Datenschutz - Auch in der Arbeit wichtig

  

Ab 26. Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO) und das neue Datenschutzgesetz (BDSG neu). Die DSGVO hat 99 Artikel mit vielen Anmerkungen (sogenannte Erwägungsgründe, 173 an der Zahl). Derzeit wird an den Gesetzes-Kommentaren gearbeitet. Bei der Auslegung der verschiedenen Artikel hofft man auf die Rechtsprechung um Klarheit zu bekommen.

Eine EU-Verordnung gilt als Gesetz in allen EU-Ländern – ohne Ausnahme. Eine EU-Richtlinie muss innerhalb einer gewissen Zeit in ein National-Gesetz umgesetzt werden.

Neu ist: Alle personenbezogenen Daten, auch nicht automatisierte Daten-Sammlungen, sind betroffen. Sprich: Auch eine Strichliste auf einem Blatt Papier kann bereits unter das Gesetz fallen.

Auch das Strafmaß in Höhe von 10 bis 20 Mio € bis hin zu 4 % des weltweit erzielten Jahresumsatzes einer Firma ist neu. Jeder kann sich bei der zuständigen Aufsichtsbehörde beschweren, ganz gleich ob Kunde oder Mitarbeiter. Voraussichtlich werden hierzu Landesämter für Datenschutzaufsicht eingerichtet.

Das Recht auf Löschung von Daten wird explizit erwähnt mit dem Untersatz „Recht auf Vergessen-Werden“.

Zur Speicherung der Daten braucht man Einwilligungen, weil die Speicherung freiwillig sein soll. 

Über jede Änderung oder Speicherung muss der- oder diejenige informiert werden. Ab Mai muss derjenige, der speichert, aktiv den Gespeicherten informieren und eine Einwilligung einholen. 
Bis jetzt musste der Gespeicherte nur nach Anfrage informiert werden oder eine allgemeine Abfrage, beispielsweise bei einer Bestellung, reichte bereits aus. Es gibt keinen Ausnahmen mehr, für wen dieses Gesetz künftig gelten soll. Auch der kleine Verein um die Ecke ist also davon betroffen.

Das Recht auf Datenübertragbarkeit ist auch neu. Z.B. beim Handyanbieter-Wechsel. Ob es funktioniert, weiß keiner. Und das alles muss auch dokumentiert werden. Soviel zum Thema "weniger Bürokratie"!

Was bedeutet das für eine Firma oder einen Konzern? 

Die Geschäftsführung ist verantwortlich. Aber auch Führungskräfte, wenn sie Daten sammeln (z.B. eine Überstunde-Tabelle anlegen. Das darf man ohnehin nicht, aber jetzt kann es sehr teuer werden).

Die Definition der personenbezogene Daten steht in § 4 DSGVO. Sie umfasst alle Informationen, die sich auf natürliche Personen beziehen. Auch pseudo-anonymisierte oder synonymisierte Daten haben Personenbezug, selbst dann, wenn der Schlüssel vernichtet würde. Juristische Personen sind nicht Gegenstand der BDSG oder der DSGVO.

Viele Paragrafen verweisen auch auf die Bundes-Ebene. 

Ein Beispiel: Die sogenannte „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“. Hier gibt es in der DSGVO nur den Verweis auf die nationale Ebene der EU-Länder. In Deutschland greift demnach der § 26 des BDSG neu. Der Inhalt ist im Prinzip gleich geblieben, nur mit mehr Text.

Das hört sich alles sehr bürokratisch an. Betrifft uns das bei Weltbild?

Natürlich hat diese Gesetzgebung Auswirkungen auf einen großen Versandhändler, der mit vielen Kundendaten operiert. Und selbstverständlich hat sie auch Auswirkungen auf die Daten von Mitarbeiterinnen und Mitarbeitern.

Wie schon gesagt, ist die Geschäftsführung hier in der Verantwortung. Allerdings soll auch der Betriebsrat generell über die Einhaltung von Gesetzen im Unternehmen wachen (gemäß § 80 BetrVG). 

Der Betriebsrat muss zum Beispiel prüfen oder prüfen lassen, ob die Betriebsvereinbarungen künftig Datenschutz-Konform sind. Es wird auch notwendig sein, dass der Betriebsrat bei der Geschäftsleitung nachfragt, was von Seiten des Unternehmens schon gemacht wurde und zukünftig noch gemacht wird, um ab Mai nächsten Jahres gesetzeskonform zu sein. Weil es sonst ab 26. Mai sehr teuer werden kann.