EU-Parlament beschließt Datenschutz-Grundverordnung: Ein­heit­li­cher, strenger, teurer

2/2: Das Recht auf Vergessenwerden und die Compliance

Neu ist auch das Recht auf Datenportabilität. Dies bedeutet, dass Verbraucher von Unternehmen verlangen können, sämtliche über sie gespeicherte personenbezogen Daten herauszugeben. Als Gegenstück hierzu sieht die DS-GVO auch ein Recht auf "Vergessenwerden" vor, das über die bisherigen Löschungspflichten nach dem BDSG hinausgeht. Die Umsetzung dieser neuen Vorgaben kann für Unternehmen einen erheblichen finanziellen und administrativen Mehraufwand mit sich bringen.

Durch den deutlich erhöhten Bußgeldrahmen wirkt sich die DS-GVO zwangsläufig auch auf Compliance-Abläufe im Unternehmen aus. Zum einen müssen Unternehmen mögliche Fehler beim Datenschutz wegen der hohen Bußgelder und möglichen Schadensersatzansprüche im Rahmen von Gefährdungsanalysen neu bewerten. Zum anderen werden auch die Voraussetzungen für datenschutzkonforme Compliance-Kontrollen und interne Ermittlungen durch die neuen Anforderungen und Sanktionen unter der DS-GVO komplexer. Auch organisatorische Compliance-Maßnahmen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten, gewinnen durch die neuen Vorgaben an Bedeutung.

Beschäftigtendatenschutz

Es spricht derzeit einiges dafür, dass die nationalen Regelungen zum Beschäftigtendatenschutz und die dazu ergangene ausdifferenzierte Rechtsprechung der Arbeitsgerichte auch unter der DS-GVO weiter gelten werden. Denn die DS-GVO sieht hier einen Umsetzungsspielraum für nationale Spezialregelungen vor, damit die einzelnen Mitgliedsstaaten die bei ihnen bestehenden Besonderheiten im Beschäftigungskontext angemessen berücksichtigen können. Viele sonstige Regelungen der DS-GVO betreffen allerdings auch direkt oder mittelbar den Datenschutz am Arbeitsplatz. Beispielsweise müssen Arbeitgeber die neuen Anforderungen zur Transparenz bei der Datenverarbeitung auch im Rahmen des Beschäftigtendatenschutzes erfüllen.

Auch bei Betriebsvereinbarungen gibt es teilweise erheblichen Änderungsbedarf. Als Rechtsgrundlage für den Umgang mit Beschäftigtendaten werden sie grundsätzlich weiter zulässig sein. Die DS-GVO schafft insoweit jedoch auch eine Reihe neuer Anforderungen, die Unternehmen bei bestehenden und neuen Betriebsvereinbarungen umsetzen müssen. Die erforderliche Bestandsaufnahme und der anschließende Abstimmungs- und Anpassungsprozess mit den Arbeitnehmervertretungen können durchaus zeitintensiv sein.

Geringere Bußgelder bei nachweislichen Bemühungen

Unternehmen sollten die einzelnen Phasen der Umsetzung der neuen Anforderungen der DS-GVO in der Praxis zügig planen. Sie sollten analysieren, welche Veränderung die DS-GVO gegenüber dem bisherigen Datenschutz nach dem BDSG bringt und wie sich dies in der Praxis auf die Geschäftstätigkeit und die Prozesse im Unternehmen auswirkt. Projekte zur Implementierung des neuen EU-Datenschutzrechts sollten von der ersten Budgetplanung über eine Gap-Analyse und eine Risikobewertung bis hin zur Umsetzung neuer Datenschutz-Management-Strukturen, Datenschutzrichtlinien, Schulungen und der Kontrolle einzelner Prozesse professionell geplant sein.

Ob ein Unternehmen diese Anforderungen erfüllt, werden zukünftig auch die Datenschutzaufsichtsbehörden berücksichtigen, wenn sie entscheiden, ob und in welcher Höhe ein Bußgeld wegen Datenschutzverstößen verhängt wird. Je besser ein Unternehmen also angemessene Bemühungen bei der Umsetzung der organisatorischen Anforderungen der DS-GVO an Datenschutz-Compliance-Strukturen nachweisen kann, desto geringer sind die Bußgeldrisiken bei Datenschutzverstößen.

Teils erhebliche Änderungen nötig

Die Änderungen unter der DS-GVO sind gravierend: Millionenbußgelder, eine verschärfte zivilrechtliche Haftung auch für immaterielle Schäden mit Beweislastumkehr und einem Verbandsklagerecht, umfassende Pflichten bei der Unterrichtung über Datenverarbeitungen oder bei der Dokumentation von Datenschutzprozessen sowie weitgehende Meldepflichten bei Datenpannen.

Die zweijährige Umsetzungsfrist wirkt auf den ersten Blick komfortabel lang. Tatsächlich aber ist sie kurz bemessen. Denn die Neuregelung betrifft jeden Unternehmensbereich, der personenbezogene Daten verarbeitet. In der Praxis sind das vor allem Informationen über Kunden oder Mitarbeiter, teilweise müssen IT-Strukturen und Geschäftsprozesse umgestellt werden.

Viele Firmen haben bereits Budgets zur Umsetzung der neuen Anforderungen der DS-GVO aufgesetzt. In die Umsetzung sollten nicht nur die Bereiche Datenschutz und IT, sondern auch Personal, Recht, Revision und vor allem die operativen Unternehmensfunktionen eingebunden werden. Denn gerade diese sind oft auf umfangreiche Datenverarbeitungen angewiesen. Neben einer professionellen Projektplanung ist es für eine erfolgreiche Umstellung auf das neue Datenschutzrecht entscheidend, die komplexen rechtlichen Anforderungen zu verstehen und in praktikable und wirksame Lösungen umzusetzen. Unternehmen sollten sich deshalb frühzeitig und systematisch mit der Umsetzung des neuen Datenschutzrechts befassen.

Tim Wybitul ist Partner bei Hogan Lovells und berät Unternehmen umfassend zum Datenschutz. Bundesgerichtshof und Bundesarbeitsgericht zitieren seine Veröffentlichungen in mehreren Entscheidungen.

Dr. Wolf-Tassilo Böhm ist als Senior Associate am Frankfurter Standort von Hogan Lovells tätig. Er berät Unternehmen schwerpunktmäßig in arbeits- und datenschutzrechtlichen Fragen, zu IT am Arbeitsplatz, zu Compliance und bei internen Ermittlungen.