EU-Datenschutz-Grundverordnung

12
Nov
2017
EU-US

Grenzüberschreitende Übermittlung personenbezogener Daten nach der DSGVO

Überblick und Checkliste für Datentransfers in Drittländer

Die grenzüberschreitende Übermittlung von Daten ist ohne vorherige rechtliche Prüfung bereits jetzt nach dem noch bis zum 24.5.2018 geltenden BDSG erheblichen Risiken ausgesetzt. Die Einführung der EU-Datenschutzgrundverordnung (DS-GVO) sowie des gleichzeitig in Kraft tretenden neuen BDSG (BDSG 2018) stellt Praktiker vor neue Herausforderungen. Die DS-GVO vereinfacht zwar den Datenaustausch innerhalb der EU, indem sie einheitliche Mindestanforderungen aufstellt. Für Datenübermittlungen in Drittländer außerhalb der EU stellen sich dagegen wichtige Fragen. Ein aktueller Beitrag aus der Zeitschrift für Datenschutz (ZD) beschreibt die ab dem 18.5.2018 geltenden Voraussetzungen für solche Datenübermittlungen in Drittländer. Zudem zeigt er Lösungsansätze auf und gibt pragmatische Handlungsempfehlungen. Der Beitrag enthält auch Checklisten für die Prüfung der Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer nach der DS-GVO.

Sie können den ZD-Beitrag mit freundlicher Genehmigung des Verlag C. H. Beck hier hier gratis im Volltext abrufen.

30
Okt
2017
Internet

Datenschutzbehörde veröffentlicht Hinweise zu zielgruppenorientierter Werbung

Am 4. Oktober hat das Bayerische Landesamt für Datenschutzaufsicht (“LDA“) in einer Pressemitteilung Hinweise zur datenschutzrechtlichen Bewertung von einer auf einer Social Media Plattform angebotenen zielgruppenspezifischen Werbemöglichkeit (sog. “Targeted Advertising“) veröffentlicht. Anlass war eine bayernweite Prüfung zur korrekten Nutzung dieses Marketing-Werkezeugs bei 40 Unternehmen. Bei dieser Prüfung stellte das LDA erhebliche datenschutzrechtliche Mängel beim Einsatz von Targeted Advertising fest. Die Pressemitteilung können Sie hier abrufen. » Lesen Sie mehr

30
Okt
2017
Starttaste Computer
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

F.A.Z.-Kolumne “Mein Urteil” – Der neue Beschäftigtendatenschutz nach dem BAG

Bundesarbeitsgericht nimmt Vorgaben des künftigen Beschäftigtendatenschutzes nach der EU-Datenschutz-Grundverordnung vorweg

Das Bundesarbeitsgericht (BAG) hat in einem aktuellen Urteil seine Vorgaben zum Beschäftigtendatenschutz am Arbeitsplatz zusammengefasst. Einen kurzen Überblick aus der F.A.Z. finden Sie hier, einen ausführlicheren Überblick können Sie hier abrufen. Im Ergebnis nehmen die Richter bereits jetzt auch schon die künftigen Vorgaben des Datenschutzes am Arbeitsplatz in Bezug. Denn das BAG sieht die Vorhersehbarkeit einer Kontrolle eines Beschäftigten als maßgebliche Richtschnur für die Zulässigkeit einer solchen Überwachung an. Dies entspricht bereits heute den Maßstäben der EU-Datenschutz-Grundverordnung (DSGVO). Die Richter wenden in ihrer aktuellen Rechtsprechung bereits die wesentlichen Kriterien der künftigen Rechtslage an, indem sie vor allem die Transparenz der Verarbeitung als wesentliches Kriterium für dessen Zulässigkeit einordnen.

BAG wendet im Ergebnis bereits heute Vorgaben der DSGVO an

Bei der Anwendung des heute noch in § 32 BDSG-alt geregelten Beschäftigtendatenschutzes orientiert sich das BAG erkennbar bereits an den Vorgaben der DSGVO. Nach Erwägungsgrund 47 zur DSGVO sind bei der Frage nach dem Vorliegen eines berechtigten Interesses “die vernünftigen Erwartungen der betroffenen Person” (hier des kontrollierten Mitarbeiters), “die auf ihrer Beziehung zu dem Verantwortlichen beruhen” (dem Arbeitgeber), zu berücksichtigen. “Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung zu diesem Zweck erfolgen wird.” Fehlt es an dieser Vorhersehbarkeit, lässt sich eine Kontrolle oder eine sonstige Datenverarbeitung in aller Regel nicht auf die berechtigten Interessen des Arbeitgebers stützen. Für die Praxis hat das vor allem die Folge, dass Arbeitgeber ein hohes Eigeninteresse daran haben, ihre Mitarbeiter möglichst klar uns transparent darüber zu informieren, wie sie deren Daten verarbeiten.

Fortgeltung der hohen Standards beim Beschäftigtendatenschutz auch nach DSGVO und BDSG-neu

Damit wenden die Bundesarbeitsrichter bereits heute die wesentlichen Vorgaben der DSGVO an. Dies entspricht auch dem Willen des deutschen Gesetzgebers, der in der Gesetzesbegründung zum in § 26 BDSG-neu geregelten künftigen Beschäftigtendatenschutz hervorhebt, dass diese Vorschrift den bisherigen § 32 BDSG-alt fortführen soll. Auch nach dem Willen des Gesetzgebers sollen die hohen Standards fortgelten, die die Arbeitsgerichte bislang zum derzeit noch geltenden § 32 BDSG-alt aufgestellt haben. Einen Überblick über unsere entsprechenden Blog-Beiträge zum bisherigen und dem künftigen Beschäftigtendatenschutz  finden Sie hier.

