Alexander Dix; Dennis-Kenji Kipker

EAID: Datenschutzgrundverordnung - Was kommt auf die Unternehmen zu?


EAID-Veranstaltung zur EU-Datenschutzgrundverordnung am 6.10.2016 in Berlin, Europäische Akademie: Was kommt auf die Unternehmen zu?

ZD-Aktuell 2016, 04212     Die aktuelle Europäische Datenschutzreform, die am 25.5.2018 wirksam wird, bedeutet die größte Zäsur im Datenschutzrecht seit dem Inkrafttreten des BDSG im Jahre 1977. In Begleitung der Vorbereitung und Umsetzung der Datenschutzgrundverordnung (DS-GVO) führt die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) regelmäßige Halbtagsseminare in Berlin durch, um zusammen mit namhaften Referenten über die rechtlichen, wirtschaftlichen und politischen Dimensionen von ausgewählten Aspekten des Themas zu diskutieren. Der zweite Termin der Veranstaltungsreihe fand am 6.10.2016 statt, im Mittelpunkt standen diesmal die Herausforderungen, denen sich die Unternehmen stellen müssen, um den neuen datenschutzrechtlichen Anforderungen gerecht zu werden. Im Fokus der Betrachtungen standen die Rolle der betrieblichen Datenschutzbeauftragten, der zukünftige Beschäftigtendatenschutz und die Auswirkungen der DS-GVO auf international agierende Konzerne.

Peter Schaar, Bundesbeauftragter für den Datenschutz a.D. und Vorsitzender der EAID, eröffnete die Veranstaltung mit einem Grußwort und warf die Frage auf, wie weit die nationalen Regelungsspielräume unter Berücksichtigung des neuen europäischen Datenschutzrahmens noch gingen. Zudem hob er die Auslegungsschwierigkeiten hervor, mit denen die Kommentatoren der DS-GVO aktuell konfrontiert seien. Deutlich sei aber in jedem Falle, dass der zentrale Ansatz der neuen Grundverordnung in der Förderung des EU-Binnenmarkts durch die Schaffung eines möglichst einheitlichen Regulierungsmodells zu sehen sei. Dies habe zur Folge, dass es speziell für die nicht-öffentlichen Stellen ein berechtigtes Interesse gebe, die datenschutzrechtlichen Folgen dieses für sie hoch relevanten europäischen Rechtsakts näher zu beleuchten.

Im Nachgang an die einleitenden Worte eröffnete Prof. Dr. Alfred Büllesbach das erste Panel mit den Referenten Dr. Claus Ulmer, Global Data Privacy Officer der Deutschen Telekom AG, und Dr. Joachim Rieß, Konzernbeauftragter für den Datenschutz der Daimler AG. Claus Ulmer setzte sich in seinem Vortrag mit den Auswirkungen der DS-GVO auf die TK-Unternehmen auseinander. Hierzu merkte er eingangs an, dass die Anforderungen der DS-GVO mit den durch die TK-Unternehmen zu beachtenden Anforderungen nicht zu 100% Prozent deckungsgleich seien, da die e-Privacy-Richtlinie der EU über die DS-GVO hinausgehende zusätzliche Anforderungen an den Datenschutz stelle. In technischer Hinsicht liege die Herausforderung in der immer weiter zunehmenden Digitalisierung und Vernetzung. Austausch, Verarbeitung und Analyse von Daten nähmen immer mehr zu, personenbezogene Daten würden umfangreich verarbeitet, die Komplexität von Datenflüssen steige und immer mehr Endgeräte würden miteinander verknüpft. Auch steige die Skepsis der Bevölkerung gegenüber digitalen Geschäftsmodellen und gefährde dementsprechend neue technische Innovationen. Ergebnisse von Umfragen hätten ergeben, dass die Nutzer von TK-Technologien Transparenz und Kontrolle im Umgang mit ihren personenbezogenen Daten wertschätzten. Dies war auch schon vor dem eigentlichen Datenverarbeitungsvorgang der Fall. Speziell um diese Anforderungen von Kunden zu adressieren, habe die Deutsche Telekom ein internes Whitepaper entwickelt. Die Kernprinzipien des zukünftigen Datenschutzes seien in der Einfachheit, Kundenorientierung, Rechtssicherheit und Dynamik zu sehen. Dem entsprechend hob Ulmer zwei wesentliche Schwerpunkte hervor, die für den Konzerndatenschutz des Unternehmens in den kommenden Jahren von Bedeutung seien: Zum einen die Harmonisierung des Rechts, die sich durch Schlüsselbegriffe wie dem Marktortprinzip (mit dem in der Konsequenz alle Unternehmen unter gleichen Voraussetzungen im Wettbewerb stünden) manifestiere, daneben die Effektivität des zukünftigen Datenschutzrechts, das sich durch Accountability, Dokumentationsverpflichtungen, dem Privacy Impact Assessment (PIA) und Privacy by Design auszeichne. Der Datenschutz habe so die Chance, neue Geschäftsmodelle zu fördern und schaffe so einen erheblichen wirtschaftlichen Mehrwert. Ulmer benannte darüber hinaus weitere für ihn relevante Vorteile der DS-GVO: So erleichtere die in der Verordnung vorgesehene Zertifizierungsmöglichkeit den Nachweis der Compliance z.B. für Cloud-Anbieter, wodurch wiederum der administrative Aufwand für den Konzern reduziert werden könne. Durch die Verwendung pseudonymisierter Daten werde zudem die Nutzung von Big Data gefördert. Mit der Bestimmung einer zentral zuständigen Aufsichtsbehörde seien darüber hinaus EU-weite Geschäftsmodelle und Lösungen besser möglich.

