Update vom 14.4.2016 - Hogan Lovells Unternehmensblog

Beiträge Risikoanalyse und -identifikation
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
1
CB-Beitrag
Tim Wybitul, RA/FAArbR, und Dr. Wolf-Tassilo Böhm, RA*
Das neue EU-Datenschutzrecht: Folgen
für Compliance und interne Ermittlungen
(Update vom 14.4.2016)
Das EU-Parlament hat am 14.4.2016 die EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Der Umgang mit personenbezogenen Daten wird damit europaweit einheitlich geregelt. Bei Verstößen müssen beteiligte natürliche Personen mit Bußgeldern von bis zu 20 Mio. Euro rechnen. Unternehmen drohen darüber
hinaus sogar Geldbußen von bis zu vier Prozent des weltweiten Umsatzes. Die möglichen Risiken bei Compliance-Verstößen aus dem Bereich Datenschutz vervielfältigen sich durch diese Entwicklung. Compliance-Verantwortliche müssen dies im Rahmen entsprechender Gefährdungsanalysen berücksichtigen. Damit erhält
der Datenschutz in vielen Unternehmen einen völlig neuen Stellenwert. Auch im Hinblick auf die Überwachung von Arbeitnehmern im Rahmen von Compliance-Kontrollen und arbeitsrechtliche Maßnahmen nach
Pflichtverstößen hat die DSGVO erhebliche Folgen für Unternehmen. Dies betrifft auch die Mitbestimmungsrechte des Betriebsrats bei vielen Compliance-Maßnahmen. Der vorliegende Beitrag beschreibt die Folgen
des neuen Datenschutzrechts für die Compliance-Funktion. Der Überblick zeigt zudem Lösungsansätze zu
den für die Praxis wichtigsten Fragen.
I.EU-weite Neuregelung des Datenschutzrechts
Im Jahr 2012 stellte die EU-Kommission einen ersten Entwurf für die
DSGVO vor.1 Am 15.12.2015 wurde nach knapp drei Jahren zäher Verhandlungen2 eine Einigung verkündet.3 Das EU-Parlament hat die DSGVO4 nun am 14.4.2016 verabschiedet. Die Neuregelung tritt 20 Tage
nach ihrer Verkündung in Kraft und gilt dann nach einer Übergangszeit von zwei Jahren ab 2018. Sie soll die Rechte der von Datenverarbeitungen betroffenen Personen besser und europaweit einheitlicher
als bislang schützen. Das neue Datenschutzrecht hat erhebliche Folgen für die Tätigkeit der Compliance-Funktion im Unternehmen.
1. Bußgelder bei Datenschutzverstößen: Bisherige Rechts
lage
Nach dem bislang geltenden Bundesdatenschutzgesetz (BDSG)
können Aufsichtsbehörden Bußgelder von bis zu 300 000 Euro pro
Verstoß verhängen. Die Bußgeldpraxis der Datenschutzbehörden war
in der Vergangenheit eher moderat. Die höchsten bekannt gewordenen Gesamtbußgelder zur Sanktionierung von Datenschutzverstößen durch Unternehmen lagen sämtlich unter der Grenze von zwei
*
II.Neue Bedeutung des Datenschutzrechts für die
Compliance-Funktion
Die gesetzlichen Vorschriften zum Datenschutz werden künftig bei
der Ausgestaltung von Compliance-Management-Systemen eine
deutlich zentralere Rolle als bislang einnehmen. Zum einen werden
die rechtlichen Anforderungen deutlich komplexer und umfassender.
Zum anderen steigen die Bußgeldrisiken bei Verstößen ganz erheblich. Im Rahmen einer Gefährdungsanalyse sind die Risiken bei Datenschutzverstößen ab 2018 deutlich zu bewerten.
1
2
3
4
Dieser Beitrag ist eine aktualisierte Version des in CB 2016, 101 ff. erschienenen Beitrags von Wybitul und berücksichtigt die vom EU-Parlament am
14.4.2016 verabschiedete deutsche Fassung der EU-DSGVO vom 6.4.2016.
Die Autoren danken Frau Dr. Sabrina Gäbeler und Frau Marlien Telöken, beide
Rechtsanwältinnen bei Hogan Lovells, für die wertvolle Unterstützung bei der
Erstellung dieses Beitrags.
Der „Vorschlag der EU-Kommission zur Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (Entwurf)“ vom 25.1.2012 ist etwa abgedruckt in der Textsammlung
Datenschutzrecht, Beck-Texte im dtv, 7. Aufl. 2015 unter der Ordnungsnummer
28 ab S. 324. Diese Fassung ist nachstehend zitiert als „DSGVO-E 2012.“
Die Fassung ist abrufbar unter: www.hl.datenschutz.de.
PM abrufbar unter http://europa.eu/rapid/press-release_IP-15-6321_
en.htm (Abruf: 13.4.2016).
Vom EU-Ministerrat am 8.4.2016 verabschiedete Fassung vom 6.4.2016, abrufbar unter http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:
ST_5419_2016_INIT (Abruf: 13.4.2016).
Compliance-Berater, Online Update
2
Beiträge Risikoanalyse und -identifikation
Millionen Euro.5 Diese Rahmenbedingungen werden sich nun grundlegend ändern.
2.Künftiger Bußgeldrahmen: bis zu vier Prozent des globalen (Konzern-)Umsatzes
Ab 2018 werden die Bußgelder drastisch erhöht. Je nach Art des
Verstoßes sieht Art. 83 DSGVO Bußgelder von bis zu 20 Mio. Euro
pro Verstoß vor. Für Unternehmen drohen allerdings noch deutlich
höhere Bußgelder. Hier sehen die neuen Datenschutzvorschriften
Bußgelder von bis zu vier Prozent des weltweiten Umsatzes der Unternehmensgruppe des vorherigen Geschäftsjahres vor.
Praxistipp: Über die Höhe der Bußgelder war während der Verhandlungen über die Endfassung der DSGVO bis zuletzt gestritten
worden. In die letzte Fassung von Erwägungsgrund 150 ist noch
eine Klarstellung hierzu aufgenommen worden, dass der Begriff
des Unternehmens i. S. d. Bußgeldvorschriften der DSGVO nach
Art. 101 und 102 AEUV zu bestimmen ist. Und diese Vorschriften betreffen Unternehmensvereinigungen, also insbesondere
Konzerne. Es spricht daher viel dafür, dass die Aufsichtsbehörden
Bußgelder gegen Unternehmensgruppen auf der Grundlage des
gruppenweiten Umsatzes festsetzen werden.
3.Gefährdungsanalyse Datenschutz
Der neue Bußgeldrahmen gibt Anlass, dem Datenschutz bei künftigen Compliance-Gefährdungsanalysen besondere Aufmerksamkeit
zu schenken. Der vorliegende Abschnitt gibt einen Überblick darüber, wie Unternehmen künftig Datenschutzrisiken identifizieren und
bewerten können.
a) Maximalbußgeld für das eigene Unternehmen bestimmen
Bei künftigen Gefährdungsanalysen in Bezug auf mögliche Datenschutzverstöße sollten Unternehmen zunächst das eigene maximale
Bußgeldrisiko (pro Verstoß) auf der Grundlage des eigenen globalen
Umsatzes bestimmen. Bei großen Unternehmensgruppen kommen
dabei Bußgelder in Milliardenhöhe in Betracht. Zu beachten ist, dass
bei mehreren Verstößen i. d. R. Gesamtbußgelder festgelegt werden.
