Der Bundestag hat soeben das neue Datenschutz-Gesetz mit dem abschreckenden Namen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU verabschiedet und damit die – noch so ein Wortungetüm – EU-Datenschutzgrundverordnung (DSGVO) in nationales Recht umgesetzt, das bereits vor einem Jahr in Kraft trat.
Tim Wybitul von Hogan Lovells
Mehr als abschreckend findet das Ergebnis Tim Wybitul, Partner bei Hogan Lovells und Experte für betrieblichen Datenschutz und prophezeit ein Chaos:
„Politiker lassen Unternehmen im Regen stehen, denn das Gesetz ist selbst für Experten schwer zu verstehen.“ Für sie werde es nun teuer. Jetzt müssen Unternehmer sehen, wie sie mit diesem Chaos umgehen.“ Dasselbe gelte für Verbraucher und Verbände: sie können nur mit einem Gesetz arbeiten, das verständlich ist.
Damit nicht genug: Die Datenschutzbehörden haben angekündigt, dass sie das Gesetz teils für unzulässig halten und – entsprechend – nicht anwenden wollen.
Was das Datenschutzgesetz für Unternehmen bedeutet:
· Hohe finanzielle Risiken bei Fehlern: Bußgelder von bis zu 20 Millionen Euro oder vier Prozent ihres globalen Umsatzes – je nachdem, welcher Betrag höher ist
· Schmerzensgeld: Arbeitnehmer können Schadensersatzansprüche auch wegen Nicht-Vermögensschäden geltend machen. Das ist neu und führt zu erheblichen wirtschaftlichen Risiken für Unternehmen.
Denn: Verbraucher und Verbände haben Verbandsklagerechte, die ihnen das Geltendmachen tatsächlicher oder behaupteter Ansprüche erleichtern.
· Beweislast wird umgekehrt: Der Arbeitgeber muss nachweisen können, dass er die geltenden datenschutzrechtlichen Vorgaben einhält. Unter anderem auch die umfassenden Dokumentationspflichten der DSGVO.
· Sonderregeln: Das Gesetz enthält Sonderregeln in Spezialgebieten wie Datenschutz am Arbeitsplatz, Videoüberwachung oder Profiling.
· Teile vom bisherigen Datenschutzes bleiben: Der Gesetzgeber versucht, möglichst große Teile des bisherigen deutschen Datenschutzes zu übernehmen
· Compliance-Kontrollen werden schwieriger: Das Aufklären von Straftaten im Unternehmen oder anderen Pflichtverstößen bleibt erlaubt, muss aber strengen Anforderungen genügen – gerade bei der Transparenz der Datenverarbeitung.
· Betriebsräte und der Paragraf 26 BDSG: Auch die Datenverarbeitung durch Betriebsräte muss sich nun an den Maßstäben des BDSG und der DSGVO messen lassen.
· Betriebsvereinbarungen: Diese Kollektivvereinbarungen bleiben zulässig, um – erlaubte – Datenverarbeitung zu regeln. Sie müssen aber die Anforderungen von Artikel 88 Absatz 2 DSGVO und Paragraf 26 BDSG erfüllen. Die Folge: Auch viele schon geltende Betriebsvereinbarungen müssen nun einzeln oder durch den Abschluss entsprechender Rahmenbetriebsvereinbarungen angepasst werden.
„Was das Datenschutzgesetz für Unternehmen bedeutet:“
Hier ist doch das DSAnpUG-EU gemeint, richtig?
Dort finde ich nichts von 20 Millionen Euro Bußgeldern. Dies steht doch eher in der seit einem Jahr beschlossenen DSGVO.
„Arbeitnehmer können Schadensersatzansprüche auch wegen Nicht-Vermögensschäden geltend machen“
Gilt der in § 83 Abs. 2 geregelte Schadenersatz bei nicht Vermögenschaden durch Zugehörigkeit zum Teil 3 des DSAnpUG-EU nicht ausschließlich für „zuständige Behörden“ nach Artikel 2 2016/680?
Eine ähnliche Regelung, jedoch nur für „schwere Verletzungen“ bei nicht Vermögensschaden gibt es bereits im bestehenden BDSG § 8 Abs. 2 für öffentliche Stellen.
Außerdem ergibt sich ohnehin ein Recht auf Schadenersatz bei nicht Vermögensschaden (z. B. bei Schmerzensgeld) für Beschäftige aus § 823 Abs. 1 BGB in Verbindung mit Artikel 1 u. 2 GG
siehe: LAG Hamm 11.07.2013 11 Sa 312/13
BAG 19.02.2015 8 AZR 1007/13
OLG Köln 30.09.2016 20 U 83/16