Sitzung KBR April in Potsdam IN EINER NICHT SO FERNEN ZUKUNFT

Transkript

1 Sitzung KBR April in Potsdam IN EINER NICHT SO FERNEN ZUKUNFT

2 REAL EXISTIERENDE SATIRE: DAS ENDE DES BDSG (BUNDESDATENSCHUTZGESETZ)

3 Ab 2018 sind werden aufgrund der neunen EU-Datenschutz- Verordnung alle deutschen Gesetze zum Datenschutz allen voran das BDSG praktisch ungültig. Als EU-Verordnung steht der Datenschutz in der EU dann über nationalem Recht, und muss durch die Mitgliedsstaaten umgesetzt werden. In vielen Punkten wird die bisherige Gesetzgebung völlig ausgehebelt oder aufgeweicht. DAS DATENSCHUTZNIVEAU IN DEUTSCHLAND SINKT

4 ?? Einen Datenschutz wie wir ihn kennen gibt es dann nicht mehr. Es verlagern sich durch die Verordnung Verantwortlichkeiten, die Aufgaben bisheriger Datenschutzbeauftragter (DsB) werden wegfallen Neuer Name: Beauftragte für Datenschutz und freien Datenverkehr. Alleine die Bezeichnung dürfte schon für Unbehagen sorgen.

5 DAMIT ABER NICHT GENUG: Betriebliche DsB fallen in kleinen Betrieben ganz weg und bleiben nur bei staatliche Behörden erhalten (Bei <250 MA nicht mehr zwingend) Geschäftsführer und Betriebsräte müssen diese Aufgabe dann künftig selbst übernehmen Den Betriebsräten kommt eine starke Kontrollfunktion zu Die Verantwortlichkeit erstreckt sich dann auch auf die Infrastruktur Datenschutzschulungen müssen Geschäftsführungen und Betriebsrat gemeinsam organisieren und durchführen Arbeitgeber erhalten das Recht, nahezu alles zu überwachen und alle Daten zu sammeln. Die Zweckbestimmung wird aufgeweicht.

6 Nahezu alle Betriebsvereinbarungen auf Basis des alten BDSG verlieren praktisch ihre Gültigkeit Gibt es Datenlecks im Betrieb müssen Geschäftsführung und BR diese erkennen und öffentlich machen; notfalls über die Presse Viele bisher mitbestimmungspflichtige Tatbestände im Betriebsverfassungsrecht fallen möglicherweise weg Der Datentransfer innerhalb eines Konzerns und dessen Töchter wird uneingeschränkt erlaubt sein Whistelblowing wird hart bestraft (die Pressefreiheit jedoch nicht angegriffen) Alleine die Firmen entscheiden, welche Daten geheim sind und welche nicht WAS BLEIBT AUßER FRUST?

7 Die Firmen sind mehr als gut beraten, mit dem Betriebsrat zusammen zu arbeiten und das Beste aus der Situation zu machen, denn wo kein Kläger da kein Richter. Das positive für die Betriebsräte an der neuen Verordnung ist, das sich an der Haftungsbeschränkung des Betriebsrates nichts ändern wird. Die Bundesregierung könnte außerdem per Ausführungsverordnung die Position eines betrieblichen Datenschutzbeauftragten erlauben, der aber praktisch keinerlei Befugnisse besitzen würde. Optional erlaubt die Verordnung zusätzlich die Etablierung nationale Arbeitnehmerdatenschutz-Gesetze, die aber aufgrund der fest definierten Inhalte der Verordnung kaum das Papier wert sind auf dem sie stehen werden. Wenn es überhaupt dazu kommt. Inwieweit Löcher in der Verordnung Gestaltungsmöglichkeiten für nationale Gesetze ermöglichen ist noch nicht klar.

8 POSITIV IST: Anonyme Daten müssen anonym bleiben. Sind Daten anonymisiert, dann dürfen diese nicht mehr lesbar gemacht werden. Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, egal ob sie hier ihren Sitz haben oder nicht. Es ist ebenso egal, wo die Datenverarbeitung stattfindet, da jede Verarbeitung von personenbezogenen Daten von Nutzer*innen aus der EU unter den Anwendungsbereich der Grundverordnung fällt. Auftragsdatenverarbeitung durch Dritte wird es nicht mehr geben Einwilligung & Auskunftsrecht: Verarbeiten Unternehmen persönliche Daten, müssen sie dazu eine ausdrückliche Zustimmung von ihren Kunden einholen. Diese können jederzeit Auskunft über die gespeicherten Daten einfordern oder ihre Einwilligung zurückrufen.

9 Datenübertragbarkeit: Neu ist, dass Nutzer*innen ihre persönlichen Daten (Fotos, Posts, Freundeslisten) von einem kommerziellen Dienstleister wie etwa Facebook zu einem anderen mitnehmen können. Wie dies in der Praxis genau funktionieren soll, ist allerdings noch unklar. Recht auf vergessen werden: Seit einem Urteil des Europäischen Gerichtshofs muss z.b. Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Härtere Strafen: Verstoßen Unternehmen gegen die Datenschutzregeln, müssen sie bis zu vier Prozent ihres Jahresumsatzes als Strafe zahlen. Mindestalter: Hier lässt die Grundverordnung Spielraum für die Mitgliedstaaten. Sie dürfen entscheiden, ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen.

10 Fakt ist das wir uns in Deutschland vom hohen Niveau des Datenschutzes verabschieden müssen. Zwar sind einige Regelungen deutlich als positiv zu bewerten, auf der anderen Seite wird der Datenschutz in wichtigen Punkten aufgeweicht. Etwas Hoffnung bleibt: Schon häufig hat sich gezeigt, dass nichts so heiß gegessen wie gekocht wird.

11 Unser Sachverständige Dirk Hammann sagt dazu (Mail vom ): Nach Kurzlektüre der Kommentierungen zur EU- DSGVO eine ebenso kurze erste Stichwortliste. Ich denke, ja, am Ball bleiben ist angesagt. Andererseits ist meine erste Einschätzung die, dass die für Beschäftigte eher kritischen Aspekte konkret bei Euch nicht so zum Tragen kommen. Weil ihr national aufgestellt seid, groß seid und für die wichtigen Systeme eben schon BVen abgeschlossen habt und eben primär gerade nicht auf das BDSG oder andere Datenschutzgesetze setzen müsst.

12 Sehen wir es etwas entspannt