Aus diesem Grunde verhängten deutsche Datenschutzbehörden bereits in der Vergangenheit trotz eines Maximalbetrags von 300 000
Euro Bußgelder in Millionenhöhe.
b)Gewinnabschöpfung
Auch nach neuem Recht müssen Unternehmen darüber hinaus das
Risiko einer Gewinnabschöpfung im Blick behalten. § 17 Abs. 4 OWiG
sieht vor, dass durch eine Ordnungswidrigkeit erzielte wirtschaftliche
Vorteile abgeschöpft werden.6 Diese Regelung wird durch die Bußgeldvorschriften der DSGVO nicht verdrängt.7
c) Weitere Kriterien einer auf den Datenschutz bezogenen
Gefährdungsanalyse
Zudem sollten Unternehmen auch weitere Umstände berücksichtigen, wie etwa Eintritts- und Aufdeckungswahrscheinlichkeit bei möglichen Verstößen. Mit Inkrafttreten der DSGVO dürfte auch die Wahrscheinlichkeit von Beschwerden über mögliche Datenschutzverstöße
steigen. Zudem sieht die DSGVO auch ein koordiniertes Vorgehen
der Aufsichtsbehörden vor, was die Aufdeckungswahrscheinlichkeit
möglicher Verstöße gerade bei grenzüberschreitend tätigen Unternehmen erhöhen dürfte.
Compliance-Berater, Online Update
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
Praxistipp: Der wichtigste Faktor im Rahmen einer auf den
Datenschutz bezogenen Gefährdungsanalyse ist das eigene Geschäftsfeld. Je mehr und je intensivere Datenverarbeitung zur
Erzielung der eigenen Geschäftszwecke erforderlich ist, desto
wichtiger ist die Rolle der Datenschutz-Compliance zur Risikovermeidung. Ein weiterer entscheidender Faktor ist der Reifegrad des
bereits im Unternehmen etablierten Datenschutz-ManagementSystems. Hier dürfte auch entscheidend sein, inwiefern das eigene Unternehmen die umfassenden Vorgaben der DSGVO ab 2018
umsetzt.
III.Compliance-relevante Änderungen des EU-Datenschutzrechts
Der nachstehende Überblick fasst die wichtigsten allgemeinen Änderungen durch die DSGVO knapp zusammen.
1.Einheitliches Datenschutzrecht in der EU
Bislang war das Datenschutzrecht der EU in Form der EU-Datenschutz-Richtlinie vom 24.10.19958 geregelt. Die allgemeinen Vorgaben dieser RL wurden von den 28 Mitgliedstaaten der EU teilweise
recht unterschiedlich umgesetzt. In Deutschland macht bislang das
BDSG wesentliche Vorgaben zum Umgang mit personenbezogenen
Daten. Ähnlich wie z. B. in Frankreich oder den Niederlanden gelten
bei uns hohe Datenschutzstandards. Andere EU-Länder, wie etwa
Irland, sehen deutlich weniger Einschränkungen vor, insbesondere
beim grenzüberschreitenden Datenverkehr. Auch beim Vorgehen der
jeweiligen nationalen Datenschutzbehörden gibt es stellenweise gravierende Unterschiede.
a) Unmittelbare Geltung der DSGVO
Der bisherige „Flickenteppich“ wird nun einem weitgehend einheitlichen Rechtsrahmen weichen. Künftig wird der Schutz natürlicher
Personen bei der Verarbeitung ihrer Daten durch die DSGVO in Form
einer EU-Verordnung gewährleistet. Nach Art. 288 Abs. 2 AEUV haben Verordnungen und damit auch die DSGVO allgemeine Geltung.
Die DSGVO ist in all ihren Teilen verbindlich und gilt unmittelbar in
jedem Mitgliedstaat der EU.9 Anders als die EU-Richtlinie von 1995
muss die DSGVO damit nicht mehr durch nationale Gesetze in einzelstaatliches Recht umgesetzt werden.
b) Nationale Ausnahmen weiterhin möglich
Die DSGVO soll ein einheitliches Datenschutzniveau für die gesamte
EU schaffen. Allerdings enthält sich auch eine Reihe von Ausnahmen,
5 Vgl. hierzu etwa die PM des Landesbeauftragten für den Datenschutz und
die Informationsfreiheit Rheinland-Pfalz vom 29.12.2014, abrufbar unter
www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2014122901 (Abruf:
13.4.2016).
6 § 17 Abs. 4 OWiG: „Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reicht das gesetzliche Höchstmaß hierzu nicht aus, so kann es überschritten werden.“
7 § 43 Abs. 3 S. 2 BDSG, der eine vergleichbare Regelung wie § 17 Abs. 4 OWiG
enthält, dürfte hingegen durch Art. 83 DSGVO verdrängt werden.
8 RL 95/46/EG.
9 Vgl. EuGH – Simmenthal SPA/Amministrazione delle Finanze dello Stato,
Rs. 106/77, abrufbar unter http://eur-lex.europa.eu/legal-content/EN/
TXT/?uri=CELEX%3A61977CJ0106 (Abruf: 13.4.2016).
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
die es den einzelnen Mitgliedstaaten ermöglichen, speziellere Regelungen auf nationaler Ebene zu treffen.10
2. Compliance-Verantwortlichkeit des Datenverarbeiters
(„Accountability“)
Die neuen Vorschriften rücken die Verantwortlichkeit datenverarbeitender Unternehmen in den Mittelpunkt. Diese sind zunächst für die
Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Datenschutzgrundsätze verantwortlich. Sie müssen zudem nachweisen können, dass
sie diese Vorgaben erfüllen, Art. 5 Abs. 2 DSGVO.
Auch aus Art. 24 DSGVO ergeben sich Pflichten des datenverarbeitenden Unternehmens. Nach dieser Vorschrift müssen Unternehmen
zunächst durch geeignete Strategien und Maßnahmen sicherstellen,
dass sie den Vorgaben der DSGVO entsprechen. Diese Anforderung
lässt sich durch die Einführung eines effektiven Datenschutz-Management-Systems zur Erfüllung der Vorgaben der DSGVO umsetzen.
Unternehmen müssen auch nachweisen können, dass sie geeignete
Strategien und Maßnahmen zur Sicherstellung der Einhaltung der
DSGVO umsetzen. Art. 30 DSGVO sieht darüber hinaus umfassende
Dokumentationspflichten vor.
Praxistipp: Gerichte können bei Rechtsstreitigkeiten mit Datenschutzbezügen Beweisverwertungsverbote annehmen, wenn Unternehmen ihren Pflichten nach Art. 5 Abs. 2, Art. 24 und Art. 30
DSGVO nicht nachkommen (können). Dies kann sich insbesondere auf Kündigungsschutzverfahren nach Compliance-Kündigungen
ganz erheblich auswirken.
