Das neue europäische Datenschutzrecht Eckpfeiler einer Datenschutz-Compliance im Zeitalter der EU-DSGVO, des BDSG-E und des EU-/US-Privacy Shield

Transkript

1 Das neue europäische Datenschutzrecht Eckpfeiler einer Datenschutz-Compliance im Zeitalter der EU-DSGVO, des BDSG-E und des EU-/US-Privacy Shield 18. Mai 2017 Dr. Thilo Mahnhold JUSTEM Rechtsanwälte Dr. Daniel Klösel JUSTEM Rechtsanwälte

2 Inhalt I. Data privacy laws go Europe! 1. EU-Datenschutzgrundverordnung ( DSGVO ) 2. Datenschutz Anpassungs- und Umsetzungsgesetz EU ( BDSG-E ) 3. EU-/US-Privacy Shield II. Eckpfeiler des neuen Datenschutzrechts 1. Haftungsregime 2. Anwendbarkeit: (Ex-)Territorial und sachlich 3. Rechtmäßigkeit der Datenverarbeitung: Datenschutzrechtliche Zweischrittprüfung a) Übersicht: Grundstruktur bleibt erhalten! b) 1. Schritt: Einwilligung, Betriebsvereinbarung, allgemeine Rechtfertigung, ADV c) 2. Schritt: Einwilligung, allgemeine Rechtfertigung zur Datenerhebung mit und ohne adäquatem Schutzniveau 4. Verfahrensverzeichnis 5. Erweiterte Informationspflichten und Transparenzvorgaben Seite 2

3 Inhalt 6. Datenschutzfolgeabschätzung 7. Datenschutzbeauftragter III. Was tun? Eckpfeiler einer Datenschutz-Compliance 1. Bestandsaufnahme 2. Datenschutzrechtliche Ebene a) Anpassungsbedarf b) Beispiel: Interne Ermittlung 3. Betriebsverfassungsrechtliche Ebene a) Überarbeitung der Betriebsvereinbarungen b) Weitergabe an Interessenvertretung der Beschäftigten Seite 3

4 I. Data privacy laws go Europe! 1. EU-Datenschutzgrundverordnung (DSGVO) : Einigung von EU-Kommission, EU-Parlament und EU-Rat im Rahmen des sog. Trilogs auf einen vorläufigen Einigungstext über eine zukünftige DSGVO : EU-Parlament verabschiedet die DSGVO in zweiter Lesung / : Veröffentlichung und Inkrafttreten der DSGVO (Art. 99 Abs. 1 DSGVO) : DSGVO tritt als unmittelbar geltendes Recht in 28 Mitgliedsstaaten der EU in Kraft und ersetzt damit nationalstaatliche Regelungen (Art. 99 Abs. 2 DSGVO) einheitlicher Rechtsrahmen für Datenschutz innerhalb der EU ( Verordnung ) Öffnungsklauseln für Datenverarbeitung u. a. im Beschäftigungskontext: Keine Absenkung und auch Erhöhung (?) des Datenschutzniveaus, spezifischere Regelungen, more specific rules, vgl. Art. 88 Abs. 1 DSGVO) Problem: Geht Art. 26 BDSG-E über diese Grenzen hinaus? Seite 4

5 I. Data privacy laws go Europe! 2. Datenschutz Anpassungs- und Umsetzungsgesetz EU (BDSG-E) : Gesetzesentwurf der Bundesregierung zur Anpassung des Datenschutzrechtes an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 (BDSG-E) : Bundestag verabschiedet Umsetzungsgesetz zur DSGVO (18/11325) : Zustimmung des Bundesrates Deutschland als erster EU-Mitgliedsstaat, der sein nationales Datenschutzrecht an die DSGVO anpasst Kernelement ist die Neufassung des BDSG (mit 85 Paragraphen) u.a. neuer 26 BDSG-E zum Beschäftigungsdatenschutz Problem: Geht 26 BDSG-E über die Grenzen der Öffnungsklausel hinaus? arg. (+) Wortlaut spezifischere Regelungen ; arg (-) alter Wortlaut im Trilog in den Grenzen dieser Verordnung EU-Kommission hat Überprüfung des BDSG-E angekündigt (nach zwingender Vorlage gem. Art. 88 Abs. 3 DSGVO)! Seite 5

6 I. Data privacy laws go Europe! 3. EU-/ US- Privacy Shield : EuGH erklärt Safe-Harbor-Abkommen für ungültig (EuGH vom C Schremms ) : Neue Angemessenheitsentscheidung der EU-Kommission zur Datenübermittlung in die USA: Prinzip der Selbstzertifizierung bleibt erhalten, d.h. US-Unternehmen können sich vom US-Handelsministerium eine Bescheinigung ausstellen lassen, die den Datenaustausch zwischen der EU und US-Unternehmen erlaubt Sonstiges: Zusicherungen, Ombudsmann, Beschwerdestelle, jährliches Berichtsverfahren, Beschwerden auch an nationale Datenschutzbehörden/FTC möglich : Erste Nichtigkeitsklage (Art. 263 AEUV) durch irische Netzaktivisten : Anordnung der Trump-Administration zur fehlenden Anwendbarkeit des Privacy Acts auf Nicht-US-Bürger und Residents : 2095 Einträge bei Selbstzertifizierungen ( Bullshit-Bingo vs. Rechtswirklichkeit: insbesondere EUMC als Alternative Seite 6

