Datenschutzberatung

Mit der Angemessenheitsentscheidung der EU-Kommission trat die umstrittene Regelung des Privacy Shield am 12.07.2016 in Kraft. Damit besteht für datenverarbeitende Unternehmen in der EU neben den Standardvertragsklauseln und Binding Corporate Rules eine weitere Möglichkeit, personenbezogene Daten an Empfänger in den USA zu übermitteln, ohne dass es einer Genehmigung durch die Datenschutzaufsicht für den Transfer bedarf oder dass einer der Ausnahmetatbestände nach § 4c BDSG vorliegt. US-Dienstleister im Bereich Datenverarbeitung können sich ab 01.08.2016 gegenüber dem US Handelsministerium durch eine verbindliche Erklärung nach dem EU-US-Privacy Shield Verfahren zertifizieren lassen. Bislang ist das beim US Handelsministerium geführte Register noch nicht zugänglich.

Welche Schritte dazu einzuleiten sind und welche Elemente die Selbstverpflichtung im Einzelnen enthält erfahren Sie bei Ihrem Datenschutzbeauftragten.

Im Oktober 2015 wurde durch das Urteil des Gerichtshofes der Europäischen Union (EuGH) die „Safe-Harbor“- Entscheidung der Europäischen Kommission aufgehoben. Damit konnten auf der Safe-Harbor-Selbstverpflichtung basierende Datentransfers personenbezogener Daten in die USA nicht mehr zulässig durchgeführt werden. Für betroffene Unternehmen entstand somit unverzüglicher Handlungsbedarf bezüglich ihrer Datenübermittlungen an Unternehmen in den USA. Viele Unternehmen sind deshalb bereits auf die sogenannten EU-Standardvertragsklauseln als zulässige Alternative für den Datenaustausch mit den USA umgestiegen.

Durch den Hamburgischen Datenschutzbeauftragten wurden 35 Prüfungen bei international agierenden Unternehmen mit Firmensitz in Hamburg durchgeführt. Die Mehrzahl der Unternehmen hatte den Datentransfer im Rahmen der Umsetzungsfrist rechtzeitig auf die sogenannten Standardvertragsklauseln umgestellt. Einige Unternehmen jedoch hatten auch ein halbes Jahr nach der Entscheidung des EuGH zu Safe Harbor noch keine zulässige Alternative für den Datentransfer geschaffen. Somit war der Datentransfer dieser Unternehmen in die USA unzulässig. Inzwischen sind 3 Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Diese betrugen zwischen 8.000 und 11.000 Euro. Bei der Bemessung der Bußgelder wirkte sich positiv aus, dass die betroffenen Unternehmen nach Einleitung des Bußgeldverfahrens doch noch eine rechtliche Grundlage für die Übermittlung der Daten geschaffen haben und auf die Standardvertragsklauseln umgestellt haben.

Jedoch wird laut Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz „für künftig festgestellte Verstöße sicherlich ein schärferer Maßstab anzulegen sein.“ Sollten Sie Ihren Datentransfer im Unternehmen also noch nicht angepasst haben, wird es nun höchste Zeit.

Bei Fragen zum Thema Datentransfer in die USA kontaktieren Sie uns gerne!

Das Betriebliche Eingliederungsmanagement (BEM) ist ein Instrument mit dessen Hilfe der Arbeitgeber mit Zustimmung und Beteiligung von längerfristig oder wiederholt arbeitsunfähigen Arbeitnehmern klärt, wie die Arbeitsunfähigkeit möglichst überwunden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und somit der Arbeitsplatz erhalten werden kann. Neben dem Betriebs- oder Personalrat und gegebenenfalls der Schwerbehindertenvertretung können - soweit erforderlich - auch der Personal-/Werks- oder Betriebsarzt am BEM beteiligt werden. Das BEM ist seit dem 01.05.2004 in § 84 Abs. 2 SGB IX geregelt.

Besteht die konkrete Absicht ein betriebliches Eingliederungsmanagement (BEM) durchzuführen, so bestehen bereits zu Anfang des Verfahrens Schnittstellen zum Datenschutz. Die erfolgreiche Durchführung eines BEM ist nicht denkbar ohne die sorgfältige Einhaltung des Datenschutzes. Er schützt  den  Betroffenen  nicht  nur  vor  unkontrollierter  Erhebung  von  Daten, sondern   auch   vor   unberechtigter  Weitergabe   dieser   Daten   an   Dritte. Aufgrund   seiner besonderen Bedeutung empfiehlt es sich, Regelungen zum Datenschutz zu treffen, die dann im Einzelfall   angewendet   werden. In   Betrieben   und   Unternehmen,   die   eine   Dienst-   oder

Betriebsvereinbarung haben, sollten die datenschutzrechtlichen  Aspekte fester  Bestandteil  der Vereinbarung sein, um den betrieblichen Umgang mit sensiblen Daten zu regeln und diesen Prozess nach außen transparent zu machen.

Einem BEM liegt immer ein ordnungsgemäßes Angebot an den Beschäftigten zugrunde. Dieses ist jedoch dann nicht in ordnungsgemäßer Weise erfolgt, wenn  der Arbeitgeber dem Arbeitnehmer nicht mitteilt, welche Daten im Sinne von § 3 Abs. 9 BDSG erhoben und gespeichert werden und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden.

Aufgrund dieser Tatsache wurde bereits wiederholt von der Rechtsprechung in der Folge darauf abgestellt, dass das betriebliche Eingliederungsmanagement nicht ordnungsgemäß erfolgte.