3.Grundsätze der DSGVO
Das neue Datenschutzrecht beruht auf einigen zentralen Grundsätzen. Gerade für die Compliance-Funktion kann das Verständnis dieser
Prinzipien teilweise entscheidender sein, als die genaue Kenntnis jeder einzelnen Vorschrift der DSGVO. Die maßgeblichen Leitlinien des
neuen EU-Datenschutzrechts sind in Art. 5 DSGVO geregelt. Die wesentlichen Eckpunkte der DSGVO entsprechen im Wesentlichen den
Prinzipien des BDSG.11 Insbesondere bleibt der Umgang mit personenbezogenen Daten auch weiter verboten, wenn er nicht durch eine
gesetzliche Vorschrift der DSGVO oder einer sonstigen Rechtsvorschrift erlaubt ist. Der bereits im BDSG verankerte Zweckbindungsgrundsatz gewinnt im kommenden Datenschutzrecht an Bedeutung.
Die DSGVO stärkt auch den bereits aus dem BDSG bekannten Transparenzgrundsatz. Künftig müssen Unternehmen die von der Verarbeitung ihrer Daten betroffenen Datensubjekte umfassender über die
Verwendung ihrer personenbezogenen Daten informieren.
Praxistipp: Der Verhältnismäßigkeitsgrundsatz bleibt auch im
künftigen Datenschutzrecht eine zentrale Anforderung. Eine Abwägung zwischen den Interessen des für die Datenverarbeitung
Verantwortlichen und den Interessen des hiervon betroffenen
Datensubjekts entscheidet darüber, ob der jeweilige Umgang mit
personenbezogenen Daten zulässig ist. Um Bußgelder zu vermeiden, müssen Unternehmen Strukturen schaffen, die sicherstellen,
dass die vorgeschriebenen Interessenabwägungen hinreichend in
den internen Prozessen zur Datenverarbeitung verankert sind.
a) Rechtmäßigkeit der Verarbeitung (Verbot mit Erlaubnis
vorbehalt), Art. 5 Abs. 1 lit. (a) und 6 Abs. 1 DSGVO
Nach Art. 5 Abs. 1 lit. (a) DSGVO dürfen personenbezogene Daten nur auf rechtmäßige Weise verarbeitet werden. Der für die
Beiträge Risikoanalyse und -identifikation
3
Compliance-Praxis wohl wichtigste Grundsatz des künftigen EUDatenschutzrechts bezieht sich auf das in Art. 6 Abs. 1 DSGVO geregelte Verbot mit Erlaubnisvorbehalt. Danach ist die Verarbeitung
personenbezogener Daten nur rechtmäßig, wenn mindestens eine
der in dieser Vorschrift genannten Bedingungen erfüllt ist.
Die Datenverarbeitung ist etwa dann rechtmäßig, wenn die betroffene Person eine Einwilligung abgegeben hat.12 Die Datenverarbeitung
ist ebenfalls zulässig, wenn sie erforderlich ist, um einen Vertrag13
oder eine gesetzliche Verpflichtung14 zu erfüllen.
Der für die Verarbeitung Verantwortliche darf Daten auch verarbeiten, um seine berechtigten Interessen zu wahren.15 Dies ist jedoch
nur dann zulässig, sofern nicht die Interessen, Grundrechte oder
Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen.
b) Treu und Glauben („Fairness“), Art. 5 Abs. 1 lit. (a) DSGVO
Der Grundsatz von Treu und Glauben ist ein zentrales Prinzip der DSGVO. Er entspricht im Wesentlichen dem bereits aus dem BDSG bekannten und von der Rechtsprechung ausgestalteten Verhältnismäßigkeitsgrundsatz. Dies zeigt ein Blick in Erwägungsgrund 39 recht
klar: „Die personenbezogenen Daten sollten für die Zwecke, zu denen
sie verarbeitet werden, angemessen, und erheblich sowie auf das für
die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein.“
Dies entspricht weitgehend den von der deutschen Rechtsprechung
zum BDSG herausgearbeiteten Anforderungen des Verhältnismäßigkeitsgrundsatzes. Danach müssen Datenverarbeitungen zunächst
zur Verwirklichung des mit der Datenverarbeitung verfolgten Zwecks
geeignet („erheblich“) sein. Der für die Datenverarbeitung Verantwortliche muss bei der Datenverarbeitung jeweils das mildeste aller
gleich effektiven Mittel wählen, sog. Erforderlichkeit („auf das für die
Zwecke ihrer Verarbeitung notwendige Maß beschränkt “). Zudem ist
die Datenverarbeitung nur zulässig, wenn das verantwortliche Unternehmen seine eigenen Interessen in angemessener Weise mit denen
des betroffenen Datensubjekts abgewogen hat. Die Interessen des
Datensubjekts dürfen die des verantwortlichen Unternehmens nicht
überwiegen, sog. Angemessenheit („angemessen“).
Noch deutlicher werden die zentrale Stellung des Verhältnismäßigkeitsgrundsatzes und die damit umfasste Interessenabwägung zwischen
Unternehmen und Datensubjekt in Erwägungsgrund 4 beschrieben:
„Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche
Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips
gegen andere Grundrechte abgewogen werden.“ Dabei ergibt sich aus
Erwägungsgrund 4 ausdrücklich, dass auch Unternehmensinteressen
(„unternehmerische Freiheit“) berücksichtigt werden können.
Praxistipp: Bei der Auslegung der Erlaubnistatbestände der Verordnung wird man die in Art. 5 Abs. 1 DSGVO geforderten Prinzipien in die Prüfung der Zulässigkeit einer Datenverarbeitung „hineinlesen“ müssen. Zur Bestimmung, ob eine Verwendung von Daten
für Compliance-Zwecke z. B. „erforderlich“ i. S. v. Art. 6 Abs. 1 lit.
10 Kraska, ZD-Aktuell 2016, 04173 VI mit einer ausführlichen Auflistung der
Ausnahmen.
11 Kraska, ZD-Aktuell 2016, 04173 V.
12 Art. 6 Abs. 1 lit. a) DSGVO.
13 Art. 6 Abs. 1 lit. b) DSGVO.
14 Art. 6 Abs. 1 lit. c) DSGVO.
15 Art. 6 Abs. 1 lit. f) DSGVO.
Compliance-Berater, Online Update
4
Beiträge Risikoanalyse und -identifikation
(f) DSGVO ist, muss man sich v. a. an den in Art. 5 Abs. 1 DSGVO
vorausgesetzten Prinzipien orientieren. Der Verhältnismäßigkeitsgrundsatz bleibt damit eines der wichtigsten Prinzipien des Datenschutzes. Insofern ändert sich für Unternehmen erst einmal
nicht viel. Sie können sich in Bezug auf Verhältnismäßigkeit und
Interessenabwägung weiter an den bereits von deutschen Gerichten entwickelten Vorgaben orientieren. Dabei sollten sie allerdings
auch die weitere Rechtsprechung und Positionen der Aufsichtsbehörden für den Datenschutz im Blick behalten.
