Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
Seit zwei Jahren, seit dem 25. Mai 2018 ist die DSGVO geltendes Recht in Deutschland und allen anderen Mitgliedsstaaten der Europäischen Union. Wenig später erfolgte auch die Übernahme durch die EWR Staaten Norwegen, Island und Liechtenstein.
Manche Kommentare vor Inkrafttreten der DSGVO ließen schlimmstes befürchten. Die Pflichten für die Unternehmen wurden teils als viel zu umfassend angesehen. Zwei Jahre später zeigt sich aber, dass die DSGVO keinesfalls katastrophale Auswirkungen hat. Das Bewusstsein für die Bedeutung des Datenschutzes ist jedenfalls stark angestiegen und zwar sowohl bei denjenigen, die Daten verarbeiten, als auch bei denjenigen, deren Daten verarbeitet werden.
Trotz einer Vorbereitungszeit von zwei Jahren – die DSGVO wurde bereits 2016 verabschiedet – war der Stand der Umsetzung der DSGVO in den Unternehmen sehr unterschiedlich. Teils waren die Unternehmen sehr gut vorbereitet, andere standen noch am Anfang dieses Prozesses. Unternehmen, die sich erst spät mit der Umsetzung befasst haben, passten zunächst all das an, was nach außen hin sichtbar war: die Informationsschreiben nach Art. 13 und 14 DSGVO, Datenschutzerklärungen auf Homepages, die Meldung von Datenschutzbeauftragten, etc. Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) erfolgte häufig erst später oder steht bis heute noch aus.
Viele sehen die europäischen Datenschutzregelungen immer noch eher als Hemmnis denn als Chance an. Aufgrund des hohen Aufwands, den Datenschutz Compliance erfordert, mag diese Ansicht auf den ersten Blick richtig sein. Das gestiegene Bewusstsein für die Bedeutung des Datenschutzes führt aber immer häufiger dazu, dass Datenschutz auch als Verkaufsargument für webbasierte Dienste angeführt wird. Insofern stellt der Datenschutz auch eine Chance dar.
Eine der zentralen Änderungen durch die DSGVO war der Anstieg des Bußgeldrahmens. Bußgelder können bis zu EUR 20.000.000,00 oder sogar bis zu 4 % des weltweiten Umsatzes betragen. Das hat viele Befürchtungen hervorgerufen. Tatsächlich wurden unter Geltung der DSGVO teils erhebliche Bußgelder von bis zu über EUR 100.000.000,00 verhängt. Die Regel sind sie aber nicht. Es ist aber schon festzustellen, dass die Zahl der Bußgeldverfahren zugenommen hat. Dieser Trend dürfte sich fortsetzen.
Bislang fehlt es an einem einheitlichen Bußgeldkatalog für ganz Europa. Die deutschen Aufsichtsbehörden haben sich auf ein Verfahren zur Bemessung der Bußgelder verständigt, um jedenfalls innerhalb Deutschlands abgestimmt vorzugehen. Eine europaweite Einigung wäre jedoch wünschenswert.
Die DSGVO sieht in Art. 82 vor, dass jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen hat. Das gilt sowohl für materielle als auch immaterielle Schäden (Schmerzensgeld). Diese Ansprüche gab es auch schon früher, allerdings waren Urteile, die einen Schmerzensgeldanspruch wegen Verletzung von Datenschutzvorschriften zusprachen, eher selten. Die Sorge, dass jeder Datenschutzverstoß dazu genutzt werden könnte, ein Schmerzensgeld geltend zu machen, scheint unbegründet. Die ersten Entscheidungen zeigen, dass eine gewisse Erheblichkeit des Verstoßes nach Ansicht der Rechtsprechung Voraussetzung für einen Schmerzensgeldanspruch ist.
Im Falle einer Datenpanne, wenn zum Beispiel personenbezogene Daten an Dritte gelangen, sieht die DSGVO unter bestimmten Voraussetzungen die Pflicht zur Meldung an die Aufsichtsbehörde und zur Benachrichtigung der betroffenen Personen vor. Die Zahl der Meldungen hat erheblich zugenommen. Wichtig ist, dass Unternehmen nicht nur Vorkehrungen dafür treffen, dass es nicht zu Datenpannen kommt, sondern auch dafür, wie im Falle einer Datenpanne verfahren wird. Die Frist für die Meldung an die Aufsichtsbehörde ist mit 72 Stunden extrem kurz. Mitarbeiter müssen dafür sensibilisiert werden, Datenpannen zu erkennen und unverzüglich zu melden. Es müssen klare Verantwortlichkeiten vorhanden sein, um innerhalb der Frist prüfen und entscheiden zu können, ob eine Meldung an die Aufsichtsbehörde und eine Benachrichtigung an die betroffenen Personen zu erfolgen hat.
Die Anpassung von Betriebsvereinbarungen an die neue Rechtslage ist ein Prozess, der in vielen Unternehmen nach wie vor nicht abgeschlossen ist. Arbeitgeber haben nach Inkrafttreten der DSGVO im ersten Schritt mit ihren Betriebsräten Rahmenbetriebsvereinbarungen geschlossen. Diese hatten das Ziel, einen DSGVO konformen Rechtsrahmen für alle IT Betriebsvereinbarungen zu schaffen. Die Anpassung der häufig hohen Anzahl von IT Betriebsvereinbarungen wurde in einem zweiten Schritt in Angriff genommen. Abhängig von der Zahl der vorhandenen IT Betriebsvereinbarungen und der Komplexität der IT Infrastruktur und Prozesse dauern die Verhandlungen mit den Betriebsräten nicht selten Jahre.
Art. 15 DSGVO gibt jeder Person ein umfassendes Auskunftsrecht gegenüber dem Verantwortlichen. Dieser muss über sämtliche zu einer Person gespeicherten Daten jederzeit auf Verlangen der Person innerhalb eines Monats nach dem Auskunftsersuchen Auskunft erteilen. Von diesem Anspruch wird immer häufiger Gebrauch gemacht. Ein Auskunftsersuchen stellt selbst gut vorbereitete Unternehmen vor Schwierigkeiten. Oftmals ist es technisch nicht ohne weiteres möglich, sämtliche zu einer Person gespeicherten Daten auf Knopfdruck aus der Gesamtheit der vorhandenen Daten herauszufiltern. Selbst wenn dies gelingt, muss geprüft werden, ob durch die Auskunft Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das ist zumeist nicht automatisiert möglich. Besonders kompliziert wird es dann, wenn die Person auch noch eine Kopie sämtlicher Daten verlangt. Auch hier gilt es gut vorbereitet zu sein.
Im Grundsatz hat sich die DSGVO in der Praxis bewährt. Bis zum 25. Mai 2020 muss die Kommission dem Europäischen Parlament einen Bericht über die Bewertung und Überprüfung der DSGVO vorlegen. Es bleibt abzuwarten, ob es zu Änderungen an der DSGVO kommen wird. Eine grundlegende Reform wird es sicher nicht geben, aber hoffentlich Anpassungen von Regelungen, die sich in der Praxis nicht bewährt haben.
Datenschutz-Compliance wird nicht zuletzt wegen der Höhe der Bußgelder immer wichtiger, aufgrund der Komplexität der DSGVO aber auch immer aufwändiger. Eine gute Datenschutz-Compliance lohnt sich. Bußgelder, Schadensersatzansprüche und Reputationsverluste wiegen im Zweifelsfalle schwerer.
