7+8 | 2017
Wirtschaft im Südwesten
51
Neues Datenschutzrecht
Gravierende Änderungen nötig
B
undestag und Bundesrat haben im Mai dem neu-
en Bundesdatenschutzgesetz (BDSG) zugestimmt
(wie bereits in WiS 6/17 berichtet). Damit haben sie
den Weg für eine umwälzende Reform des deutschen
Datenschutzrechts freigemacht: Das BDSG und wei-
tere Gesetze wurden an die EU-Datenschutzgrund-
verordnung (EU-DSGVO) angepasst und in weiten
Bereichen geändert. Für Unternehmen bedeutet dies
erheblichen Handlungsbedarf.
Sie müssen nun zeitnah zahlreiche neue gesetzliche
Vorgaben umsetzen. Nur so können sie die drastisch
erhöhten Bußgelder und andere Konsequenzen wie
wettbewerbsrechtliche Abmahnungen oder Schwie-
rigkeiten bei Gerichtsverfahren wegen fehlender Do-
kumentation vermeiden.
Unternehmen müssen
Verträge und Formulare an-
passen
. Hier einige Beispiele:
Die Datenschutzerklärung auf der Website muss
abgeändert und ergänzt werden.
Schriftliche und elektronische Einwilligungserklärun-
gen zur Datenverarbeitung müssen einen Hinweis zur
Widerruflichkeit enthalten.
Bei der Einwilligung Minderjähriger sind die neuen
Vorgaben zur Einsichtsfähigkeit und den Altersgren-
zen umzusetzen.
Die bisherigen Regelungen zur Auftragsdatenverar-
beitung sind zu überarbeiten und an neue Vorgaben
anzupassen.
In dem neuen Gesetz sind verschiedene
neue Do-
kumentationspflichten
vorgesehen: So wurde zum
Beispiel im Rahmen des Beschäftigungsdatenschut-
zes die Beweislast umgekehrt. Demnach müssen Un-
ternehmen künftig durch geeignete Dokumentation
nachweisen, dass sie datenschutzrechtliche Vorgaben
hinsichtlich Beschäftigungsdaten einhalten. Im Rah-
men der Prüfung der Datensicherheit wurde der zu
dokumentierende Anforderungskatalog erweitert und
merklich ergänzt. Zukünftig muss insbesondere eine
Prüfung der Schutzmaßnahmen anhand des Stands
der Technik (inklusive einschlägigen Richtlinien und
Empfehlungen des Bundesamtes für Sicherheit in der
Informationstechnik), der Implementierungskosten,
des Zwecks der Verarbeitung sowie der Eintrittswahr-
scheinlichkeit und Schwere der mit der Verarbeitung
verbundenen Gefahren für die Rechtsgüter der be-
troffenen Personen gewährleistet und dokumentiert
werden.
Das neue BDSG verlangt von Unternehmen die
Im-
plementierung komplexer neuer Prozesse
. So ist
beispielsweise bei der Einführung neuer Verfahren
der Datenverarbeitung (wie neuer Hard- oder Soft-
ware) eine sogenannte
Datenschutzfolgeabschätzung
vorzunehmen und zu dokumentieren. Dabei müssen
detaillierte Aspekte rechtlicher und technischer Art
geprüft werden.
Zudem sind zum Beispiel bei Datenpannen
strengere
Meldepflichten
an Aufsichtsbehörden und Betroffene
vorgesehen, wobei insbesondere schnelle Reaktions-
zeiten (binnen 72 Stunden) zu organisieren sind.
Wichtige Änderungen bringt für die Praxis der
neue
Beschäftigtendatenschutz
, der deutlich umfangrei-
chere und ausführlichere Regelungen als bisher ent-
hält. So findet sich nun der von der Rechtsprechung
entwickelte Grundsatz wieder, wonach stets eine
Interessenabwägung zwischen den vom Arbeitgeber
verfolgten Zwecken und den Belangen des Beschäftig-
ten erforderlich und zu dokumentieren ist. Es gibt auch
neue Regelungen zu Einwilligungen von Beschäftigten
in die Verarbeitung ihrer Daten, zur Datenverarbeitung
durch Betriebsräte und zu den inhaltlichen Anforde-
rungen an Betriebsvereinbarungen. Arbeitgeber und
Betriebsräte müssen daher viele der bestehenden Be-
triebsvereinbarungen an das neue Recht anpassen
und/oder geeignete Rahmenbetriebsvereinbarungen
erstellen.
Es ist nicht Kerninhalt der Neuregelung, doch von
durchaus erheblicher praktischer Bedeutung: Statt
bislang maximal 300.000 Euro wurden
Bußgelder
nunmehr auf bis zu 20 Millionen Euro oder bis zu vier
Prozent des gesamten weltweit erzielten Jahresumsat-
zes im vorangegangenen Geschäftsjahr (je nachdem,
welcher Wert der höhere ist) angehoben. Dabei gilt der
Jahresumsatz des gesamten Konzerns, nicht der von
einzelnen juristischen Personen.
Hier wurden nur einige wichtige Neuregelungen dar-
gestellt, der Handlungsbedarf in Unternehmen ist also
noch größer.
Clemens Pustejovsky,
Rechtsanwaltskanzlei Nolte Pustejovsky
Das neue Daten-
schutzgesetz hat für
Unternehmen zahlreiche
Änderungen zur Folge.
Bußgelder für
Unternehmen
wurden drastisch
erhöht
Bild: Tomasz Zajda - Fotolia