c) Zweckbindung, Art. 5 Abs. 1 lit. (b) DSGVO
Der Zweck des Umgangs mit personenbezogenen Daten entscheidet
über dessen Zulässigkeit. Nach Art. 5 Abs. 1 lit. (b) DSGVO dürfen
personenbezogene Daten nur für zuvor bestimmte und festgelegte
Zwecke erhoben werden – und die erhobenen personenbezogenen
Daten dürfen später nicht für Zwecke verwendet werden, die mit
den bei der Erhebung festgelegten Zwecken unvereinbar sind. Art. 6
Abs. 4 DSGVO regelt, unter welchen Voraussetzungen sog. Zweckänderungen zulässig sind. Damit entscheiden die Zwecke, für die personenbezogene Daten erhoben werden, ganz maßgeblich darüber,
welche weiteren Verarbeitungen zulässig sind. Ein Beispiel für die
zulässige Zweckänderung ist die Weitergabe von beim Unternehmen
gespeicherten Daten über Straftaten an Staatsanwaltschaften oder
an andere Behörden.16
Praxistipp: Auf Unternehmen kommen in Bezug auf die vorgeschriebene Transparenz bei der Datenverarbeitung einige zusätzliche Anforderungen zu, insbesondere im Hinblick auf die Unterrichtung von Betroffenen über den Umgang mit ihren Daten in
klarer und verständlicher Sprache oder die Dokumentation der
Zweckbestimmung erhobener personenbezogener Daten. Auch
hier sollten Unternehmen sicherstellen, dass sie zeitnah die erforderlichen Prozesse einführen, um die vorgeschriebenen Anforderungen einzuhalten.
d) Transparenz, Art. 5 Abs. 1 lit. (a) DSGVO
Das von der Verarbeitung seiner personenbezogenen Daten betroffene Datensubjekt soll grundsätzlich wissen, was mit seinen Daten
geschieht. Dementsprechend sehen Art. 12 bis Art. 14 DSGVO umfassende Informationspflichten für Unternehmen vor. Hinzu kommen
weitreichende Auskunftsrechte von Datensubjekten über die Verarbeitung ihrer personenbezogenen Daten.
Praxistipp: Im Ergebnis sind die Transparenzpflichten von Unternehmen nach der DSGVO deutlich umfassender als nach dem
BDSG. Für Unternehmen empfiehlt es sich, die künftigen Pflichten
nach dem neuen Datenschutzrecht zeitnah zu analysieren und
entsprechende Prozesse aufzusetzen. Gerade bei der Beschreibung und Dokumentation von Datenverarbeitungen und den internen Datenschutzstrukturen müssen sich Unternehmen auf neue
Anforderungen einstellen und diese umsetzen.
e) Weitere Grundsätze
Neben den vorstehend beschriebenen Prinzipien legt Art. 5 Abs. 1
DSGVO noch eine Reihe weiterer Grundsätze fest, die Unternehmen
befolgen müssen.
–– Datenminimierung, Art. 5 Abs. 1 lit. (c) DSGVO17
–– Richtigkeit, Art. 5 Abs. 1 lit. (d) DSGVO18
–– Speicherungsbegrenzung, Art. 5 Abs. 1 lit. (e) DSGVO
Compliance-Berater, Online Update
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
–– Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. (f) DSGVO19
–– Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO.
IV.Folgen der DSGVO für Compliance-Kontrollen und
interne Ermittlungen
Die DSGVO wird sich auf die Arbeit der Compliance-Funktion ganz
erheblich auswirken. Zum einen sind in Bezug auf datenschutzrechtliche Risiken durch mögliche Verstöße gänzlich andere Risikobewertungen und Datenschutz-Management-Strukturen nötig. Zum
anderen müssen Unternehmen die neuen Anforderungen auch bei
Compliance-Kontrollen und Maßnahmen zur Aufklärung verdächtiger
Sachverhalte berücksichtigen.
1. Betriebliche Datenschutzbeauftragte
Künftig müssen Unternehmen betriebliche Datenschutzbeauftragte
EU-weit grundsätzlich nur unter engen Voraussetzungen bestellen.
Art. 37 DSGVO erlaubt aber nationale Regelungen, die zusätzliche
Voraussetzungen vorsehen können, nach denen ein Datenschutzbeauftragter bestellt werden muss. In Deutschland sind solche zusätzlichen Voraussetzungen etwa in § 4f Abs. 1 BDSG vorgesehen.
Art. 37 Abs. 2 DSGVO erlaubt als Neuerung ausdrücklich die Ernennung eines einzelnen Datenschutzbeauftragten für eine Unternehmensgruppe. In Unternehmensgruppen könnten daher in Zukunft
mehrere Stellen von Datenschutzbeauftragten wegfallen. Voraussetzung für einen „Konzern-Datenschutzbeauftragten“ ist allerdings,
dass er von jeder Gesellschaft der Gruppe aus leicht erreichbar sein
muss.
Praxistipp: Sofern der deutsche Gesetzgeber § 4f Abs. 1 BDSG
nicht abschafft, müssen sich betriebliche Datenschutzbeauftragte in Deutschland keine Sorgen um ihre Funktion machen. Das
teilweise durchaus interessante Spannungsfeld zwischen Compliance-Funktion und Datenschutzbeauftragtem bleibt Unternehmen
somit wohl vorerst erhalten.
2. Beschäftigtendatenschutz und Compliance
Auch beim Beschäftigtendatenschutz gibt es eine wichtige Ausnahme
von der grundsätzlichen Vereinheitlichung des Datenschutzrechts.
Art. 88 DSGVO erlaubt den Mitgliedstaaten, den Datenschutz am Arbeitsplatz auf nationaler Ebene zu regeln. Damit ist die Grundlage dafür geschaffen, dass § 32 BDSG sowie die dazu ergangene Rechtsprechung auch nach Inkrafttreten der DSGVO fortgelten. Unternehmen
in Deutschland werden sich daher voraussichtlich weiterhin auf die
von deutschen Gerichten in zahlreichen Einzelfällen ausdifferenzierten Vorgaben hinsichtlich des Beschäftigtendatenschutzes stützen
16 Erwägungsgrund 50 i. d. F. vom 6.4.2016 besagt: „ Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten
in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben
Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine
zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen
gelten..“ Vermerk vom 11.6.2015, 9565/15 – 2012/0011(COD), abrufbar unter: http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/
de/pdf (Abruf: 13.4.2016).
17 S. hierzu Abschn. 4.2 (d).
18 S. hierzu Abschn. 4.2 (d).
19 S. hierzu Abschn. 4.2 (d).
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
können.20 Da die DSGVO weitaus konkretere Vorgaben für die Umsetzung des Datenschutzes macht, können dennoch Anpassungen,
insbesondere bei Betriebsvereinbarungen, erforderlich werden.
Praxistipp: Gerade bei Compliance-Kontrollen und internen
Sachverhaltsermittlungen dürfte es bei erheblichen Unterschieden und einem begrenzten Maß an Vereinheitlichung bleiben. 21
Auch Betriebsvereinbarungen zum Datenschutz im Arbeitsverhältnis bleiben zulässig und werden sich weiterhin auf die Arbeit von
Compliance-Verantwortlichen auswirken.
a) Öffnungsklausel: Art. 88 DSGVO
Die Mitgliedstaaten dürfen nach Art. 88 Abs. 1 DSGVO eigene Regelungen für die Verarbeitung personenbezogener Daten von Arbeitnehmern für Zwecke des Arbeitsverhältnisses erlassen.22
Sonderregelungen zum Beschäftigtendatenschutz müssen nach
Art. 88 Abs. 2 DSGVO jedoch angemessene und spezifische Maßgaben zum Schutz der Menschenwürde, der berechtigten Interessen
und der Grundrechte der betroffenen Arbeitnehmer enthalten. Trifft
ein Mitgliedstaat Sonderregelungen, muss er dies der EU-Kommission mitteilen, Art. 88 Abs. 3 DSGVO. Die einzelnen Mitgliedstaaten
können zudem Bedingungen vorgeben, unter denen Arbeitgeber im
Rahmen des Arbeitsverhältnisses Daten auf der Grundlage von Einwilligungen von Arbeitnehmern verwenden dürfen.23
b) Fortgeltung von § 32 BDSG
§ 32 BDSG wird als Sonderregelung i. S. v. Art. 88 DSGVO fortgelten,
sofern der deutsche Gesetzgeber diese Regelung nicht aktiv außer
Kraft setzt bzw. durch eine andere Norm ersetzt. § 32 BDSG wird
dann nicht durch die DSGVO verdrängt.24
§ 32 BDSG kann als geeignete Sonderregelung i. S. d. DSGVO angesehen werden, da die Vorschrift den in Art. 88 Abs. 2 DSGVO festgelegten Anforderungen hinreichend entspricht. Dass § 32 BDSG nicht
ausdrücklich die Transparenz des Datenverkehrs im Unternehmen
oder der Überwachung am Arbeitsplatz erwähnt, ist kein Verstoß gegen die Vorgaben des Art. 88 Abs. 2 DSGVO. Denn § 32 BDSG ist
im Zusammenhang mit den von der Rechtsprechung entwickelten
Grundsätzen zum Beschäftigtendatenschutz zu sehen, die ein hohes
Maß an Datenschutz für Beschäftigte vorsehen. Die Verknüpfung der
Rechtsprechung mit § 32 BDSG entspricht dem Willen des Gesetzgebers, der die nähere Ausprägung des Beschäftigtendatenschutzes
der Rechtsprechung der Arbeitsgerichte überlassen hat.25
aa)Warten auf das deutsche Ausführungsgesetz
Der deutsche Gesetzgeber darf ein Ausführungsgesetz zur DSGVO
erlassen. Darin wird er die Umsetzung der DSGVO in deutsches
Recht regeln. Dem deutschen Gesetzgeber bleibt es im Hinblick auf
Art. 88 DSGVO unbenommen, § 32 BDSG als nationale Norm aufzuheben. In diesem Fall würden die Regelungen der DSGVO zum Beschäftigtendatenschutz gelten. Der Gesetzgeber darf auch eine neue
Regelung für den Beschäftigtendatenschutz erlassen, sofern diese
neue Reglung den Anforderungen der DSGVO entspräche.
bb)Bewertung
Es ist indes weder sinnvoll, § 32 BDSG aufzuheben, noch eine neue
nationale Regelung zum Beschäftigtendatenschutz zu schaffen. Beide Fälle würden vorhersehbar zu nicht unerheblichen rechtlichen
Unsicherheiten führen. Die deutschen Arbeitsgerichte haben in der
Vergangenheit recht klare und sachgerechte Kriterien zum Umgang
Beiträge Risikoanalyse und -identifikation
5
mit personenbezogenen Daten von Arbeitnehmern entwickelt. Diese
Rechtssicherheit wird der Gesetzgeber kaum aufgeben wollen. Zumal
das Schutzniveau nach § 32 BDSG im Vergleich zur DSGVO sogar
als höher angesehen werden kann. Der nach § 32 BDSG erforderlichen umfassenden Verhältnismäßigkeitsprüfung26 entsprechen die in
Art. 5 DSGVO genannten Grundsätze nur teilweise.27 Es darf bezweifelt werden, dass der deutsche Gesetzgeber es sich politisch leisten
kann, § 32 BDSG außer Kraft zu setzten, um den Beschäftigtendatenschutz auf die DSGVO bzw. einen gesamteuropäischen Durchschnitt
zurückzuführen.
Art. 88 DSGVO erlaubt nationale Spezialvorschriften zum Beschäftigtendatenschutz im Übrigen unabhängig davon, ob diese Spezialvorschriften vor der Verabschiedung der DSGVO bereits bestehen oder
erst danach erlassen werden. Daher gilt nach derzeitiger Rechtslage
auch nach dem Inkrafttreten der DSGVO, dass Arbeitgeber, Arbeitsgerichte und Beschäftigte sich weiterhin an § 32 BDSG und der hierzu
entwickelten Rechtsprechung orientieren können.
c) (Compliance-)Betriebsvereinbarung als Erlaubnistatbestand
Für Unternehmen ist zudem besonders wichtig, dass der Umgang
mit Arbeitnehmerdaten nach derzeitiger Rechtslage gem. Art. 88 DSGVO weiterhin über Betriebsvereinbarungen geregelt werden kann.
Demnach darf das Unternehmen den Umgang mit Beschäftigtendaten durch „Rechtsvorschriften oder durch Kollektivvereinbarungen“
regeln.28
aa)Betriebsvereinbarung als „Kollektivvereinbarung“
Die Betriebsvereinbarung kann dabei wohl als eine Kollektivvereinbarung i. S. d. DSGVO verstanden werden. Betriebsvereinbarungen, die
den Umgang mit Beschäftigtendaten bspw. zu Compliance-Zwecken
erlauben, etwa für E-Mail-Kontrollen, müssen indes den Vorgaben der
DSGVO entsprechen. Für Unternehmen bedeutet dies teilweise, dass
sie an bestehenden oder geplanten (Compliance-)Betriebsvereinbarungen erhebliche Anpassungen vornehmen müssen. Die zweijährige
Übergangsfrist bei einer Geltung der DSGVO ist für die Umsetzung
der nötigen Änderungen recht knapp bemessen.
bb)Erwägungsgrund 155 der DSGVO
Neben Art. 88 DSGVO spricht Erwägungsgrund 155 i. d. F. vom 6.4.2016
weitaus deutlicher dafür, dass die Betriebsvereinbarung als Erlaubnistatbestand i. S. d. europäischen Datenschutzrechts angesehen wird.
Diese Fassung erwähnt – dankenswerterweise – ausdrücklich, dass
20 Vgl. BAG, 20.6.2013 – 2 AZR 546/12, BB 2014, 890 m. BB-Komm. Ihle, ZD
2014, 260, ZD 2014, 426.
21 Vgl. hierzu der nachstehende Abschnitt.
22 Nach der konsolidierten Fassung der DSGVO vom 6.4.2016 lautet Art. 88
Abs. 1 DSGVO nunmehr wie folgt: „1. Die Mitgliedstaaten können durch
Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere […] vorsehen.“
23 Vgl. hierzu Erwägungsgrund 155, der Einwilligungen in diesem Zusammenhang ausdrücklich nennt.
24 Vgl. bereits Wybitul/Sörup/Pötters, ZD 2015, 559, 561.
25 BT-Drs. 16/13657, 35.
26 BAG, 20.6.2013 – 2 AZR 546/12, BB 2014, 890 m. BB-Komm. Ihle, ZD 2014,
260.
27 Vgl. bereits Wybitul/Sörup/Pötters, ZD 2015, 559, 561.
28 Vgl. Fn. 23.
Compliance-Berater, Online Update
6
Beiträge Risikoanalyse und -identifikation
Kollektivvereinbarungen „einschließlich Betriebsvereinbarungen“ die
Verarbeitung von Beschäftigtendaten regeln dürfen.29
d) Anpassung von Betriebsvereinbarungen an die DSGVO
Im Ergebnis werden Betriebsvereinbarungen weiterhin als Erlaubnistatbestände in Betracht kommen. Eine Betriebsvereinbarung zur Regelung des Beschäftigtendatenschutzes muss allerdings die Voraussetzungen der DSGVO erfüllen. Darüber hinaus sollten Unternehmen
gerade bei Betriebsvereinbarungen zu Compliance-Zwecken oder
internen Ermittlungen die weitgehenden Mitbestimmungsrechte des
Betriebsrates insbesondere nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) nicht aus den Augen verlieren. Der Betriebsrat
sollte möglichst frühzeitig bei Einführung und Durchführung entsprechender Maßnahmen beteiligt werden.
