Otto Schmidt Verlag

Aktuell im ArbRB

Checkliste zum neuen Datenschutzrecht für kleinere und mittlere Unternehmen - Was ist zu beachten? (Wortmann, ArbRB 2018, 83)

Zum 25.5.2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie bringt einige erhebliche Veränderungen mit sich, die es notwendig machen, dass sich auch kleinere und mittlere Unternehmen auf die neuen Regeln und Anforderungen vorbereiten. Dies betrifft insbesondere den Datenschutz der Beschäftigten. Der Beitrag skizziert den konkreten Handlungsbedarf bei der Umsetzung der DSGVO.

I. Ausgangslage
1. Datenschutz-Grundverordnung und BDSG n.F.
2. Handlungsbedarf
II. Rechtmäßige und verhältnismäßige Verarbeitung personenbezogener Daten
1. Grundsatz der Rechtmäßigkeit
2. Grundsatz der Zweckbindung
3. Verhältnismäßigkeit der Datenverarbeitung; Grundsätze von Datenminimierung und Speicherbegrenzung
4. Verarbeitung besonderer Kategorien personenbezogener Daten
III. Rechenschaftspflicht und Dokumentation – Technische und organisatorische Maßnahmen
1. Rechenschafts-/Nachweispflicht
2. Technische und Organisatorische Maßnahmen
3. Verzeichnis und Folgenabschätzung
a) Verarbeitungsverzeichnis (Art. 30 DSGVO)
b) Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
IV. Information und Auskunftsrechte
V. Datenschutzbeauftragter
VI. Verträge mit Auftragsverarbeitern
VII. Zusammenfassung

I. Ausgangslage
1. Datenschutz-Grundverordnung und BDSG n.F.
Am 25.5.2018 treten sowohl die Datenschutz-Grundverordnung  (DSGVO) als auch ein neues Bundesdatenschutzgesetz  in Kraft. Als Verordnung gilt die DSGVO gem. Art. 288 AEUV unmittelbar und zwingend. Daher konnte der nationale Gesetzgeber im BDSG n.F. nur insoweit Regelungen treffen, als dass die DSGVO dies durch Öffnungsklauseln zuließ. Wesentlich für den Datenschutz der Beschäftigten ist Art. 88 DSGVO, den der deutsche Gesetzgeber auf dieser Grundlage in § 26 BDSG n.F. normiert hat.

2. Handlungsbedarf
Als zentrale Regelung der DSGVO bestimmt Art. 5 Abs. 1 DSGVO verbindliche Grundsätze zur Verarbeitung personenbezogener Daten, die in der DSGVO in verschiedener Weise durch weitere Regelungen konkretisiert werden. Art. 83 DSGVO sanktioniert die Verletzung dieser Grundsätze und anderer Regelungen der DSGVO massiv mit Geldbußen von bis zu 20 Mio. € oder 4,0 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens. Aus der DSGVO erwächst daher bis zum Stichtag 25.5.2018 Handlungsbedarf, dem auch kleine und mittlere Unternehmen ausgesetzt sind.

Beraterhinweis
Keine erheblichen Änderungen ergeben sich bei der materiellen Abwägung zwischen den Interessen des von der Verarbeitung persönlicher Daten betroffenen Beschäftigten (Recht auf informationelle Selbstbestimmung) und den Interessen des Arbeitgebers an der Datenverarbeitung. Der nationale Gesetzgeber hat die bisher maßgebliche Regelung des § 32 BDSG in § 26 BDSG n.F. überführt und ergänzt, ohne dass sich daraus oder aus der DSGVO eine Neugewichtung ergibt. Daher bleibt insofern eine Orientierung an der bisherigen Rechtsprechung möglich.

II. Rechtmäßige und verhältnismäßige Verarbeitung personenbezogener Daten
Elementar ist auch künftig die Gewährleistung der Verarbeitung personenbezogener Daten

  • auf Basis einer Rechtsgrundlage („Rechtmäßigkeit“)
  • und zu vorher festzulegenden Zwecken („Zweckbindung“)
  • in geeigneter, erforderlicher und angemessener Weise (Verarbeitung nach „Treu und Glauben“, „Datenminimierung“, „Speicherbegrenzung“).

Zusätzliche Anforderungen gelten für ...

 

Verlag Dr. Otto Schmidt vom 27.03.2018 16:09
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite