Umsetzung der DSGVO und nationale Besonderheiten
Gleich und doch nicht gleich
Dank der DSGVO hat Europa endlich einen einheitlichen Datenschutz – oder doch nicht? Einige Regelungen sind in den Mitgliedsstaaten unterschiedlich umgesetzt, was vor allem Unternehmen mit grenzüberschreitenden Geschäften beachten müssen.
Die europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 unmittelbar anwendbar und die Unternehmen passen ihre Prozesse an die neuen Vorgaben an. Bitkom, der Digitalverband Deutschlands, hat in einer repräsentativen Umfrage von 500 Unternehmen den derzeitigen Umsetzungsstand der DSGVO in Deutschland ermittelt. Erst ein Viertel der Unternehmen hat demzufolge die Vorgaben vollständig umgesetzt. Die restlichen 75 % der Unternehmen haben die Vorgaben der DSGVO größtenteils (40 % der Unternehmen), teilweise (30 % der Unternehmen) oder kaum umgesetzt beziehungsweise gerade erst begonnen (5 % der Unternehmen).
Gilt nicht EU-weit dasselbe?
Der Bitkom hat im Rahmen seiner Privacy Conference im September 2018 in Berlin das Ergebnis der Umfrage vorgestellt. Damit hat sich der Umsetzungsstand im Vergleich zur repräsentativen Umfrage vom Mai 2018 kaum verändert. Damals gab ein Viertel der Befragten an, die DSGVO-Vorgaben voraussichtlich bis zum 25. Mai 2018 umgesetzt zu haben. Fortschritte gibt es bei Unternehmen, die die Vorgaben teilweise umgesetzt hatten und jetzt größtenteils mit der Anpassung an die neuen rechtlichen Vorgaben fertig sind (vorher 32 %). Die Situation könnte für Unternehmen, die grenzüberschreitend tätig sind, durch nationale Abweichungen erschwert werden.
Grundsätzlich gilt die DSGVO unmittelbar in allen Mitgliedsstaaten und besitzt Anwendungsvorrang vor nationalen Regelungen. Die Mitgliedsstaaten haben in verschiedenen Bereichen allerdings Handlungsspielräume, um Lücken schließen zu können, sogenannte Öffnungsklauseln. Die gestatteten Abweichungen können dazu führen, dass Verarbeitungsvorgänge trotz einer einheitlichen europäischen Regelung in den Mitgliedsstaaten zwecks Rechtskonformität verschiedene Voraussetzungen erfüllen müssen.
Die Vielzahl von Öffnungsklauseln und die auf deren Grundlage getroffenen nationalen Vorschriften dürfen nicht gegen die Grundsätze der DSGVO verstoßen, vielmehr ergänzen sie sie. Für die Unternehmen bedeuten diese Abweichungen, also das Beachten spezieller nationaler Regelungen, trotzdem zusätzliche Arbeit.
Besonderheit im Arbeitsrecht
Bei den Arbeitnehmerdaten sieht die DSGVO in ihrem Art. 88 Abs. 1 vor, dass Mitgliedsstaaten spezifischere Vorschriften erlassen können. Einige Mitgliedsstaaten haben dies durch nationale Vorschriften umgesetzt, zum Beispiel Deutschland, Österreich, Dänemark und das Vereinigte Königreich (noch EU-Mitglied; die Handhabung während der Übergangsphase und nach dem Brexit wird erst bei Einigung über ein Abkommen genauer bestimmbar sein).
In Deutschland wurde die Öffnungsklausel genutzt, um im Rahmen des § 26 BDSG (Bundesdatenschutzgesetz) die Verarbeitung personenbezogener Daten im Beschäftigungskontext zu regeln. So muss die Einwilligung in die Verarbeitung solcher Daten für gewöhnlich in Schriftform erfolgen. Auch kann eine Betriebsvereinbarung die Verarbeitung personenbezogener Daten durch den Arbeitgeber rechtfertigen.
Dänemark hat mit § 12 Datenschutzgesetz (DSG) ähnliche Regelungen in Bezug auf den Arbeitnehmerdatenschutz getroffen und räumt die Möglichkeit einer Einwilligung durch den Arbeitnehmer ein. § 11 DSG (Österreich) stellt klar, dass das Arbeitsverfassungsgesetz (ArbVG) eine Regelung im Sinne des Art. 88 DSGVO ist, soweit es sich um personenbezogene Daten des Arbeitnehmers handelt. So hat gemäß § 91 Abs. 2 ArbVG der Betriebsinhaber dem Betriebsrat mitzuteilen, welche Arten von personenbezogenen Arbeitnehmerdaten er automatisiert aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht.
Der Betriebsinhaber muss auf Verlangen des Betriebsrates die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung ermöglichen. Unberührt bleiben weitere Mitbestimmungsrechte des Betriebsrats, zum Beispiel im Bereich technischer Maßnahmen zur Leistungsüberwachung gemäß § 87 Abs. 1 Nr. 6 BetrVG (Deutschland) und § 96 Abs. 1 Nr. 3 ArbVG (Österreich).
Im Vereinigten Königreich wird für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Arbeitnehmern eine rechtliche Verpflichtung im Zusammenhang mit der Beschäftigung vorausgesetzt und der Verantwortliche muss den Betroffenen ein Dokument bereitstellen, das Erläuterungen zur Einhaltung der Grundsätze aus Art. 5 DSGVO enthält, der Rechtsgrundlage für die Verarbeitung, voraussichtliche Speicherdauer und Löschung gemäß §§ 39, 38 in Verbindung mit § 1 Abs. 1 Anhang 1 DSG (Vereinigtes Königreich).
Trotz ähnlicher Regelungen müssen Unternehmen im Hinblick auf den Beschäftigtendatenschutz besondere nationale Ausformungen beachten, um die Rechtmäßigkeit ihrer Verarbeitung zu gewährleisten.
Die Pflicht zur Datenschutzfolgenabschätzung
Den Mitgliedsstaaten wird gemäß Art. 35 Abs. 4 und Abs. 5 DSGVO aufgetragen, Listen zu veröffentlichen, in denen Verarbeitungstätigkeiten aufgeführt sind, für die eine Datenschutzfolgenabschätzung (DSFA) zwingend durchzuführen oder nicht durchzuführen ist.