Praxistipp: Betriebsvereinbarungen können weiterhin ein probates Mittel sein, um den Umgang mit Beschäftigtendaten im
Rahmen von Compliance-Kontrollen oder internen Ermittlungen
zu regeln, nicht zuletzt um den Mitbestimmungsrechten des Betriebsrates gerecht zu werden.30 Unternehmen sollten dabei darauf achten, bestehende oder geplante Betriebsvereinbarungen an
die Anforderungen der DSGVO anzupassen. Andernfalls droht ihnen u. U. das durch die DSGVO erhöhte Bußgeld bei datenschutzrechtlichen Verstößen.
Im Hinblick auf die DSGVO sollten Unternehmen bei der Verhandlung
von Betriebsvereinbarungen insbesondere Folgendes beachten:
Hinweis auf Betroffenenrechte: Die DSGVO bezweckt, u. a., eine
wesentliche Verbesserung der Betroffenenrechte. Im Grunde sind die
Rechte der Betroffenen nach der DSGVO bereits im BDSG enthalten.
Im Vergleich zum BDSG enthält die DSGVO allerdings detailliertere
Regelungen. Die Rechte der Betroffenen nach der DSGVO sind nicht
gänzlich systematisch abgestimmt, was die Umsetzung in einer Betriebsvereinbarung erschwert. Die folgenden „üblichen“ Betroffenenrechte finden sich in der DSGVO:
–– Auskunft (Art. 15 DSGVO),
–– Berichtigung (Art. 16 DSGVO),
–– Löschung (Art. 17 DSGVO),
–– Recht auf Herausgabe von personenbezogenen Daten („Datenübertragbarkeit“) (Art. 20 DSGVO),
–– Widerspruch (Art. 21 DSGVO).
Eine Neuerung, auf die auch innerhalb einer Betriebsvereinbarung
hingewiesen werden sollte, ist das Recht auf Herausgabe von personenbezogenen Daten nach Art. 20 DSGVO. Dieser Anspruch besteht, wenn die Daten vom Betroffenen selbst zur Verfügung gestellt
und elektronisch verarbeitet wurden. Dieses Recht dürfte gerade
im Arbeitsverhältnis von Bedeutung sein. Ein Herausgabeanspruch
käme bspw. in Frage, wenn bei der Einstellung Angaben zur Person
gemacht werden oder im Rahmen von internen Ermittlungen Beschäftigte Antworten auf Mitarbeiterbefragungen geben, die nicht
Teil eines Auskunftsanspruchs des Arbeitgebers sind.
Aufklärungs- und Informationspflichten: Art. 12 DSGVO erlegt
es den Unternehmen auf, ihren Mitarbeitern alle Informationen und
Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren und einfachen Sprache
zur Verfügung zu stellen. Jedes Unternehmen sollte daher bereits mit
der Anpassung oder Einführung einer Betriebsvereinbarung zu Compliance-Kontrollen oder internen Ermittlungen Verfahren vorsehen,
die sicherstellen, dass die Betroffenen ihre Rechte effektiv ausüben
Compliance-Berater, Online Update
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
können. Die Art. 12 bis 14 DSGVO sehen hierzu detaillierte Vorgaben
vor. Das Unternehmen soll die Informationen grundsätzlich schriftlich
und ohne schuldhaftes Zögern, spätestens aber einen Monat nach
der Anfrage des Betroffenen, erteilen, Art 12 Abs. 1, 2 DSGVO.
Hinzu kommen die umfangreichen Unterrichtungspflichten nach
Art. 13, 14 DSGVO, die in folgenden Punkten bestehen, um nur einige
zu nennen:
–– Angaben zur verantwortlichen Stelle und zum Datenschutzbeauftragten,
–– Kontaktdaten des Datenschutzbeauftragten,
–– Angaben zum Zweck der Datenverarbeitung,
–– Angabe zur Speicherdauer bzw. zu den Kriterien zur Festlegung
der Speicherdauer,
–– Hinweise auf Betroffenenrechte (Auskunft, Herausgabe, Berichtigung, Löschung),
–– Hinweis auf Beschwerderecht,
–– Hinweis auf Empfänger von Daten oder Kategorien von Datenempfängern,
–– Hinweis auf eine Datenverarbeitung in Drittländern unter Verweis auf Maßnahmen zur Sicherung eines angemessenen Datenschutzniveaus,
–– Informationen über die Logik einer automatisierten Datenverarbeitung,
–– Ergebnis der Datenschutz-Folgenabschätzung und der Risikoeinschätzung.
Datensicherheit: Über Art. 32 bis 34 DSGVO erfährt der Grundsatz
der Datensicherheit eine Aufwertung. Nach diesem Grundsatz sind
personenbezogene Daten so zu verarbeiten, dass sie vor unbefugter
oder unrechtmäßiger Verarbeitung, vor zufälligem Verlust, zufälliger
Zerstörung oder Schädigung geschützt sind. Die Rahmenvorgaben
zur Datensicherheit können vom EU-Datenschutzausschuss konkretisiert werden. Zentrales Element ist eine sog. Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Bei veränderter Risikolage muss
überprüft werden, ob die Datenverarbeitung nach der DatenschutzFolgeeinschätzung durchgeführt wird. Schließlich bestehen Meldeund Informationspflichten bei Sicherheits- und Datenschutzverstößen (Art. 33 und 34 DSGVO).
Praxistipp: Unternehmen sollten zeitnah eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen und Maßnahmenkataloge festlegen. Darauf kann in Betriebsvereinbarungen
Bezug genommen werden, was den Regelungs- und Dokumentationsaufwand in Betriebsvereinbarungen erheblich reduziert.
Übereinstimmung mit den Grundsätzen des Art. 5 DSGVO: Betriebsvereinbarungen sollten v. a. die zentralen Grundsätze der DSGVO für den Umgang mit Daten abbilden. Diese finden sich in Art. 5
DSGVO.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Gem. Art. 5 lit. a, b DSGVO wird besonderen Wert auf transparente und für die Betroffenen nachvollziehbare Regelungen zum
29 Erwägungsgrund 155 nach der Fassung vom 6.4.2016 besagt: „Im Recht der
Mitgliedsstaaten oder in Kollektivvereinbarungen (einschließlich ‘Betriebsvereinbarungen’) können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen
werden, und zwar insbesondere […].“.
30 So bereits eingehend zur Einbindung des Betriebsrats bei Compliance-Maßnahmen Wybitul, CB 2015, 77, 82.
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
Umgang mit personenbezogenen Daten gelegt. 31 Betriebsvereinbarungen sollten Datenverarbeitungen daher möglichst genau und
nachvollziehbar beschreiben.