7 II. Eckpfeiler des neuen Datenschutzrechts 1. Haftungsregime Altes Haftungsregime: Bußgelder bis EUR ( 43 Abs. 1 BDSG) und bis EUR ( 43 Abs. 2 BDSG) Datenschutzskandale u.a. bei Daimler, Deutsche Bahn, Lidl, Telekom mit Bußen in Millionenhöhe nur bei massenhaften und intensiven Verstößen Zuletzt: Adobe, Punica, Unilever für Safe Harbor Verstöße mit Bußen von EUR Schmerzensgeld von EUR bei unzulässigem Detektiveinsatz (BAG vom AZR 1007/13) Neues Haftungsregime: Bis zu EUR 20 Mio. oder 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bei Unternehmen (Art. 83 DSGVO) Compliance-Ansatz: Art. 83 DSGVO mit Kriterienkatalog zur Bußgeldbemessung Ersatz materieller und immaterieller Schäden für Verantwortliche und Auftragsverarbeiter (Art. 82 DSGVO) Erweiterte Beweislast (Art. 24 Abs. 1 DSGVO) Seite 7

8 II. Eckpfeiler des neuen Datenschutzrechts 3. Datenschutzrechtliche Zweischrittprüfung 1. Schritt: Einwilligung (1) Grundsätzlich: Zulässigkeit der Einwilligung bleibt auch im Beschäftigungsverhältnis erhalten (Art. 6 Abs. 1a, 7 ff. DSGVO und Erw. 155; Art. 26 Abs. 2 BDSG-E) Bislang str. (bejaht durch BAG AZR 1010/13; kritisch dagegen einige Datenschutzbehörden, vgl. Brink/Schmidt, MMR 2010, 592 m.w.n.) Einschränkungen: Voraussetzungen der Art. 7 DSGVO und 26 Abs. 2 BDSG-E Problem: Freiwilligkeit Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist ( 26 Abs. 2 Satz 3 BDSG-E) Einhaltung der Transparenzanforderungen (Art. 7 Abs. 2 BDSG-E) Weitere Hinweise auf Zweck der Datenverarbeitung und auf Widerrufsrecht in Textform ( 26 Abs. 2 Satz 4 BDSG-E): Deutsch und Informationspflichten! Ggf. auch Hinweis auf Verarbeitung besonders sensitiver Daten (Art. 9 Abs. 1 DSGVO) Praktisches Problem: Jederzeitiger Widerruf möglich (Art. 7 Abs. 3 Satz 1 DSGVO) Seite 8

9 II. Eckpfeiler des neuen Datenschutzrechts 3. Datenschutzrechtliche Zweischrittprüfung 1. Schritt: Betriebsvereinbarung (2) Problem 1: Umfang, Detailtiefe und Form des neuen Transparenzgebots? Vorgaben der DSGVO (Art DSGVO, ErwGr 58 ff.) Form: Leicht zugänglich und verständlich und ggf. zusätzliche visuelle Elemente (ErwGr 58; Art. 12 Abs. 1 DSGVO) Inhalt: Information über Umfang, Zweck, Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Datenverarbeitung (ErwGr 58, Art. 12 ff. DSGVO) Praxis: Erforderlicher Umfang, Detailtiefe noch nicht abschließend absehbar Inhaltliche (Mindest-)Anforderungen: Beschreibung des Umfangs der Datenverarbeitung sowie der entsprechenden Zwecke Wiedergabe/Bezugnahme der Transparenzvorschriften gem. Art DSGVO Wiedergabe/Bezugnahme der Betroffenenrechte Beschreibung etwaiger Schutzmaßnahmen Seite 9

10 II. Eckpfeiler des neuen Datenschutzrechts 3. Datenschutzrechtliche Zweischrittprüfung 1. Schritt: Betriebsvereinbarung (2) Problem 2: Umfang, Detailtiefe und Form der Schutzmaßnahmen? Fall 1: Konzerndatenübermittlung Offenlegung der Rechtsgrundlage: Konzerndatentransfer an Dritten oder ADV Weitergehende Details zu Umfang, Zweck einschließlich entsprechender Schutzmaßnahmen Für den Fall der Datenübermittlung Outside EU Beschreibung des Speicherorts und der entsprechenden Rechtsgrundlage einschließlich der Garantiemaßnahmen nach Art. 46f. DSGVO Fall 2: Überwachungssysteme Jedes optische, mechanische, akustische oder elektronische Gerät, das dazu bestimmt ist, personenbezogene Daten über den Arbeitnehmer zu erheben (ErfK/Kania, 87 BetrVG, Rn. 89) = Kameras zur Videoüberwachung, Abhörgeräte, Stechuhr, Fahrtenschreiber etc. Besondere Regelungen zu angemessenem Umfang, Speicherdauer, Löschverpflichtungen, Schutzmaßnahmen etc. Seite 10