Praktische Hilfe beim Vorbereiten von Betriebsvereinbarungen nach der DSGVO

Arbeitgeber sind gut beraten, wenn Sie die Anforderungen des BAG auch bei Abschluss von Betriebsvereinbarungen berücksichtigen. Viele Unternehmen verhandeln bereits intensiv mit ihren Betriebsräten über Rahmenvereinbarungen zur Anpassung bestehender Betriebsvereinbarungen an die Vorgaben von Art. 88 DSGVO und § 26 BDSG-neu. Nur wenigen Unternehmen wird es gelingen, jede einzelne Betriebsvereinbarung an das neue Recht anzupassen. Daher ist der Abschluss entsprechender Rahmenbetriebsvereinbarungen in der Praxis oftmals der zweckmäßigere Weg, die neuen Anforderungen sicher umzusetzen.

Gerne teilen wir mit Ihnen unsere Erfahrungen aus entsprechenden Verhandlungen mit Betriebsräten und beraten Sie zu den wesentlichen Anforderungen und Regelungen, die Betriebsvereinbarungen künftig umfassen sollten, um dem neuen Recht zu entsprechen.

13
Okt
2017
EU-US

Übermittlung personenbezogener Daten in Drittländer nach der DSGVO

Überblick und Checkliste für die Prüfung nach der DS-GVO

Die grenzüberschreitende Übermittlung von Daten ohne vorherige rechtliche Prüfung, ist bereits jetzt nach dem noch bis zum 24.5.2018 geltenden BDSG erheblichen Risiken ausgesetzt. Die Einführung der EU-Datenschutzgrundverordnung (DSGVO) sowie des gleichzeitig in Kraft tretenden neuen BDSG (BDSG 2018) stellt Praktiker vor neue Herausforderungen. Die DSGVO vereinfacht zwar den Datenaustausch innerhalb der EU, indem sie einheitliche Mindestschutzanforderungen aufstellt. Für Datenübermittlungen in Drittländer stellen sich dagegen wichtige Fragen. Der folgende Beitrag beschreibt die ab dem 18.5.2018 geltenden Voraussetzungen für eine solche Datenübermittlung in Drittländer. Zudem zeigt der Lösungsansätze auf und gibt pragmatische Handlungsempfehlungen.

Der Beitrag enthält auch eine kurze Checkliste für die Prüfung der Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer nach der DSGVO. Er erscheint im Novemberheft der Zeitschrift für Datenschutz (ZD). Wir veröffentlichen ihn hier im Volltext gratis mit freundlicher Genehmigung des Verlag C.H.Beck.

 

9
Sep
2017
shutterstock_545082313-150x119
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

DSGVO: VG Karlsruhe erlässt erste Entscheidung zur EU-Datenschutz-Grundverordung

Das Verwaltungsgericht (VG) Karlsruhe hat kürzlich die wohl erste deutsche Gerichtsentscheidung zur EU-Datenschutz-Grundverordnung (DSGVO) verkündet. Im Kern ging es bei dem Verfahren darum, ob Datenschutzbehörden bereits vor der Geltung der DSGVO Maßnahmen gegen Unternehmen anordnen dürfen, wenn die Behörde der Auffassung ist, dass bereits abzusehen ist, dass ein Unternehmen ab dem 25.05.2018 gegen die DSGVO verstoßen wird. Nach Art. 99 DSGVO ist der kommende europäische Datenschutz zwar bereits in Kraft getreten, gilt aber erst ab dem 25.05.2018. Diese Übergangsfrist soll es Unternehmen und anderen Verantwortlichen ermöglichen, die umfassenden Vorgaben der DSGVO bis zum kommenden Mai umzusetzen.a

Der Landesdatenschutzbeauftragte Baden-Württemberg hatte eine Verfügung gegen eine Auskunftei erlassen. Diese Verfügung begründete die Behörde im Wesentlichen damit, dass spätere Verstöße des Unternehmens gegen die DSGVO bereits jetzt absehbar seien.

Nach § 38 Abs. 5 S. 1 BDSG könne die Aufsichtsbehörde die erforderlichen Maßnahmen zur Gewährleistung der Einhaltung datenschutzrechtlicher Vorschriften bei der Erhebung, Verbreitung und Nutzung personenbezogener Daten ergreifen. Zwar würde die Behörde keine gegenwärtigen Datenschutzverstöße der Klägerin unterbinden. Vielmehr jedoch sollten Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien.

Das VG folgte der Auffassung der Behörde nicht. Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung sah das Gericht nicht. Es fehle in der DSGVO an einer Ermächtigungsgrundlage, die es der Behörde erlaubte, frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch Verantwortliche eingehalten werde. Eine solche Befugnis lasse sich weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen. Die Entscheidung des VG Karlsruhe vom 06.07.2017 ( Az.: 10 K 7698/16) können Sie hier im Volltext abrufen.