Art. 29-Gruppe

Datenschutzbehörden machen Vorgaben zur Anwendung des neuen EU-Datenschutzes in der Praxis

Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) ist das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden. Der EDPB gibt Auslegungshilfen zur Anwendung der EU-Datenschutz-Grundverordnung (DSGVO). Damit tritt der EDPB mit der Geltung der DSGVO an Stelle der nach dem bislang geltenden Datenschutzrecht eingerichteten Art. 29 Datenschutzgruppe (Art. 29 Gruppe). Weitere Informationen über den EDPB können sie hier auf dessen Website abrufen.

Bestätigung der bisherigen Arbeitspapiere und Positionen der Art. 29 Gruppe

Die Art. 29 Gruppe hatte bereits vor der Geltung der DSGVO eine ganze Reihe von Arbeitspapieren mit Anwendungshilfen und Auslegungshinweisen zur DSGVO veröffentlicht. Manche der Stellungnahmen der Art. 29 Gruppe wurden als wenig praxisgerecht und für die Wirtschaft kaum umsetzbar kritisiert. Der EDPB hat nun in seiner ersten konstituierenden Sitzung am 25. Mai 2018 viele bisherige Positionen der Art. 29 Gruppe bestätigt. Die entsprechende Übersicht der vom EDPB übernommenen Positionspapiere finden Sie hier.

Welche Folgen hat die Positionierung des EDPB für die Praxis?

Mache der zunächst von der Art. 29 Gruppe und nun vom EDPB vertretenen Auslegungen der DSGVO sind für die Wirtschaft schwer umsetzbar und erscheinen vielen Datenschutzpraktikern als übermäßig streng. Die Positionen des EDPB sind Empfehlungen für die Praxis und haben für Gerichte keine verbindliche Wirkung. Letztlich geht es hier um zwischen EU-Behörden abgestimmte Ansichten – also um Positionen der Exekutive, die die Legislative bzw. den Gesetzgeber nicht ersetzen können. Und die Gerichte, also die Judikative, sind an diese Ansichten der Verwaltung nicht gebunden.

Allerdings steht zu erwarten, dass Gerichte bei der Anwendung und Auslegung der DSGVO die Vorgaben des EDPB sehr wohl berücksichtigen werden. Daher sollten Unternehmen bei der Umsetzung des neuen EU-Datenschutzes gut mit den Positionspapieren der Art. 29 ruppe und des EDPB vertraut sein und sich im Einzelfall gut überlegen, mit welchen rechtlichen Risiken es verbunden ist, wenn sie von den Vorgaben der Behörden abweichen. Dies wird nicht nur in Bezug auf mögliche Bußgelder nach Art. 83 DSGVO, sondern vor allem auch bei Schadensersatzansprüchen nach Art. 82 DSGVO wichtig sein. Derzeit vermuten viele Praktiker, dass sogenannte Abmahnanwälte künftig massenhaft Unterlassungsansprüche und Schadensersatz nach der DSGVO geltend machen könnten. Einen Überblick über die praxisrelevanten Aspekte solcher Schadensersatzansprüchen können Sie hier abrufen.

Checklisten, Arbeitshilfen und eine Materialsammlung zur DSGVO für die Praxis finden Sie hier.

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)

Viele Unternehmen verhandeln derzeit mit Ihren Betriebsräten über Betriebsvereinbarungen, die die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Dabei sehen viele Arbeitgeber entsprechende Betriebsvereinbarungen als wichtigen Baustein einer DSGVO-Strategie und zur Vermeidung späterer Vorwürfe wegen einer unzureichenden Umsetzung des neuen Datenschutzrechts. So können entsprechend gestaltete (Rahmen-)Betriebsvereinbarungen helfen, sich ab dem 25.05.2018 gegen Bußgelder, Schadensersatzforderungen und sonstige Nachteile zu verteidigen.

