16
Dez
2015
Europa
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EU Einigung beim neuen Datenschutz – Bußgelder von bis zu 4% des Unternehmensumsatzes

Die EU verkündet am 15.12.2015 eine Einigung bei der EU-Datenschutz-Grundverordnung (“GVO“). Mit der GVO gilt ab 2018 in ganz Europa ein einheitliches Datenschutzrecht. Die GVO sieht viele Veränderungen gegenüber dem bisherigen Recht vor. Nachstehend finden Sie einige der wichtigsten Eckdaten zum neuen europäischen Datenschutzrecht.

ALLGEMEINES: Die letzte bekannt gewordene Entwurfsfassung vom 4. Dezember 2015 umfasst Art. 1 bis 91 GVO. Insgesamt umfasst die Verordnung wegen vieler nachgebesserter sogenannter “Buchstabenartikel” allerdings deutlich mehr Vorschriften als nur diese 91 Artikel. Hinzu kommen noch über 135 Erwägungsgründe. Die Erwägungsgründe erläutern die Ziele und einzelne Regelungen der GVO. Sie sind ein wichtiges Hilfsmittel für die Auslegung der teilweise schwer zu verstehenden Vorschriften des neuen europäischen Datenschutzes. Die GVO geht nationalen Regelungen zum Datenschutz vor und verdrängt diese. Die neuen Regelungen treten voraussichtlich Anfang 2018 in Kraft.

ZEITRAHMEN: Wenn man die Vielzahl der beschlossenen Änderungen in Betracht zieht, sind zwei Jahre nicht viel Zeit, um die neuen Anforderungen umzusetzen. Es geht für Unternehmen schließlich nicht nur darum, nur einige neue Richtlinien auszurollen. Stattdessen müssen sie neue Prozesse schaffen, Mitarbeiter trainieren und eine Vielzahl weitgehend neuer Anforderungen umsetzen. Und im Beschäftigtendatenschutz sind bei vielen Themen Abstimmungen und Verhandlungen mit Betriebsräten erforderlich, die erfahrungsgemäß einige Zeit in Anspruch nehmen.

EINHEITLICHKEIT: Gleicher Datenschutz für alle Bürger in der EU. Künftig gilt ein Datenschutzgesetz für ganz Europa. Die  GVO wirkt direkt und unmittelbar in allen Mitgliedsstaaten. Bislang gab es 28 nationale Einzelregelungen zum Datenschutz; in Deutschland etwa das Bundesdatenschutzgesetz (“BDSG“). Dieser Rechtsrahmen ändert sich nun grundlegend.

AUSNAHMEN: Es gibt Abweichungen von der unmittelbaren Geltung der GVO für ganz Europa. Dies betrifft eine ganze Reihe von Punkten. Etwa die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Auch beim Datenschutz am Arbeitsplatz gibt es solche  Sonderregeln. Hier können die einzelnen Mitgliedsstaaten speziellere Regelungen treffen. Diese Ausnahmeregeln dürften allerdings grundsätzlich nur ein Mehr an Datenschutz erlauben – nicht aber einen geringeren Datenschutz.

TRANSPARENZ: Unternehmen müssen Betroffene von dem Umgang mit ihren personenbezogenen Daten umfassender und genauer als bisher informieren. Hier kommen auf europäische Firmen viele neue Vorschriften zu. Firmen müssen betroffene Personen daher künftig genau, verständlich und umfassend erklären, was genau sie mit ihren Informationen machen. Das betrifft etwa Einwilligungen, aber auch interne Regelungen oder Kundeninformationen zum Datenschutz. Als Reaktion hierauf werden viele Unternehmen in Europa wohl bald umfassende “Data Protection Policies” und ähnliche Richtlinien bekanntmachen.

ACCOUNTABILITY” (Verantwortlichkeit): Diese neue Anforderung schafft umfassende Regelungen zur Verantwortlichkeit beim Umgang mit Daten. Unternehmen müssen dokumentieren, was sie zur Einhaltung der Vorgaben der GVO tun.. Und dies müssen sie auch beweisen können. Bei Beschwerden und Gerichtsverfahren kann das Verantwortlichkeitsprinzip vor allem zu einer Beweislastumkehr führen. Und Gerichtsverfahren werden oft auf der Beweisebene entscheiden. Damit wird die neue “Accountability” nicht nur eine Vielzahl von Prozessen entscheiden. Zudem kann dies auch eine komplett neue Rechtsprechung entscheidend prägen.