Seit Anfang 2016 laufe bei der Deutschen Telekom ein Umsetzungsprojekt zur DS-GVO, das auf zwei Jahre angelegt sei. In dessen Rahmen würden alle relevanten Unternehmensprozesse auf die Einhaltung der Datenschutzregelungen in Abstimmung mit internationalen Kollegen überprüft. Daneben stünde die Telekom im Hinblick auf den Implementierungsprozess der Grundverordnung im Austausch mit den zuständigen Aufsichtsbehörden und den Anwendern. Vor dem Ablauf der Implementierungsfrist solle final eine Compliance-Prüfung stattfinden. Zum Abschluss seines Vortrags hob Ulmer hervor, dass die Deutsche Telekom mit den neuen europarechtlichen Datenschutzvorgaben zufrieden sei. Gleichzeitig wies er aber auch darauf hin, dass es unzweckmäßig sei, als deutscher Gesetzgeber durch umfassende eigenstaatliche Datenschutzregelungen die gesamteuropäische Wirtschaftsentwicklung auszubremsen, die durch die DS-GVO gerade angestoßen werde. Gesetzgeber und Verbände sollten sich vielmehr auf den Harmonisierungsgedanken fokussieren, speziell diese Initiative solle auch von Deutschland ausgehen und Vorbildwirkung für die anderen europäischen Staaten entfalten. Zur e-Privacy-RL stellte Ulmer fest, dass diese eine eigentlich gegenüber der DSGVO vorrangige Spezialregelung für TK-Diensteanbieter darstelle. Es sei i.R.d. aktuellen Überarbeitung der Richtlinie aber zu hinterfragen, ob und in welchem Umfang diese noch benötigt werde und wie viele Inhalte schon durch die DS-GVO geregelt würden. Dies sei bereits für zahlreiche Aspekte der Fall. Wenn trotz alledem noch das Bedürfnis für eine separate inhaltliche Regelung gesehen werde, müsse das neue Gesetz aus Gründen der Einheitlichkeit nicht als Richtlinie, sondern vielmehr ebenso als Verordnung erlassen werden.

