäftigtendatenschutzes, ZD 2016, 555 ff. Zudem enthält § 24 Abs. 3 DSGVO eine gesetzliche Definition des Begriffs des Beschäftigten.
  • Sonderregelungen: Der Entwurf sieht Spezialregelungen für Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken vor (§ 25 BDSG-E), für Geheimhaltungspflichten unterliegenden Daten (§ 26 BDSG-E), für Übermittlungen an Auskunfteien (§ 27 BDSG-E), für Scorings (§ 28 BDSG-E), für Verbraucherkredite (§ 29 BDSG-E)
  • Informationspflichten: § 30 und § 31 BDSG-E sollen die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Insbesondere sollen Untersichtungspflichten nach Art. 13 DSGVO entfallen, sofern dies “einen unverhältnismäßigen Aufwand erfordern würde” oder “voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss“. Ausweislich der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden. Es dürfte ausgesprochen interessant werden, ob Fachliteratur (und später ggf. einmal die Gerichte) dies als EU-rechtlich zulässig bewerten werden.
  • Einschränkung sonstiger Betroffenenrechte: Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 14 ff. DSGVO weiter ein.
  • Datenschutzbeauftragte: § 36 BDSG-E sieht vor, dass Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Regelung ist zweckmäßig und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
  • Bußgelder: § 40 BDSG-E  sieht eine Obergrenze von EUR 300.000 vor, wenn jemand “in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter” einen der in Art. 83 Abs. 4, 5 oder Abs. 6 DSGVO genannten Verstöße begeht. Auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder “wirksam und abschreckend” sein müssen. Zudem hilft die Regelung Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn dann sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für das ja die hohen, am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten D&O-Versicherungen normalerweise nicht ein, da diese Versicherungen vorsätzliche Taten zumeist nicht abdecken.
  • Datenschutz-Straftaten: § 41 BDSG-E regelt die Strafbarkeit von Datenschutzverstößen. Die Vorschrift entspricht im Wesentlichen dem bisherigen § 44 BDSG. Begeht jemand eine Handlung nach Art. 83 Abs. 5 DSGVO “vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen“, so macht er sich strafbar. Verstöße gegen § 41 BDSG-E sollen mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden. Verstößt jemand in gleicher Weise “nur” gegen die mit Bußgeldern von bis zu EUR 10 Millionen (bzw. Bis zu 2 Prozent des Umsatzes) bewehrten Vorgaben von Art. 83 Abs. 4 BDSG, so drohen keine Strafbarkeitsrisiken.
  • Sonstige Pflichten der Verantwortlichen und Auftragsverarbeiter: Die §§ 57 bis 72 BDSG-E regeln sonstige Pflichten für Unternehmen, die Daten in eigener Verantwortung oder im Auftrag verarbeiten. Sie regeln Themen von der Auftragsverarbeitung bis hin zur vertraulichen Meldung von Verstößen und enhalten teilweise für die Praxis durchaus relevante Abweichungen von den Vorgaben der DSGVO. Bereits bei einer ersten kursorischen Durchsicht stellt sich hier die Frage, wie eine Reihe der Vorschriften mit dem vom EuGH aufgestellten Wiederholungsverbot in Einklang zu bringen sein sollen.
  • Übermittlungen in Drittstaaten: §§ 73 bis 76 BDSG-E enthalten Sonderregeln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten.

 

Fazit und Handlungsempfehlungen

Natürlich sollte man in einem ersten Überblick mit Bewertungen vorsichtig sein. Der erste Eindruck von dem geplanten BDSG-E verheißt allerdings aus Unternehmenssicht wenig Gutes. Zwar versucht das BMI erkennbar, der Wirtschaft Gutes zu tun. Der Referentenentwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen. Allerdings ist er so schwer verständlich, dass er für Laien kaum anwendbar sein dürfte – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Für Datenschutzexperten sind Gesetze wie das geplante BDSG-E zwar eine stete Einnahmequelle – für Unternehmen und Bürger wären aber klare und verständliche Vorschriften nötig.

Vor allem aber sind viele Regelungen europarechtlich durchaus nicht unproblematisch. Auch einige wesentliche Kritikpunkte der Bundesdatenschutzbeuaftragten und des BMJV sind nicht ausgeräumt. Damit bleibt auch völlig offen, ob der Gesetzentwurf eine Mehrheit im Bundestag findet. Und gerade diese Unsicherheit stellt deutsche Unternehmen vor hohe Hürden. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder mehr an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert oder bereits in der Ressortabstimung scheitert. Zudem erschwert das geplante BDSG-E es Unternehmen, EU-weite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Daher werden gerade größere Unternehmen voraussichtlich zunächst eher an die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei DSGVO-Implementierungsprojekten einbeziehen.

Zudem empfiehlt es sich für in Deutschland tätige Unternehmen, die weitere Entwicklung in Bezug auf den geplanten BDSG-E genau zu beobachten. Hierzu können Sie auch unseren rechts auf dieser Seite angebrachten Newsfeed nutzen. Gerne halten wir Sie zur DSGVO, zum BDSG-E und zu weiteren wirtschaftsrechtlichen Fragen auf dem Laufenden.