Der hier abrufbare Überblick aus der Neuen Zeitschrift für Arbeitsrecht (NZA) gibt Antworten auf die für die Praxis wichtigsten Fragen. Er beruht auf den Ergebnissen von Abstimmungen mit den Aufsichtsbehörden für den Datenschutz und auf Erfahrungen aus entsprechenden Verhandlungen mit Betriebsräten. Zudem bietet er Ihnen eine Checkliste für typische Regelungsgegenstände für Betriebsvereinbarungen zur Umsetzung der Vorgaben der DSGVO. Der Überblick erscheint mit freundlicher Genehmigung des Verlag C.H. Beck. Der Link ist aus technischen Gründen nur von dieser Seite hier abrufbar und funktioniert nicht als Kopie.

Unseren Mandanten bieten wir auch entsprechende Vorlagen an, die es Ihnen ermöglichen, gegebenenfalls noch kurzfristig ihren Betriebsräten DSGVO-Betriebsvereinbarungen abzuschließen.

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)

Manche Arbeitgeber verlassen sich auf Einwilligungen als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten. Ob Arbeitnehmer rechtswirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können, war bereits nach der bisherigen Rechtslage umstritten. Die ab dem 25. Mai 2018 geltende EU Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) stellen klar, dass Einwilligungen unter bestimmten Umständen auch die Verarbeitung von Beschäftigtendaten durchaus rechtfertigen können. Nach neuer Rechtslage gelten aber für wirksame Einwilligungen zusätzliche Voraussetzungen. Dieser Beitrag fast die wesentlichen Anforderungen an Einwilligungen im Beschäftigungsverhältnis zusammen und gibt Handlungsempfehlungen, wie Arbeitgeber auf die neue Rechtslage reagieren sollten. » Lesen Sie mehr

Bereits im vergangenen Monat haben wir einen kurzen Blick darauf geworfen, was aus dem Data Economy Package geworden ist, welches die Europäische Kommission am 10. Januar 2017 vorgestellt hat. In unserem ersten Blog haben wir dabei vorrangig den Entwurf der ePrivacy Verordnung ins Visier genommen. Nachstehend möchten wir nun näher beleuchten, welches Echo die Verordnung über die Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union (COM 2017, 8 final) bislang gefunden hat. Die entsprechende Regelung soll an die Stelle der Verordnung 45/2001/EG vom 18. Dezember 2000 treten. Ziel der Verordnung soll es sein, Personen, deren personenbezogene Daten von den Organen und Einrichtungen der Union verarbeitet werden, zu schützen. » Lesen Sie mehr

Am 10. Januar 2017 hat die Europäische Kommission ihr Gesetzespaket zur Verwirklichung des digitalen Binnenmarkts auch im Bereich des elektronischen Datenverkehrs präsentiert. In verschiedenen Beiträgen haben wir seinerzeit bereits die Eckpunkte , die Mitteilung zur Schaffung einer europäischen Datenwirtschaft (COM(2017) 9 final) und den Verordnungsentwurf zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union (COM(2017) 8 final) vorgestellt.

Gut ein halbes Jahr später lohnt nun der Blick auf die Entwicklung, welche das ePrivacy Package seitdem genommen hat. In den Fokus rücken möchten wir dabei zunächst den Verordnungsentwurf zum Schutz der Privatsphäre in der elektronischen Kommunikation (COM 2017, 10 final). Die Verordnung soll an die Stelle der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002 treten und damit einen weiteren Eckpfeiler für die Achtung der Privatsphäre und des Datenschutzes in der EU darstellen und die Datenschutzgrundverordnung 2016/679/EU (DSGVO) ergänzen. » Lesen Sie mehr

Die Art. 29-Datenschutzgruppe gibt in einem kürzlich veröffentlichten Arbeitspapier Hilfestellungen zum Beschäftigtendatenschutz. Das interne Abstimmungsgremium der Datenschutzbehörden der EU beantwortet in dem Papier Fragen von Arbeitgebern, die auf neuen technischen Möglichkeiten zur Datenverarbeitung oder zur Überwachung von Arbeitnehmern sowie der baldigen Umsetzung der DSGVO beruhen.

Eine Zusammenfassung und Analyse der wichtigsten Folgen des Arbeitspapiers für die Praxis können Sie hier abrufen.

Den englischsprachigen Volltext der Stellungnahme finden sie hier.

Verfasst von Dr. Lukas Ströbel und Tim Wybitul (sind aus der Sozietät ausgeschieden)