Der zweite Redner, Dr. Joachim Rieß, beschäftigte sich in seinem Vortrag mit den Herausforderungen der deutschen Industrie im internationalen Kontext. Rieß hob eingangs die hohe Bedeutung von Rechtssicherheit für Unternehmen hervor und stellte klar, dass durch die hohen Sanktionen der DS-GVO jedes Management nunmehr dazu angehalten sei, den Konzerndatenschutz hinreichend ernst zu nehmen. Dies zeige gleichzeitig auch den zunehmenden Wandel des Datenschutzrechts hin zum Wettbewerbsrecht auf, wodurch es zur Schaffung einer neuen Compliance-Kultur komme. Den Daimler-Konzern beschäftige im Zuge der Vorbereitungen für die DS-GVO insbesondere die Verpflichtung zur Führung von Verfahrensverzeichnissen. Demgemäß müssen Unternehmen europaweit eine Übersicht über alle Prozesse führen, bei denen personenbezogene Daten verarbeitet werden. Die Aufstellung dieses Verfahrensverzeichnisses sei auf Grund der damit insgesamt verbundenen erhöhten Anforderungen an die Dokumentation eine Herausforderung. Daneben seien die durch die DS-GVO vermittelten erhöhten Transparenzpflichten der europäischen Unternehmen ebenso wichtig. Schon bei der Datenerhebung sei eine transparente Information notwendig. Bei Datenschutzverletzungen, die mit einem hohen Risiko verbunden sind, müssten ferner Meldungen an den Betroffenen erfolgen. Die Meldung an Aufsichtsbehörden innerhalb von 72 Stunden bei risikoträchtigen Datenschutzverletzungen setze ein gut geplantes Incident-Management voraus. Auch stelle das PIA größtenteils Neuland dar, denn es fehle zurzeit noch an den entsprechenden Standards. Hier seien die Datenschutzaufsichtsbehörden aufgefordert zu entscheiden, welche Arten von PIAs ihrerseits akzeptiert würden. Rieß forderte von den Unternehmen, die mit der Implementierung eines Compliance Management-Systems speziell für den Datenschutz befasst sind, darüber hinaus eine erhöhte Accountability. An dieser Stelle würden auch Self-Assessments, Audits und Zertifizierungen eine Rolle spielen. Zwei weitere wichtige Aspekte seien in Data Protection by Design und Data Protection by Default zu sehen. Beide müssten nun aktiv von den Unternehmen implementiert und weiterentwickelt werden, sodass der Datenschutz schon verpflichtend von Anfang einer jeglichen Produktentwicklung an zu beachten sei. Positiv hob Rieß die neu geschaffene Rechtsfigur der gemeinsamen Verantwortlichkeit heraus, denn diese ermögliche es, dass die Verantwortlichkeit für eine Datenverarbeitung von mehreren Beteiligten getragen werde; diese Verantwortungsteilung entspreche auch der IT-Realität bei großen Konzernen. Weitere Herausforderungen für die Datenverarbeitung großer Konzerne sah Rieß in strengeren Voraussetzungen für die datenschutzrechtliche Einwilligung und für die Verarbeitung sensibler Kategorien personenbezogener Daten, insbesondere unter dem Gesichtspunkt einer Verwendung biometrischer Daten sowie im Hinblick auf das Recht der Datenportabilität.

Im zweiten Panel, das Dr. Alexander Dix moderierte, referierten die Konzerndatenschutzbeauftragte der Deutschen Bahn AG, Chris Newiger, und Prof. Dr. Peter Wedde von der Frankfurt University for Applied Sciences. Newiger stellte in den Mittelpunkt ihrer Ausführungen die Frage, was sich für die Unternehmen und deren betriebliche Datenschutzbeauftragte durch die Grundverordnung ändere. I.E. betonte sie, dass sich jedenfalls für diejenigen Unternehmen nichts ändere, die – wie die Deutsche Bahn AG – Datenschutz als Aufgabe und Verantwortung des Managements verstehen. Die von der Verordnung in den Vordergrund gestellte „Accountability“ sei umfassend zu verstehen. Aufgabe der betrieblichen Datenschutzbeauftragten sei es schon nach dem BDSG, auf die Einhaltung des Datenschutzrechts aktiv hinzuwirken; das gehe über das bloße „monitoring“ hinaus. Andererseits gelte es, in den Unternehmen dem Missverständnis entgegenzutreten, so wie die „Buchhaltung“ Buchhaltung mache, mache die Unternehmenseinheit „Datenschutz“ eben Datenschutz. Die Verantwortung (Accountability) liege stattdessen bei jedem, der personenbezogene Daten verarbeite, und letztlich beim Vorstand des Unternehmens. Newiger erläuterte dies an einem Beispiel: Wenn der Vorstand der Deutschen Bahn eine Anwaltskanzlei mit der Begutachtung einer datenschutzrechtlichen Frage beauftragen wolle, so müsse dies der Konzerndatenschutzbeauftragten mitgeteilt werden. Sollte der externe Gutachter zu einer anderen Auffassung als die Datenschutzbeauftragte gelangen, so werde diese ihre Auffassung bekräftigen und den Vorstand auf seine Verantwortung und die – durch die Grundverordnung erheblich gestiegenen - Sanktionsrisiken hinweisen, die mit Datenschutzverletzungen verbunden seien.