ARBEITNEHMERDATENSCHUTZ: Art. 82 GVO erlaubt einzelstaatliche Regelungen im Beschäftigtendatenschutz. Wenn der Gesetzgeber in Deutschland § 32 Abs. 1 BDSG nicht aktiv abschafft, bleibt es bei dem von den Gerichten vorgegebenen hohen Standards beim Datenschutz am Arbeitsplatz. Denn hier dürfen die einzelnen Mitgliedsstaaten nationale Sonderregeln treffen. Weitere Einzelheiten zum neuen Beschäftigtendatenschutz nach der GVO finden Sie hier.

BETRIEBSVEREINBARUNGEN: Für Betriebe besonders wichtig: Zwischen Betriebsrat und Arbeitgeber vereinbarte Betriebsvereinbarungen bleiben möglich. Sie müssen aber an die Vorgaben der Datenschutz-Grundverordnung angepasst werden.

MILLIONENBUSSGELDER: Die Strafen bei Verstößen werden enorm hoch. Künftig  drohen bis zu 20 Mio. EUR oder sogar bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe. Damit sind im Ergebnis sogar Milliardenbußgelder möglich. Das macht es für Unternehmen viel schwerer als bislang, Bußgelder einfach”einzupreisen“. Diese extrem hohen Bußgelder werden Entscheidungsprozesse in Unternehmen künftig vorausslichtlich ganz erheblich beeinflussen.

COMPLIANCE: Anders als im bisherigen deutschen Datenschutzrecht nach dem BDSG berücksichtigt die EU auch Compliance-Pflichten. Das neue Recht regelt an vielen Stellen das Erheben von Daten zur Aufklärung oder Vermeidung von Straftaten.

DATENSCHUTZBEAUFTRAGTE: Deutsche Datenschutzbeauftragte müssen sich wohl erst einmal nicht um ihren Job sorgen. Zwar müssen Unternehmen nach dem neuen EU-Recht Datenschutzbeauftragte nur unter deutlich engeren Voraussetzungen bestellen als nach dem BDSG. Die GVO sieht aber auch hier Ausnahmen vor. Dies betrifft die auf nationaler Ebene geregelte Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Das kommende Recht erlaubt es Mitgliedsstaaten, weitere Voraussetzungen zu bestimmen, unter denen Unternehmen betriebliche Datenschutzbeauftragte bestellen müssen. Dies erlaubt eine Fortgeltung der Vorschriften des BDSG. Wenn der deutsche Gesetzgeber die bei uns derzeit geltenden Vorschriften zur Bestellung von Datenschutzbeauftragten nicht abgeschafft, bleibt es erst mal beim bisherigen nationalem Recht. Das System des betrieblichen Datenschutzbeauftragten hat sich in Deutschland bewährt. Deutsche Unternehmen, die zehn oder mehr Mitarbeiter mit Computer Arbeitsplätzen beschäftigen oder sensitive Datenverarbeitungen durchführen, müssen somit zunächst weiterhin einen Datenschutzbeauftragten bestellen.

NEUE PROZESSE: Unternehmen müssen vor allem viele Verfahrensregeln einführen. Datenportabilität, Privacy by design, Privacy impact assessments, das Recht auf Vergessenwerden, erhöhte Informations- und Transparenzpflichten sind nur einige der vielen neuen Anforderungen, die Firmen in den kommenden zwei Jahren analysieren und umsetzen müssen,

ZUSAMMENFASSUNG: Ein Kraftakt der EU. Ein Datenschutzrecht in ganz Europa. Auf Unternehmen, Betriebsräte, Arbeitnehmer und Datenschützer kommt bei der Umsetzung der GVO viel Arbeit zu. Neue Prozesse, neue Mechanismen, gerade im Bereich Transparenz. Klare und verständliche Informationen gegenüber Datensubjekten, was das Unternehmen mit ihren Daten im Einzelnen macht. Viel Aufwand für Firmen, Gerichte und Datenschutzbehörden. Man darf eine ganze Reihe von Gerichtsverfahren, Stellungnahmen von Datenschutzbehörden und Ähnliches erwarten. Zudem hat sich die Kommission noch bei einer ganzen Reihe von Themen das Recht vorbehalten, konkretisierende Sonderregelungen zu erlassen. Die Kommission wird damit im Datenschutz zu einer Art “Superinstanz”, auch bei der Kontrolle der Datenschutzbehörden. Vor allem wird spannend, wie gleich das gleiche Datenschutzrecht für alle Europäer wirklich wird.

Gerne beantwortet unser Datenschutzteam Ihre Nachfragen zu diesem spannenden Thema. Die EU hat die endgültige Fassung der  GVO noch nicht veröffentlicht. Eine englische Fassung des letzten bekannt gewordenen Entwurfs der Verordnung finden Sie hier.