Datenschutzgrundverordnung – wichtiger denn je

I. Rechtsgrundlagen und Anwendungsbereich

1. Rechtsgrundlagen

Die DSGVO ist als EU-Recht vorrangig vor nationalem Recht anzuwenden. Sie betrifft die automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisiere Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder werden sollen. Dabei sind personenbezogene Daten nach Art. 4 Nr. 1 Hs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Hinweis: Jedes Unternehmen, das seine Lohnbuchhaltung, Personaldaten, Kundendaten etc. mittels EDV verarbeitet, muss sich mit den DSGVO-Regelungen befassen, d. h. grundsätzlich jeder, der beruflich oder wirtschaftlich tätig ist. Allein die persönliche und familiäre Datennutzung im Haushalt ist ausgenommen (vgl. Art. 2 Abs. 2 lit. c) DSGVO). 

2. Anwendungsbereich

Die Bestimmung des Geltungsbereichs der DSGVO richtet sich nach dem Niederlassungsprinzip (vgl. Art. 3 Abs. 1 DSGVO). Dieses wird durch das Marktortprinzip erweitert (vgl. Art. 3 Abs. 2 DSGVO). Danach gilt die DSGVO für alle datenverarbeitenden Unternehmen mit dem Sitz in der EU und für Anbieter mit Sitz außerhalb der EU, soweit sie ihre Angebote – gleich ob entgeltlich oder unentgeltlich – an Bürger in der EU richten oder das Verhalten von EU-Bürgern beobachten, sofern sich diese in der EU aufhalten. 

3. Grundprinzipien

Es gilt das sog. Verbot mit Erlaubnisvorbehalt (vgl. Art. 6 DSGVO). Danach ist jede Verarbeitung personenbezogener Daten verboten, es sei denn, es gibt eine Erlaubnis. Wesentliche Erlaubnistatbestände stellen die Einwilligung des Betroffenen, die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die Verarbeitung aufgrund rechtlicher Verpflichtung sowie die Verarbeitung zur Wahrung berechtigter Interessen (vgl. Art. 6 DSGVO) dar. Personenbezogene Daten von Beschäftigten dürfen insbesondere für Zwecke des Beschäftigungsverhältnisses verarbeitet werden (Art 88 Abs. 1 DSGVO, § 26 Abs. 1 BDSG-neu)

Hinweis: Die Verarbeitung von personenbezogenen Daten der Arbeitnehmer im Rahmen der Lohnabrechnung ist für die Durchführung des Beschäftigungsverhältnisses erforderlich. Zudem bestehen rechtliche Verpflichtungen nach der Abgabenordnung und der Sozialgesetzbücher. Im Beschäftigungsverhältnis können ferner Kollektivvereinbarungen eine Rechtsgrundlage für die Datenverarbeitung begründen (vgl. Art. 88 DSGVO). Damit eigenen sich insbesondere Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (z.B. im Hinblick auf die Nutzung von Daten zur Unternehmenskommunikation etc.).

Eine Einwilligung eignet sich im Verhältnis zu den Beschäftigten als belastbare Grundlage für die Datenverarbeitung nur bedingt. Denn sie muss freiwillig erteilt worden sein, erfordert eine Belehrung des Einwilligenden und ist – mit Wirkung für die Zukunft – frei widerruflich.

Hinweis: Ob ein Austausch der Rechtsgrundlage (z. B. Heranziehung von Art. 6 Abs. 1 lit. b) DSGVO nach Widerruf der Einwilligung i. S. von Art. 6 Abs. 1 lit. a) DSGVO) zulässig ist, ist umstritten. Die griechische Aufsichtsbehörde geht davon aus, dass niemals zwei Rechtsgrundlagen nebeneinander einschlägig sein können, so dass ein „Wechsel" denklogisch nie in Frage kommt. Dann jedenfalls, wenn eine Einwilligung eingeholt wurde, ohne dass der Betroffene auf das Vorhandensein anderer, einschlägiger Rechtsgrundlagen hingewiesen wurde, liegt ein Verstoß gegen die Grundsätze der fairen und transparenten Verarbeitung auf der Hand.

Musste die Einwilligungserklärung der Beschäftigten bisher zwingend schriftlich abgegeben werden, genügt gem. § 26 Abs. 2 Satz 3 BDSG n.F. nunmehr eine elektronische Erklärung. § 126a BGB verlangt insoweit, dass der Aussteller der Erklärung dieser seinen Namen hinzufügt und das Dokument mit einer qualifizierten elektronischen Signatur versieht.

Hinweis: Es ist unklar, ob § 126a BGB zur Konkretisierung der Anforderungen an eine elektronische Erklärung der Einwilligung gem. § 26 BDSG n.F. herangezogen werden kann. Die Einheit der Rechtsordnung spricht dafür, auf die allgemeinen Regelungen des BGB abzustellen. Der Zweck der Neuregelung, eine Erleichterung für den Rechtsverkehr zu schaffen, spricht allerdings dagegen, so dass ggf. auch eine einfache Email genügt. Bis zu einer klaren Positionierung der Datenschutzbehörden sollten allerdings die Anforderungen des § 126a BGB beachtet werden.

Die Zweckbindung stellt ein weiteres wichtiges Prinzip dar. Hiernach dürfen Daten grundsätzlich nur für den Zweck verwendet werden, für den sie auch erhoben wurden. Sollen personenbezogene Daten für einen anderen Zweck verarbeitet werden, als für denjenigen, für den sie erhoben wurden, bedarf es grundsätzlich einer erneuten Erlaubnis (vgl. Art. 6 Abs. 4 DSGVO).

Unverändert von wesentlicher Bedeutung ist der Transparenzgrundsatz (Art. 5 Abs. 1 DSGVO). Der Verantwortliche muss die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten unterrichten. Art. 12 DSGVO verlangt dabei, dass dies in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache erfolgt.

Eine allgemeine Nachweispflicht des Verantwortlichen beinhaltet Art. 24 Abs. 1 DSGVO. Hiernach setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Art. 5 Abs. 2 DSGVO sieht eine Nachweispflicht für die Einhaltung der aufgeführten Grundsätze vor (sog. Rechenschaftspflicht).