DSGVO

Überblick und Checkliste für die Prüfung nach der DS-GVO

Die grenzüberschreitende Übermittlung von Daten ohne vorherige rechtliche Prüfung, ist bereits jetzt nach dem noch bis zum 24.5.2018 geltenden BDSG erheblichen Risiken ausgesetzt. Die Einführung der EU-Datenschutzgrundverordnung (DSGVO) sowie des gleichzeitig in Kraft tretenden neuen BDSG (BDSG 2018) stellt Praktiker vor neue Herausforderungen. Die DSGVO vereinfacht zwar den Datenaustausch innerhalb der EU, indem sie einheitliche Mindestschutzanforderungen aufstellt. Für Datenübermittlungen in Drittländer stellen sich dagegen wichtige Fragen. Der folgende Beitrag beschreibt die ab dem 18.5.2018 geltenden Voraussetzungen für eine solche Datenübermittlung in Drittländer. Zudem zeigt der Lösungsansätze auf und gibt pragmatische Handlungsempfehlungen.

Der Beitrag enthält auch eine kurze Checkliste für die Prüfung der Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer nach der DSGVO. Er erscheint im Novemberheft der Zeitschrift für Datenschutz (ZD). Wir veröffentlichen ihn hier im Volltext gratis mit freundlicher Genehmigung des Verlag C.H.Beck.

Diese Themen wurden gestern Abend in lebhafter Runde im Rahmen unseres FinTech Talks diskutiert. Dabei tauschten sich die Teilnehmer insbesondere zu folgenden Thesen intensive aus:

Mitarbeiter: KYJ – Know Your Job

Strukturen schaffen, Grundwissen vermitteln, Problembewusstsein fördern, Hilfe bieten, Kompetenz aufbauen – so nimmt man Mitarbeiter mit und erhöht die Compliance im täglichen Geschäft

Die neue Datenschutzgrundverordnung birgt viel Neues, aber die Sachverhalte lassen sich mit bewährten Methoden fassen.

Kunden: Transparenz schaffen, Wahlmöglichkeiten bieten

Datenschutz geht auf vielerlei Weise, welche ist die beste? Gesetzlicher Erlaubnistatbestand oder Einwilligung – was macht der Kunde mit?

Für ein gutes Produkt macht jeder Kunde Kompromisse bei seinen Daten – Convenience geht vor Datensparsamkeit. Daher lohnt das es, Optionen zu bieten und sich weitergehende Nutzungsrechte zu sichern.

Partner: Verantwortlichkeiten und Rechte an Daten klären

Daten – nicht nur personenbezogene – sind ein Asset. Klare Verhältnisse bieten Rechtssicherheit. Vieles kann vertraglich frei gestaltet werden. Dies gilt für Datennutzung, Zuordnung von Daten, Datentransfer und vieles mehr.

Die klare Benennung der betroffenen Daten und zielgenaue Regelung der Berechtigungen ist essentiell für die Geschäftsentwicklung.

Bereits im vergangenen Monat haben wir einen kurzen Blick darauf geworfen, was aus dem Data Economy Package geworden ist, welches die Europäische Kommission am 10. Januar 2017 vorgestellt hat. In unserem ersten Blog haben wir dabei vorrangig den Entwurf der ePrivacy Verordnung ins Visier genommen. Nachstehend möchten wir nun näher beleuchten, welches Echo die Verordnung über die Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union (COM 2017, 8 final) bislang gefunden hat. Die entsprechende Regelung soll an die Stelle der Verordnung 45/2001/EG vom 18. Dezember 2000 treten. Ziel der Verordnung soll es sein, Personen, deren personenbezogene Daten von den Organen und Einrichtungen der Union verarbeitet werden, zu schützen. » Lesen Sie mehr

Das Verwaltungsgericht (VG) Karlsruhe hat kürzlich die wohl erste deutsche Gerichtsentscheidung zur EU-Datenschutz-Grundverordnung (DSGVO) verkündet. Im Kern ging es bei dem Verfahren darum, ob Datenschutzbehörden bereits vor der Geltung der DSGVO Maßnahmen gegen Unternehmen anordnen dürfen, wenn die Behörde der Auffassung ist, dass bereits abzusehen ist, dass ein Unternehmen ab dem 25.05.2018 gegen die DSGVO verstoßen wird. Nach Art. 99 DSGVO ist der kommende europäische Datenschutz zwar bereits in Kraft getreten, gilt aber erst ab dem 25.05.2018. Diese Übergangsfrist soll es Unternehmen und anderen Verantwortlichen ermöglichen, die umfassenden Vorgaben der DSGVO bis zum kommenden Mai umzusetzen.a

Der Landesdatenschutzbeauftragte Baden-Württemberg hatte eine Verfügung gegen eine Auskunftei erlassen. Diese Verfügung begründete die Behörde im Wesentlichen damit, dass spätere Verstöße des Unternehmens gegen die DSGVO bereits jetzt absehbar seien.

