Im Mai tritt die europäische Datenschutzgrundverordnung in Kraft. Welche Folgen das für Unternehmer hat, erklärt unser Kolumnist Andreas Bietmann.

Mittwoch ist Kolumnentag bei WirtschaftsWoche Gründer: Heute schreibt Andreas Bietmann, Partner der Wirtschaftssozietät Bietmann Rechtsanwälte Steuerberater PartmbB in Köln.

Die Digitalisierung des Alltags schreitet unaufhaltsam fort. Das Internet of Things, Cloudcomputing, Smart Homes und allgegenwärtige Soziale Medien eröffnen vielfältige Möglichkeiten, aber auch völlig neuartige Risiken für Unternehmen und Unternehmer. In einer vernetzten Welt findet die elektronische Datenerfassung und -weitergabe grenzüberschreitend statt. Das stellt den nationalen Gesetzgeber vor Schranken. Die Europäische Union ist im Interesse des wirtschaftlichen Erfolgs ihrer Mitgliedsstaaten bei dieser Entwicklung nicht untätig. So tritt am 25. Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie gilt unmittelbar für Unternehmen in Deutschland und Europa. Dies hat erhebliche Auswirkungen auf den bisherigen Umgang mit Daten.

Welche Bedeutung hat die DSGVO als europäischer Rechtsakt in Deutschland?

Die DSGVO ist Unions-Sekundärrecht. Das hört sich zunächst an, als sei sie wenig bedeutsam. Dem ist aber nicht so. Die DSGVO wirkt unmittelbar in allen Mitgliedstaaten und hat dort eine für Jedermann verbindliche Gültigkeit. Die Folgen für den Arbeitsalltag sind daher erheblich, was sich z.B. an den drastischen Strafandrohungen bei Verstößen wiederspiegelt. Im aktuellen Bundesdatenschutzgesetz (BDSG) sind Strafdrohungen von lediglich bis zu 300.000 € vorgesehen; die DSGVO sieht eine Strafhöhe von bis zu 20 Millionen Euro vor.

Was ändert sich durch die DSGVO im Beschäftigtendatenschutz?

Die DSGVO enthält kein abschließendes Normengerüst für den Beschäftigtendatenschutz. Sie stellt Datenverarbeitungsgrundsätze auf, die es zu beachten gilt:

– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
– Zweckbindung
– Datenminimierung
– Richtigkeit
– Speicherbegrenzung
– Integrität und Vertraulichkeit

Der datenschutzrechtlich Verantwortliche muss den Nachweis der Einhaltung dieser Grundsätze führen (Rechenschaftspflicht) und die von ihm getroffenen technisch-organisatorischen Maßnahmen dokumentieren können. Arbeitgeber müssen sich also zwingend bis Mai mit dem neuen Beschäftigtendatenschutz auseinandersetzen.

Welche Möglichkeiten bleiben dem nationalen Gesetzgeber?

In Art. 88 DSGVO ist eine Öffnungsklausel für die Datenverarbeitung im Beschäftigungskontext enthalten. Demnach können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Schutzvorschriften erlassen. Das gilt vor allem für Zwecke der Einstellung und der Erfüllung des Arbeitsvertrags, aber auch für Zwecke der Planung und Organisation der Arbeit. Zu den weiteren europarechtlich anerkannten Zwecken gehören die der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden.

Welche Änderungen gab es im Bundesdatenschutzgesetz?

Der Bundesgesetzgeber hat ein in weiten Teilen völlig neues Bundesdatenschutzgesetz geschaffen, das die europarechtlichen Vorgaben und Gestaltungsmöglichkeiten zumindest teilweise umsetzt. So ist in § 26 Abs. 2 der neuen Fassung des BDSG erstmals die Freiwilligkeit der datenschutzrechtlichen Einwilligung von Arbeitnehmern geregelt. Im Rahmen der immer wieder vor den Arbeitsgerichten verhandelten Frage privater Internetnutzung am Arbeitsplatz entstehen dadurch Kontrollmöglichkeiten, die es vorher nicht gab.

Fazit

Das Datenschutzrecht ist in Bewegung und dessen Bedeutung wird mit der DSGVO in Unternehmen weiter zunehmen. Unternehmen aller Branchen sind durch die weitgefasste Neukonzeption gezwungen, sich mit dem neuen Datenschutzrecht auseinanderzusetzen. Unternehmern ist die Hinzuziehung von externen Datenschutzbeauftragten zu empfehlen und/oder die intensive Schulung der zuständigen Mitarbeiter. Die Zeit bis Mai ist knapp.