• LAG Schleswig-Holstein vom 22.09.2015 - 1 Sa 48 a/15
• BAG vom 20.11.2014 - 2 AZR 755/13

Bei Fragen zum Thema Beschäftigtendatenschutz kontaktieren Sie uns gerne!

Heute erfolgte die Veröffentlichung der DSGVO im Amtsblatt der Europäischen Union. Damit tritt sie 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden anwendbar. Daraus ergibt sich ein Zeitraum von 750 Tagen ab Veröffentlichungsdatum, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen.

In Anbetracht der Vielzahl neuer Regelungen und Anforderungen ist diese zweijährige Frist für die Umstellung in der Praxis eher kurz bemessen. Die EU-Datenschutzgrundverordnung mit ihren 99 Artikeln und 173 Erwägungsgründen ist deutlich umfangreicher als das Bundesdatenschutzgesetz. Zudem richtet die DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszugestalten bzw. gibt ihm die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Diese Gesetzgebungsverfahren finden ebenfalls in der laufenden Übergangszeit statt. Die Herausforderung für Privatwirtschaft und öffentliche Hand besteht somit darin, sich mit dem Regelungswerk der DSGVO vertraut zu machen, den individuellen Umstellungsbedarf festzustellen und dabei die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene nicht unberücksichtigt zu lassen. Dies erfordert eine frühzeitige Analyse der bestehenden Datenschutzorganisation und eine ziel- und lösungsorientierte Planung der Maßnahmen für die Neuausrichtung, um den neuen Anforderungen zum Stichtag gerecht zu werden.

Wir werden die Entwicklungen für Sie im Auge behalten und Sie über unsere Informationsmedien regelmäßig darüber informieren.

Bei Fragen zum Thema EU-DSGVO und der notwendigen Umsetzungsplanung sprechen Sie uns bitte an.

Alle Informationen rund um die EU-DSGVO finden Sie hier.

Foto: © Andrey Kuzmin / Fotolia

Auf dem diesjährigen BvD-Verbandstag in Berlin hat der ds²-Inhaber und BvD-Vorstandsvorsitzende Thomas Spaeing zusammen mit dem ds²-Team und vielen Experten aus der Politik und Wirtschaft über die Bedeutung des Datenschutzes vor dem Hintergrund wachsender digitaler Anwendungen diskutiert. Der Verbandstag stand dieses Jahr unter dem Motto „Digitalisierung gestalten – Vertrauen schaffen“. Ein Thema, das dieses Jahr besonders im Fokus stand, war die vom EU-Parlament final verabschiedete Datenschutzgrundverordnung.

Der nach wie vor hohe Datenschutzstandard in Deutschland entwickelt sich nach Meinung der Experten immer mehr zum Standortvorteil für Unternehmen. So entstehe in der Wirtschaft „ein Wettbewerbsvorteil durch guten Datenschutz“ laut BvD-Vorstandsvorsitzendem Thomas Spaeing.

Weitere Informationen zum BvD-Verbandstag finden Sie hier.

Es war ein langer Weg für die EU-Datenschutzgrundverordnung, doch mit der Zustimmung durch das Europäische Parlament am 14.04.2016 tritt sie nun 20 Tage nach erfolgter Veröffentlichung im elektronischen Amtsblatt der EU in Kraft. Damit wird sie für Unternehmen nach der zweijährigen Übergangsfrist voraussichtlich Ende Mai 2018 anwendbar – nicht viel Zeit, um sich auf die neuen datenschutzrechtlichen Verpflichtungen einzustellen.

Denn die Änderungen sind umfangreich. Angefangen von der mit einer Beweislastumkehr verbundenen „Accountability“ (Rechenschafts- und Nachweispflicht für die Einhaltung der datenschutzrechtlichen Prinzipien der EU-Datenschutzgrundverordnung) kommen auch deutlich umfassendere Informations-, Transparenz- und Dokumentationspflichten auf die Unternehmen zu. Die Datenschutzpraxis im Unternehmen sollte rechtzeitig auf den Prüfstand, um festzustellen, wie die Umsetzungsplanung gestaltet werden muss, damit die eigenen Geschäftsmodelle, Prozesse und datenschutzrechtlichen Verträge den neuen Anforderungen rechtzeitig gerecht werden.

Umso mehr Anlass, sich mit den Regelungen der EU-Datenschutzgrundverordnung vertraut zu machen. Dies gilt insbesondere vor dem Hintergrund, dass der nationale Gesetzgeber die gleiche Frist nutzen muss, um die datenschutzrechtlichen Regelungen in anderen Gesetzen zu prüfen und gegebenenfalls auch anzupassen. Denn Verstöße werden ungewohnt härter geahndet als nach heute geltendem Datenschutzrecht, da sich die zukünftigen Sanktionen an denen des kartellrechtlichen Unternehmensbegriffs orientieren. Im Maximalfall drohen somit Bußgelder bis zu 20 000 000 € oder 4 % des gesamt weltweit erzielten Jahresumsatzes einer Unternehmensgruppe. Auch die Bandbreite der bußgeldbewehrten Verstöße ist größer geworden, denn anders als bisher werden zukünftig auch Verstöße gegen die Datensicherheit unmittelbar unter Bußgeld gestellt.

Wir werden die Entwicklungen für Sie im Auge behalten und Sie über unsere Informationsmedien regelmäßig darüber informieren.

Bei Fragen zum Thema EU-DSGVO und der notwendigen Umsetzungsplanung unterstützt Sie Ihr ds²-Datenschutzbeauftragter.