Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 13 – Betrieblicher Datenschutzbeauftragter, Betriebsrat, Aufsichtsbehörde
3.6.2 Betrieblicher Datenschutzbeauftragter
Der betriebliche Datenschutzbeauftragte ist ein wichtiges Kontrollinstrument für die Durchsetzung der DSGVO. Gemäß Art. 37 I DSGVO verpflichtet die Verordnung Verantwortliche, unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu bestellen.(Fußnote) Allerdings beinhaltet die Verordnung keine umfassende Bestellpflicht und hat deshalb keine vollharmonisierende Wirkung.(Fußnote) Art. 37 IV DSGVO beinhaltet jedoch eine unqualifizierte Öffnungsklausel. Ihr zufolge müssen Verantwortliche einen Datenschutzbeauftragten benennen, wenn diese Pflicht im nationalen Recht vorgeschrieben ist. Insofern bleibt die Bestellpflicht gemäß § 4f BDSG in Deutschland erhalten.(Fußnote) Betroffene können den Datenschutzbeauftragten gemäß Art. 38 IV DSGVO zu Rate ziehen.
Nach dem BDSG musste der Datenschutzbeauftragte lediglich auf die Einhaltung der datenschutzrechtlichen Vorschriften hinwirken.(Fußnote) Sein Pflichtenkreis gemäß Art. 39 I lit. b DSGVO geht weit darüber hinaus. Der Datenschutzbeauftragte überwacht nicht nur die Einhaltung der DSGVO und anderer Datenschutzvorschriften. Zusätzlich trägt er Sorge für die Wahrung betrieblicher Datenschutzstrategien, die Zuweisung von Zuständigkeiten und die Schulung von Mitarbeitern. Arbeitgeber sollten damit rechnen, dass betriebliche Datenschutzbeauftragte vor diesem Hintergrund Datenverarbeitungen noch genauer kontrollieren als bisher.(Fußnote)
3.6.3 Betriebsrat
Der Betriebsrat ist als institutionalisierte Arbeitnehmervertretung eine Einrichtung gemäß Art. 80 I DSGVO. Damit geht das Recht einher, im Auftrag von Betroffenen eine Beschwerde einzureichen. So kann der Betriebsrat die Rechte der Art. 77-79 DSGVO wahrnehmen und das Recht auf Schadensersatz gemäß Art. 82 DSGVO geltend machen. Aufgrund der Öffnungsklausel des Art. 80 II DSGVO kann der deutsche Gesetzgeber Einrichtungen, Organisationen und Vereinigungen ein „Verbandsklagerecht“(Fußnote) zugestehen. Dann könnten Betriebsräte und Gewerkschaften die genannten Rechte auch ohne eine Beschwerde des Betroffenen geltend machen.
3.6.4 Aufsichtsbehörde
Die DSGVO betrifft nicht nur das materielle Datenschutzrecht, sondern regelt auch die Vorgaben zu Kontrolle und Sanktionen durch die Aufsichtsbehörden.(Fußnote) In Art. 51 ff. DSGVO legt der Verordnungsgeber die Kompetenzen der nationalen Kontrollstellen fest. Viele Arbeitgeber in Deutschland haben nach nationalem Recht mit ihrer langjährigen Aufsichtsbehörde einen offenen und konstruktiven Abstimmungsprozess etabliert.(Fußnote) Nun ist fraglich, ob diese Prozesse aufrechterhalten werden können. Gemäß Art. 51 I DSGVO bleibt zunächst jede Aufsichtsbehörde für das Hoheitsgebiet ihres Staates zuständig.(Fußnote) Auch eine föderale Struktur der Aufsichtsbehörden ist weiterhin zulässig.(Fußnote)
Große Unterschiede zum BDSG bestehen in der Sanktionierung von Verstößen gegen datenschutzrechtliche Vorschriften. „In jedem Einzelfall wirksam, verhältnismäßig und abschreckend“(Fußnote) sollen die Aufsichtsbehörden Geldbußen für Verstöße gegen die DSGVO verhängen. Gemäß Art. 83 V DSGVO können sie Unternehmen Bußgelder in einer Höhe von bis zu 4 % des Vorjahresumsatzes auferlegen. Bei Unternehmensgruppen ist der konzernweite Umsatz maßgeblich.(Fußnote) Weniger gravierende Verstöße werden gemäß Art. 83 IV DSGVO mit Bußgeldern in einer Höhe von bis zu 2 % des globalen Vorjahresumsatzes sanktioniert.(Fußnote) Durch diese drastischen Geldbußen wird die DSGVO ihr Regelungsziel Abschreckung(Fußnote) wohl erreichen.(Fußnote)
3.6.5 Zwischenergebnis
Wie im nationalen Beschäftigtendatenschutzrecht sind auch in der DSGVO vier Instrumente zur Durchsetzung des Beschäftigtendatenschutzes verankert. Die Betroffenen, der Datenschutzbeauftragte und die Aufsichtsbehörden sind in der DSGVO allerdings mit anderen Rechten und Pflichten ausgestattet. Im Ergebnis führt dieser Unterschied zum BDSG zu einer effektiveren Durchsetzung des Beschäftigtendatenschutzrechts.
3.7 Zwischenergebnis: Mehr Kontrolle, viel Rechtsunsicherheit
Ein umfassendes und detailliertes Beschäftigtendatenschutzkonzept hat der Verordnungsgeber nicht geschaffen. Wegen der Öffnungsklausel des Art. 88 DSGVO gilt § 32 BDSG fort und die unmittelbaren Auswirkungen der DSGVO auf das materielle Beschäftigtendatenschutzrecht halten sich in Grenzen.
§ 32 BDSG birgt vor dem Hintergrund der DSGVO die gleichen Probleme wie im Rahmen des BDSG: In vielen Detailfragen besteht große Rechtsunsicherheit. Diese Unsicherheit ist durch die Öffnungsklausel der DSGVO weiter gestiegen. Im Beschäftigtendatenschutzrecht entsteht ein Konglomerat einfachgesetzlicher Vorschriften aus BDSG und DSGVO. Für Rechtsanwender entsteht dadurch große Rechtsunsicherheit. Da die Rechtsprechung dieses Regelungsvakuum nicht füllt, bedarf es eines Beschäftigtendatenschutzgesetzes.
Während die Rechtsunsicherheit fortbesteht, verändert sich die Durchsetzung des Beschäftigtendatenschutzes. Die wesentlichste Veränderung der DSGVO gegenüber dem BDSG sind massiv gestiegene Informationspflichten des Arbeitgebers bei der Datenverarbeitung.(Fußnote) Auch die drastische Erhöhung der Bußgelder gemäß Art. 83 f. DSGVO verändert das Beschäftigtendatenschutzrecht nachhaltig. Die Informationspflichten und Betroffenenrechte der DSGVO haben dem Beschäftigtendatenschutz ein Face-Lifting verpasst, das zur effektiven Rechtsdurchsetzung dringend erforderlich war – nun kann der Gesetzgeber wieder in den Spiegel schauen.
Insgesamt ist die DSGVO weder ein fauler Kompromiss noch ein bahnbrechendes Werk. Die Wahrheit liegt in der Mitte: Sie hat eine zaghafte Evolution des Beschäftigtendatenschutzrechts in Gang gesetzt.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Herausgeber / Autor(-en):
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28