DSGVO_SFH_2018
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
10 | DOSSIER | <strong>DSGVO</strong> Juni <strong>2018</strong><br />
Die <strong>DSGVO</strong> vereinheitlicht die<br />
Datenschutzbestimmungen<br />
innerhalb der EU. Eine Übermittlung<br />
personenbezogener Daten in ein<br />
Drittland erfordern jedoch weitere<br />
Maßnahmen zur Rechtfertigung.<br />
An der Transparenzvorgabe müssen sich insbesondere<br />
die Betriebsvereinbarungen mit den Arbeitnehmern<br />
messen lassen und für den Angestellten<br />
klar zu erkennen geben, welche ihn betreffenden<br />
personenbezogenen Daten erhoben, verwendet,<br />
eingesehen oder anderweitig verarbeitet werden<br />
sollen.<br />
Die Rechtsgrundlage zur Datenverarbeitung für<br />
Zwecke des Beschäftigungsverhältnisses ergibt<br />
sich künftig aus dem BDSG <strong>2018</strong>. Danach dürfen<br />
personenbezogene Daten des Beschäftigten für die<br />
Zwecke des Beschäftigungsverhältnisses verarbeitet<br />
werden, wenn dies, kurz gesagt, für dieses<br />
Verhältnis erforderlich ist. Neben diesem Erlaubnistatbestand<br />
kann der Arbeitgeber die Datenverarbeitung<br />
auch auf die in der <strong>DSGVO</strong> benannten<br />
Verarbeitungserlaubnisse, wie z.B. die Einwilligung,<br />
stützen.<br />
Auch wenn das BDSG <strong>2018</strong> den Beschäftigtendatenschutz<br />
regelt, hat ein Unternehmen hinsichtlich<br />
der Daten seiner Arbeitnehmer – bei den<br />
Themen GPS-Tracking oder Videoüberwachung<br />
– die allgemeingültigen Vorgaben der <strong>DSGVO</strong>, insbesondere<br />
die Informations- und Betroffenenrechte<br />
der Arbeitnehmer, zu beachten.<br />
Eine besondere Neuerung liegt im Wegfall der<br />
Verpflichtung auf das Datengeheimnis, wie sie<br />
bislang nach § 5 BDSG vorzunehmen war. Weder<br />
die <strong>DSGVO</strong>, noch das BDSG <strong>2018</strong> enthalten eine<br />
mit § 5 BDSG – aus dem sich bislang die Pflicht<br />
aber auch der Inhalt des Datengeheimnisses ergab<br />
– vergleichbare Regelung. Dennoch ergibt sich die<br />
Verpflichtung der Arbeitgeber, ihre Arbeitnehmer<br />
über eine rechtskonforme Datenverarbeitung zu<br />
unterrichten, unmittelbar aus der <strong>DSGVO</strong>. Die<br />
bislang in den Arbeitsverträgen verwendeten<br />
Klauseln samt Verweis auf § 5 BDSG bedürfen<br />
daher einer entsprechenden Anpassung.<br />
Hinzu kommt, dass der Arbeitgeber nunmehr<br />
verpflichtet ist, seine Mitarbeiter regelmäßig zum<br />
Datenschutz und vertrauensvollen Umgang mit<br />
personenbezogenen Daten im Unternehmen, etwa<br />
von Kunden, zu schulen. Diesbezüglich gilt es zu<br />
prüfen, inwieweit neben den Arbeitsverträgen<br />
abgeschlossene Verpflichtungen auf das Datengeheimnis<br />
nebst dazugehöriger Merkblätter<br />
anzupassen sind und welche geeigneten Schulungsmaßnahmen<br />
der Arbeitgeber zu ergreifen und<br />
deren Durchführung zu dokumentieren hat.<br />
Was tun bei einer Datenpanne?<br />
Die Pflichten des Unternehmens<br />
Von besonderer Relevanz sind die in der <strong>DSGVO</strong><br />
festgeschriebenen Meldepflichten bei Datenpannen.<br />
Bislang bestand eine Meldepflicht nach dem<br />
alten BDSG nur in Fällen, in denen besondere Arten<br />
personenbezogener Daten (z.B. Daten über die<br />
Gesundheit oder die ethnische Herkunft einer<br />
Person) durch eine Datenpanne betroffen waren<br />
und diese Panne eine Bedrohung für die Rechte<br />
oder die schutzwürdigen Interessen der Betroffenen<br />
darstellte. Dann erst hatte der Verantwortliche<br />
die Pflicht, dies unverzüglich der zuständigen Aufsichtsbehörde<br />
sowie den Betroffenen mitzuteilen.<br />
Diese Meldepflicht wird durch die <strong>DSGVO</strong> deutlich<br />
verschärft. Nunmehr genügt es, wenn jede Art<br />
eines personenbezogenen Datenelements von einer<br />
Datenpanne betroffen ist. Dabei ist es irrelevant,<br />
ob die Datenpanne in Form eines rechtswidrigen<br />
Zugriffs, etwa durch einen Dritten, vorliegt oder<br />
aber versehentlich, durch eine unbeabsichtigte<br />
Löschung, erfolgte. Dann muss der Verantwortliche<br />
binnen 72 Stunden nach Bekanntwerden dieser<br />
Panne eine Meldung an die zuständige Aufsichtsbehörde<br />
machen, wenn es durch die Verletzung der<br />
Datensicherheit voraussichtlich zu einem Risiko<br />
für die Rechte und Freiheiten der betroffenen<br />
Person führt. Hinsichtlich der Frage, ob ein solches<br />
Risiko vorliegt, hat der Datenverantwortliche eine<br />
Prognose zu treffen. Eine Prognostizierung und gegebenenfalls<br />
daran anschließende Reaktion binnen<br />
72 Stunden nach Bekanntwerden der Datenpanne<br />
machen ein Daten-Managementsystem erforderlich,<br />
das es ermöglicht, innerhalb dieser kurzen<br />
Frist eine belastbare Prognose unter Einbeziehung<br />
aller relevanten Umstände zu treffen und zu dokumentieren<br />
sowie gegebenenfalls Informationen im<br />
erforderlichen Umfang an die Aufsichtsbehörde zu<br />
übermitteln.<br />
Eine Meldepflicht tritt nur dann nicht ein, wenn<br />
eine durch den Verantwortlichen zu stellende<br />
Prognose ergibt, dass die Verletzung einer Datenschutzvorrichtung<br />
voraussichtlich kein Risiko für<br />
die geschützten Daten bedeutet. Das Risiko einer<br />
unzutreffenden Prognose sowie die entsprechende<br />
Beweislast treffen den Verantwortlichen und sind<br />
bußgeldbewehrt.