Wichtig ist in diesem Zusammenhang, dass jeder betriebliche Datenschutzbeauftragte und auch z.B. die im Bahnkonzern dezentral tätigen Fachkräfte für Datenschutz unabhängig von ihrer organisatorischen Stellung die Möglichkeit haben müssen, direkt dem Top-Management zu berichten. Auch ein enger Kontakt zwischen den Datenschutzbeauftragten in den Unternehmen und der Aufsichtsbehörde sei von großer Bedeutung, etwa um zu klären, ob eine Mitteilungspflicht bei Sicherheitsvorfällen (security breaches) besteht. Die von manchen als zu kurz bezeichnete 72-Stunden-Frist bei solchen Vorfällen wird nach Angaben von Newiger in das konzerninterne Regelwerk übernommen.

Dem immer wieder gemachten Einwand, viele Anforderungen der Grundverordnung seien zwar von Großunternehmen ohne echte Probleme in die Praxis umzusetzen, nicht aber von kleinen und mittelständischen Unternehmen, begegnete Newiger mit dem Hinweis, auch Steuern müssten alle zahlen. Die Pflicht zur Einhaltung des Datenschutzes sei nicht anders zu beurteilen. Interessant war der Hinweis Newigers, wonach das Urteil des EuGH zu Safe Harbor deshalb in vielen Unternehmen mit Verbindungen zu Geschäftspartnern in den USA erstmals zu intensiveren Aktivitäten in Sachen Datenschutz geführt hätte, weil man sich zu lange auf der Safe Harbor-Zertifizierung vieler Datenempfänger ausgeruht habe.

Einen gewissen Änderungsbedarf sah Newiger bei der Datenschutzfolgeabschätzung (Privacy Impact Assessment - PIA), denn die Grundverordnung gehe hier über die bisherigen Regelungen zum Audit hinaus. Dies betreffe auch die Rolle der betrieblichen Datenschutzbeauftragten bei PIAs. In Zukunft müssten die Risiken der Datenverarbeitung  für einzelne Betroffene stärker in den Blick genommen werden. Hier komme es für interne Datenschutzbeauftragte darauf an, nicht zu früh mit der Einschaltung der Aufsichtsbehörde zu drohen, sondern zunächst die eigene Autorität zur Geltung zu bringen. Im richtigen Moment könne es aber sinnvoll sein, die Aufsichtsbehörde zu informieren. Gegenwärtig befassten sich bei der Bahn – wie bei der Telekom und bei Daimler – Arbeitsgruppen mit der Umsetzung der DS-GVO. Newiger hob abschließend – auch mit Blick auf den bekannt gewordenen Referentenentwurf des Bundesinnenministeriums für ein Gesetz zur Anpassung des BDSG – hervor, dass man jetzt der Grundverordnung, auf die sich die 28 Mitgliedstaaten der EU in langwierigen Verhandlungen geeinigt hätten und die viele Elemente des deutschen Datenschutzrechts aufgegriffen habe, eine Chance geben sollte.

Abschließend richtete Prof. Dr. Peter Wedde den Fokus auf die Frage, welche Lösungen die Grundverordnung ab 2018 für den Beschäftigtendatenschutz bereithalte. Insgesamt fiel seine Antwort nicht optimistisch aus. Er beschrieb inakzeptable Unternehmenspraktiken, die immer wieder anzutreffen sind, wie das Verstecken von Kameras in Rauchmeldern, die Administration von unternehmensinternen Netzwerken von Asien aus, der Abgleich von Beschäftigten- und Bewerberdaten mit US-Antiterrorlisten, der Abschluss von Safe Harbor-Exportverträgen nach dem EuGH-Urteil, die pauschale Durchführung von Blut- und Drogentests bei Bewerbern und das lückenlose Filmen von Beschäftigten in IT-Abteilungen und die Auswertung der Aufnahmen in Singapur. Zur Begründung werde – zu Unrecht – teilweise argumentiert, die Videoüberwachung von Beschäftigten sei durch die Grundverordnung gestattet. Auch würde Betriebsräten, die auf Einhaltung von Datenschutzbestimmungen entsprechend ihrer Verpflichtung nach dem BetrVerfG bestünden, entgegengehalten, Datenschutz sei „zu teuer“ oder gegenüber der klassischen Compliance nachrangig.