Unternehmen sollten im eigenen Interesse den Regelungscharakter
der Betriebsvereinbarung als datenschutzrechtlichen Erlaubnistatbestand ausdrücklich festlegen. Daneben sollte in der Betriebsvereinbarung verdeutlicht werden, dass das Unternehmen auch auf andere
gesetzliche Erlaubnistatbestände zurückgreifen kann. Dies fördert die
Verständlichkeit der Vereinbarung und verringert Unsicherheiten.
Praxistipp: Eine Betriebsvereinbarung sollte bspw. durch aussagekräftige Anlagen und/oder eine begleitende interne offene
Kommunikation Transparenz schaffen und zur Verständlichkeit
der Regelungen zum Beschäftigtendatenschutz beitragen. Hilfestellungen für das Verständnis der Mitarbeiter können u. a. FAQs
(Frequently Asked Questions) oder Q&As (Questions & Answers)
bieten.
Zweckbindung: Dass ein Unternehmen den Zweck jeder Maßnahme
und jedes gespeicherten Datensatzes klar belegen können muss, gilt
bereits unter dem BDSG. Die ausdrückliche Normierung der Zweckbindung richtet allerdings die Aufmerksamkeit der Arbeitsgerichte, Arbeitgeber und Kontrollstellen auf die Einhaltung dieses Grundsatzes.
Praxistipp: Die Betriebsparteien müssen dem Zweckbindungsgrundsatz bei der Gestaltung von Betriebsvereinbarungen zukünftig mehr Beachtung schenken, indem sie die Zwecke der Datenverarbeitung detailliert beschreiben. Die Beschreibung kann je
nach Umfang in einer Anlage sinnvoll umgesetzt werden. Dies
dient wiederum auch der Verständlichkeit und Transparenz.
Datenvermeidung: Der Grundsatz der Datenvermeidung besagt
v. a., dass die Datenerhebung und -verarbeitung auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt
werden muss, Art. 5 lit. c DSGVO.32 Erwägungsgrund 78 der DSGVO-Fassung vom 6.4.2016 verweist auf Modelle, mit welchen ein
Unternehmen den möglichst datensparsamen und datenvermeidenden Umgang mit personenbezogenen Daten umsetzen kann.
Genannt werden insbesondere Datenschutze durch Technik („data
protection by default“) und durch datenschutzfreundliche Voreinstellungen („data protection by design”) sowie die möglichst zügige
Pseudonymisierung der Daten.
Praxistipp: Unternehmen sollten die Verarbeitung personenbezogener Daten unterlassen, sofern der jeweilige Verarbeitungszweck
im Rahmen der Compliance-Kontrollen oder internen Ermittlungen
auch ohne die Verarbeitung personenbezogener Daten erreicht
werden kann. Ansonsten verstößt das Unternehmen gegen die DSGVO und sieht sich der Gefahr hoher Geldbußen ausgesetzt.
Datenrichtigkeit, Datenaktualität: Der Grundsatz der Datenrichtigkeit nach Art. 5 lit. d DSGVO ist mit § 35 Abs. 1 S. 1 BDSG vergleichbar. Große Neuerungen finden sich hier nicht. Es bleibt dabei,
dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Daten, die im Hinblick auf die Zwecke ihrer
Verarbeitung unzutreffend sind, muss der Arbeitgeber unverzüglich
löschen oder berichtigen. Das Unternehmen trifft allerdings erst eine
Prüfungs- und Handlungspflicht, wenn es positive Kenntnis von den
Fehlern erlangt, etwa durch Mitarbeiter oder anderweitig.
Beiträge Risikoanalyse und -identifikation
7
Praxistipp: Die Betriebsvereinbarung sollte eine Regelung zu Korrekturprozessen enthalten, die eingreift, sobald das Unternehmen
positive Kenntnis von der Unrichtigkeit von Daten erlangt.
Beschränkung der Speicherdauer: Der Grundsatz der Beschränkung der Speicherdauer (Art. 5 lit. e DSGVO) hängt von dem mit der
Verarbeitung verfolgten Zweck ab. Daten dürfen nur so lange gespeichert werden, wie dies zur Erreichung der mit der Datenverarbeitung
verfolgten Zwecke erforderlich ist. Eine längere Speicherung ist nur
in engen Grenzen zulässig, bspw. zu historischen oder statistischen
Zwecken, zu wissenschaftlichen Forschungszwecken oder zu Archivierungszwecken, die einem öffentlichen Interesse dienen.
Einbindung des Datenschutzbeauftragten: Unternehmen müssen vor der Verarbeitung personenbezogener Daten die zuständige
Aufsichtsbehörde einbeziehen, wenn das Unternehmen keine Maßnahmen trifft, um ein hohes Risiko einzudämmen (sog. Konsultationspflicht, Art. 36 DSGVO). Die Einbindungspflicht ist grundsätzlich
auch bei Datenverarbeitungen auf Grund von Betriebsvereinbarungen
zu beachten. Es liegt daher im Unternehmensinteresse, bereits im
Vorfeld die Risikolage zu bestimmen und geeignete Maßnahmen zur
Risikobegrenzung festzulegen.
e) Einwilligung als Erlaubnistatbestand
Nach jetzigem Stand sollen auch Einwilligungen von Arbeitnehmern
den Umgang mit deren persönlichen Daten erlauben können, Art. 6
Abs. 1, 88 Abs. 3 DSGVO. Art. 7 DSGVO legt die Voraussetzungen
einer wirksamen Einwilligung fest. Im Vergleich zur Datenschutzrichtlinie und zu den Vorgaben des BDSG werden die Anforderungen an
eine wirksame Einwilligung im Wesentlichen beibehalten.33 Solche
Einwilligungserklärungen müssen stets auf informierter und freiwilliger Entscheidung erfolgen und sind widerruflich. Zudem müssen sie
„für einen oder mehrere genau festgelegte Zwecke“ erfolgen, Art. 6
Abs. 1 DSGVO. Die Einwilligung müsste also bereits zu Beginn der
Compliance-Kontrollen oder internen Ermittlungen genau beschreiben, welche Datenverarbeitungen sie später legitimieren soll. Da der
genau zu ermittelnde Sachverhalt zu Beginn von Compliance-Kontrollen oder internen Ermittlungen sowie die Nutzung der Beschäftigtendaten zu diesen Zwecken bei Vorlage der Einwilligung oftmals noch
nicht klar benannt werden kann, sind Einwilligungen auch nach neuem Recht nur selten die geeignete Rechtfertigung für Complianceund Ermittlungsmaßnahmen.
f) Verarbeitung von Daten über Straftaten
Nach Art. 10 DSGVO dürfen personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende
Sicherungsmaßregeln grundsätzlich nur unter behördlicher Aufsicht
verarbeitet werden oder wenn dies nach dem Recht der Mitgliedstaaten zulässig ist. Damit stellt Art. 10 DSGVO diese Kategorie von Daten
und die Betroffenen unter einen besonderen Schutz. Umgekehrt erkennen die Verordnungsgeber auch an, dass Unternehmen prinzipiell
ein berechtigtes Interesse an der Verhinderung und Aufklärung von
Straftaten wie bspw. Betrug haben.34 Richtigerweise wird man davon
31 Vgl. Art. 12 DSGVO.
32 Der Grundsatz der Datenminimierung ist als sog. Datensparsamkeit bereits
aus dem BDSG bekannt, vgl. § 3a BDSG.