Nach § 38 Abs. 5 S. 1 BDSG könne die Aufsichtsbehörde die erforderlichen Maßnahmen zur Gewährleistung der Einhaltung datenschutzrechtlicher Vorschriften bei der Erhebung, Verbreitung und Nutzung personenbezogener Daten ergreifen. Zwar würde die Behörde keine gegenwärtigen Datenschutzverstöße der Klägerin unterbinden. Vielmehr jedoch sollten Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien.

Das VG folgte der Auffassung der Behörde nicht. Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung sah das Gericht nicht. Es fehle in der DSGVO an einer Ermächtigungsgrundlage, die es der Behörde erlaubte, frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch Verantwortliche eingehalten werde. Eine solche Befugnis lasse sich weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen. Die Entscheidung des VG Karlsruhe vom 06.07.2017 ( Az.: 10 K 7698/16) können Sie hier im Volltext abrufen.

Aktuelles Urteil des Bundesarbeitsgerichts hat erhebliche Folgen für Compliance-Kontrollen und interne Ermittlungen

Der vorliegende Überblick beschreibt eine wichtige aktuelle Entscheidung des Bundesarbeitsgerichts (BAG). Das Grundsatzurteil (Az. 2 AZR 597/16) hat für Maßnahmen zur Aufklärung möglicher Pflichtverletzungen von Beschäftigten erhebliche Auswirkungen. Das BAG schafft zudem Klarheit zur Datenverarbeitung bei Compliance-Verstößen und zur Auslegung von § 32 BDSG. Unser Blog-Beitrag zeigt zudem, mit welchen konkreten Maßnahmen Sie die neuen Vorgaben des BAG in die Praxis umsetzen können.

Bisherige Rechtsprechung erschwert Compliance-Kontrollen und interne Ermittlungen durch Unternehmen

§ 32 BDSG regelt den Datenschutz am Arbeitsplatz. Diese Vorschrift wurde wegen ihres unklaren Wortlauts bereits oft kritisiert. Eine Ansicht in der Fachliteratur vertritt zu § 32 BDSG die Auffassung, sie erlaube keine Maßnahmen zur Aufklärung konkreter Verdachtsmomente in Bezug auf schwerwiegende Pflichtverletzungen, sofern diese nicht auch Straftaten darstellen. § 32 Abs.1 Satz 2 BDSG, der die Aufklärung von Straftaten im Arbeitsverhältnis regelt, entfalte hier eine Sperrwirkung in Bezug auf Verstöße unterhalb der Schwelle von Strafaten. Diese Ansicht hatte auch LAG Baden-Württemberg in einer umstrittenen Entscheidung vertreten (Az. 4 Sa 61/15). Eine umfassende Bewertung dieser Entscheidung des LAG Baden-Württemberg finden Sie hier.

Nach dieser Auffassung wären Compliance-Kontrollen und interne Ermittlungen deutlich erschwert. Unternehmen dürften nach dieser Auffassung nicht einmal konkrete Verdachtsmomente für Kartellverstöße aufklären oder anderen schweren Pflichtverletzungen unterhalb der Schwelle von Strafaten nachgehen. Mit anderen Worten: Konkreten Verdachtsmomenten, die zwar auf schwere, aber nicht strafbare Pflichtverletzungen hindeuten, sollten Arbeitgeber nicht nachgehen können. Diese fragwürdige Entscheidung der Stuttgarter Richter hat Compliance-Abteilungen oder Innenrevisionen bis heute vor erhebliche Hürden gestellt, da sie eine erhebliche Rechtsunsicherheit zur Folge hatte. Das in unserem Beitrag geschilderte Grundsatzurteil des BAG schafft Klarheit und zeigt Unternehmen, welche Vorgaben sie bei Aufklärungsmaßnahmen beachten müssen. » Lesen Sie mehr