Näher ging Wedde auf die Bedeutung von Betriebsvereinbarungen ein, die lange bei Arbeitgebern unpopulär gewesen seien. Nach den Datenschutzskandalen von 2009 seien Arbeitgeber aber dazu übergegangen, z.B. konzerninterne Datenflüsse über Betriebsvereinbarungen abzusichern. „Verbösernde“ Betriebsvereinbarungen, die den Standard des BDSG absenkten, seien nicht explizit ausgeschlossen. Auch könnte der Arbeitgeber solche datenschutzunfreundlichen Betriebsvereinbarungen im Einigungsstellenverfahren auch gegen den Widerstand der Betriebsräte durchsetzen. Die Grundverordnung schaffe zwar kein Konzernprivileg, aber der nationale Gesetzgeber könne dies – so Wedde – tun.

Aus der Rechtsprechung der Arbeitsgerichte in Deutschland ergeben sich Konsequenzen, die nach Auffassung von Wedde auch unter der Grundverordnung praktische Bedeutung behalten. So müsste die datenschutzrechtlich gebotene Information der Arbeitnehmer in klarer und einfacher Sprache, in Unternehmen mit multinationaler Belegschaft auch in den jeweiligen Landessprachen erfolgen. Besondere Bedeutung komme hier der Vorschrift des Art. 12 Abs. 8 DS-GVO zu, die die Information durch Bildsymbole vorschreibt. Eine zweckfreie Datenverarbeitung bleibe nach der Verordnung auch im Beschäftigungskontext unzulässig. Das Recht auf Vergessen führe dazu, dass die Auffassung mancher Arbeitgeber, Abmahnungen müssten auf Grund der Rechtsprechung der Arbeitsgerichte zu Bagatellverstößen dauerhaft in der Personalakte bleiben, sich nicht länger halten lasse. Betriebsvereinbarungen, die wie bei der Deutschen Bahn über das gesetzliche Mindestniveau zu Gunsten der Beschäftigten hinausgingen, blieben auch nach der Grundverordnung in Kraft. Wedde erwartet, dass auch Gewerkschaften die Möglichkeiten des Art. 80 DS-GVO zur gebündelten Interessenvertretung nutzen werden.

Die Einrichtung interner sozialer Netzwerke mit Auswertungsmöglichkeit bedarf nach Auffassung von Wedde der Legitimation durch eine Betriebsvereinbarung. Blut- und Drogentests seien nur für bestimmte Berufe zulässig und könnten i.Ü. nicht durch die Einwilligung der Betroffenen gerechtfertigt werden. Eine totale Videoüberwachung am Arbeitsplatz sei in keinem Fall zulässig. Wedde bezeichnete es in diesem Zusammenhang als problematisch, dass Art. 88 Abs. 2 DS-GVO Einschränkungen des Beschäftigtendatenschutzes nicht nur zum Schutz des Eigentums des Arbeitgebers, sondern auch der Kunden rechtfertige. Dadurch könnten Auftraggeber verlangen, dass Auftragnehmer (z.B. IT-Dienstleister) ihre Beschäftigten lückenlos überwachen. Insgesamt vertrat Wedde die Auffassung, dass die Grundverordnung den neuen Anforderungen nicht gerecht werde, vor denen der Datenschutz im Beschäftigungskontext stehe. Als weitere Beispiele hierfür nannte er das Zusammenwachsen beruflicher und privater Anwendungen, die Stimmanalyse bei Bewerbern und Fitness-Apps auf Smartphones, deren Verwendung Arbeitgeber von ihren Beschäftigten verlangen. Einige Probleme würden durch die Grundverordnung gelöst, dafür würden aber neue Fragen aufgeworfen. Insgesamt beantworte die Grundverordnung die Fragen des Datenschutzes am Arbeitsplatz nicht, das könne nur der nationale Gesetzgeber in einem Beschäftigtendatenschutzgesetz.

Der nächste Termin der Veranstaltungsreihe zur Einführung der DS-GVO findet am 1.12.2016 statt. Themenschwerpunkte sind Meinungs- und Informationsfreiheit, soziale Netzwerke und das Recht auf Vergessenwerden. Weitere Informationen und Anmeldemöglichkeiten sind auf der Website der EAID veröffentlicht.

 

Dr. Alexander Dix, LL.M., ist ehem. Beauftragter für Datenschutz und Informationsfreiheit in Berlin und stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

Dr. Dennis-Kenji Kipker ist wissenschaftlicher Assistent am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.