33 Wybitul/Pötters, RDV 2016, 10, 12.
34 Erwägungsgrund 47 der Fassung vom 6.4.2016 nennt hier zwar wörtlich nur
von der Verhinderung von „Betrug“. Demgegenüber ist der in der englischen
Compliance-Berater, Online Update
8
Beiträge Risikoanalyse und -identifikation
ausgehen müssen, dass Art. 10 DSGVO nur die systematische Verarbeitung bereits gerichtlich oder in ähnlicher Weise festgestellter Straftaten erfasst, wie sie in Deutschland etwa das Bundeszentralregistergesetz (BZRG) regelt. Compliance-Kontrollen und interne Ermittlungen
zur Aufdeckung von Straftaten im Unternehmen werden dagegen nicht
generell unter behördliche Aufsicht gestellt. Hier ist vielmehr entscheidend, ob das berechtigte Aufklärungsinteresse des Unternehmens im
Rahmen eines Erlaubnistatbestandes wie etwa Art. 6 Abs. 1 lit. (f) DSGVO die entsprechende Datenverarbeitung rechtfertigt.
g) Die federführende Aufsichtsbehörde
Die DSGVO regelt mit Art. 55 ff. DSGVO die Zuständigkeit der Aufsichtsbehörden neu. Neben die nationalen Aufsichtsbehörden kann
eine weitere, die federführende Behörde treten (Art. 52 DSGVO). Für
Unternehmensgruppen, die in mehreren Mitgliedstaaten tätig sind
sowie für deren Tochtergesellschaften und Niederlassung, soll grundsätzlich diejenige Aufsichtsbehörde federführend zuständig sein,
die für den Hauptsitz des Unternehmens zuständig ist („One-StopShop“). Zweck des One-Stop-Shop-Prinzips ist es, die von nationalen
Aufsichtsbehörden oftmals unterschiedlichen Interpretationen der
Datenschutzrichtlinie für die DSGVO zu verhindern.
Wybitul/Böhm, Das neue EU-Datenschutzrecht: Folgen für Compliance und
interne Ermittlungen (Update vom 14.4.2016)
federführende Aufsichtsbehörde umgehend zu unterrichten und mit
letzterer zu kooperieren. Nach Art. 56 Abs. 4 S. 3 DSGVO hat die nationale Aufsichtsbehörde die Möglichkeit, einen Beschlussentwurf
vorzulegen, dem die federführende Kontrollbehörde bei ihrer Entscheidung weitestgehend Rechnung tragen muss.
Um die Unabhängigkeit der Datenschutzbehörden zu sichern, soll
bei Meinungsverschiedenheiten der Aufsichtsbehörden nicht die EUKommission entscheiden, sondern der neu gegründete Europäische
Datenschutzausschuss, Art. 65 Abs. 1 DSGVO. Der Datenschutzausschuss besteht aus den Präsidenten der nationalen und europäischen Aufsichtsbehörden, Art. 68 Abs. 3 DSGVO.
Praxistipp: Auch dies spricht dafür, dass Unternehmen den Kontakt zu den nationalen Aufsichtsbehörden nicht verlieren sollten.
Diese haben die Möglichkeit, die federführende Kontrollbehörde
durch die Vorlage eines Entscheidungsentwurfs zu beeinflussen.
Ein Unternehmen, das bereits häufiger in Kontakt mit seiner
„Stamm-Aufsichtsbehörde“ stand, kann deren datenschutzrechtliche Bewertungen zumindest grob vorhersehen.
Autoren
aa) Abgeschwächtes One-Stop-Shop-Prinzip
Im Gegensatz zum Entwurf der EU-Kommission enthält die endgültige
Fassung der DSGVO allerdings nur eine abgeschwächte Variante des
One-Stop-Shop-Prinzips.35 Das bedeutet für Arbeitgeber in Deutschland, die mittlerweile in guter Abstimmung mit ihrer zuständigen Aufsichtsbehörde zusammenarbeiten, dass sie sich u. U. mit einer neuen
Aufsichtsbehörde auseinanderzusetzen haben.
Es gibt Ausnahmen vom One-Stop-Shop-Prinzip, die im Rahmen von
internen Ermittlungen oder Compliance-Kontrollen relevant werden
können. So darf der Betroffene bzw. der Arbeitnehmer unabhängig von
dem Hauptsitz des verantwortlichen Unternehmens seine Beschwerden weiterhin an die Aufsichtsbehörde in seinem Mitgliedstaat richten.36 Zudem bleiben die nationalen Aufsichtsbehörden für Sachverhalte zuständig, die ausschließlich eine Niederlassung in ihrem Staat
betreffen oder sich im Wesentlichen auf einen Betroffenen in ihrem
Mitgliedstaat auswirken.37 Bei einem ausschließlich lokalen Bezug
bleibt also die bekannte „Stamm-Aufsichtsbehörde“ zuständig.
Tim Wybitul, RA/FAArbR, ist Partner im
Frankfurter Büro von Hogan Lovells. Wybitul
ist im Beirat des Betriebs-Berater und des
Compliance-Berater (CB) und Autor des
ebenfalls in der dfv Mediengruppe, Fachbereich Recht und Wirtschaft in 2. Auflage erscheinenden Praxishandbuchs „Datenschutz
im Unternehmen“ in der Schriftenreihe des
Betriebs-Beraters.
Dr. Wolf-Tassilo Böhm, RA, ist als Senior
Associate und Mitglied der Praxisgruppe
Arbeitsrecht am Frankfurter Standort von
Hogan Lovells tätig. Er berät nationale und
internationale Unternehmen in allen Fragen
des Individual- und Kollektivarbeitsrechts
sowie zu Compliance, internen Ermittlungen
und Beschäftigtendatenschutz.
Praxistipp: Der u. U. bereits bestehende konstruktive Abstimmungsprozess mit der nationalen „Stamm-Aufsichtsbehörde“
sollte weiterhin aufrechterhalten werden.
bb) Grenzüberschreitende Sachverhalte
Nach Art. 56 Abs. 1 DSGVO wird die federführende Behörde auch
für grenzüberschreitende Sachverhalte („cross-border processing“)
zuständig sein.38 Der Datenschutz bei der Grenzüberschreitung personenbezogener Daten gewinnt im Rahmen von internen Ermittlungen oder Compliance-Kontrollen und im Zeitalter global agierender
Konzerne zunehmend an Bedeutung. Gleichwohl bleibt es auch hier
bei der oben beschriebenen Zuständigkeit der nationalen Aufsichtsbehörde für Sachverhalte, die ausschließlich eine Niederlassung oder
einen Betroffenen in ihrem Mitgliedstaat betreffen.
h) Zusammenarbeit der nationalen und federführenden
Aufsichtsbehörden
Bei paralleler Zuständigkeit von nationaler und federführender
Aufsichtsbehörde ist die nationale Kontrollstelle verpflichtet, die
Compliance-Berater, Online Update
35
36
37
38
Fassung verwendete Begriff „fraud“ deutlich weiter zu verstehen als ein Betrug nach § 263 StGB. „Fraud“ fasst allgemein verschiedene Delikte aus dem
Bereich der Wirtschaftskriminalität zusammen.
Wybitul/Pötters, RDV 2016, 10, 15.
Vgl. Art. 77 Abs. 1 DSGVO.
Art. 56 Abs. 2 DSGVO.
Eingehend zu grenzüberschreitenden Ermittlungen Wybitul, BB 2009, 606.

Download Report