Inhalt der Ausgabe 01/2018
Editorial
Inhalt
Privacy News
Ein Jahr nach Vorlage des Entwurfs zur ePrivacy-Verordnung diskutierten bei unserem DatenTag im Januar die Protagonisten leidenschaftlich zu den Aussichten dieses ambitionierten rechtspolitischen Vorhabens. Schon zuvor hatte sich uns ganz grundsätzlich die Frage gestellt, welche Auswirkungen die neuerliche Verordnung wohl auf die Zukunft des Instruments der Einwilligung haben würde.
♦ BGH, Urt. v. 18.07.2017 – KZR 39/16
♦ KG Berlin, Urt. v. 22.09.2017 – 5 U 155/
Privacy Topics
Angesichts neuer technologischer Entwicklungen gewinnt die Idee eines Schutzes der Privatsphäre und informationellen Selbstbestimmung von Kollektiven als dynamischen Personengruppen an Konjunktur. Dabei stellt sich unter anderem die Frage, ob bereits die Schaffung von Gruppen in deren Rechte eingreifen kann. Dieser Beitrag beleuchtet die Idee eines neuen kollektiven Datenschutzes aus juristischer Sicht, vor allem im Lichte des Rechts auf informationelle Selbstbestimmung und den geltenden Vorgaben des Datenschutzrechtes.
Die als produktbezogen bezeichnete vierte industrielle Revolution wirkt sich auch auf das Arbeitsrecht aus. In einer sogenannten Smart Factory gelangen cyber-physische Systeme zum Einsatz, die mittels Internet der Dinge kommunizieren oder Roboter steuern und so zur Prozessoptimierung eines Unternehmens beitragen können. In Vergessenheit gerät hierbei oft der Arbeitnehmer, der weiterhin im Gegensatz zu Maschinen ein Interesse an der Wahrung seiner Rechte hat.
Mit dem „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ soll der Weg für eine straffreie Auslagerung bestimmter Tätigkeiten auf externe Anbieter auch für Berufsgeheimnisträger geebnet werden. Neben Änderungen des Strafrechts schafft das neue Gesetz hierfür auch berufsrechtliche Befugnisnormen für Anwälte und Steuerberater.
Privacy Compliance
Wer als Freiberufler oder als Unternehmen im Geltungsbereich des § 203 StGB seine Aufgaben an externe Dienstleister auslagern will (z. B. durch die Nutzung von Cloud Computing für die Datenspeicherung usw.), ist gleich durch zwei aktuelle Gesetzesreformen betroffen: Durch die Reform des § 203 StGB im Herbst 2017 wurde eine damit potentiell einhergehende Strafbarkeit neu geregelt. Durch die ab dem 25. Mai 2018 geltende Datenschutz-Grundverordnung werden die datenschutzrechtlichen Anforderungen an die (damit regelmäßig einhergehende) Übermittlung der personenbezogenen Daten neuen Vorgaben unterworfen.
Die letzten Monate waren geprägt von einem Gros an Leitfäden, Handreichungen und Stellungnahmen zur Datenschutzfolgenabschätzung (DSFA). In Art. 35 DSGVO (Datenschutz-Folgenabschätzung) und § 67 BDSG-neu (Durchführung einer Datenschutz-Folgenabschätzung) fordern der europäische Verordnungsgeber sowie der nationale Gesetzgeber das neue risikobasierte Datenschutzinstrument.
Die Anforderungen an eine Datenschutz-Folgenabschätzung bergen für die Praxis Unsicherheiten, die vor allem auf unbestimmten Rechtsbegriffen und der Innovationsfunktion der Folgenabschätzung beruhen. Eine Datenschutz-Folgenabschätzung muss detailliert darlegen, dass der Verantwortliche vor Einsatz des Verfahrens den identifizierten Risiken mit geeigneten Abhilfemaßnahmen begegnet. Im Zentrum hierbei steht die risikobasierte Einzelfallprognose.
Der Begriff „Folgenabschätzung“ (engl.: impact assessment) verdeutlicht, dass möglichst gehandelt werden sollte, bevor das Kind in den Brunnen gefallen ist. Art. 35 Abs. 11 DSGVO sieht dennoch vor, dass eine Datenschutz-Folgenabschätzung u. U. auch später noch vorgenommen wird. Es sind weitere (unbenannte) Fallkonstellationen denkbar, etwa wenn eine behördliche „Blacklist“ gemäß Art. 35 Abs. 4 S. 1 DSGVO erst nach Beginn der Verarbeitung veröffentlicht wird, wenn eine obligatorische Datenschutz-Folgenabschätzung pflichtwidrig unterlassen wurde oder wenn Altverfahren über den 25. Mai 2018 hinaus genutzt werden.
Die Datenschutz-Grundverordnung ist wegen der am 25. Mai 2018 ablaufenden Übergangsfrist und der ab dann eingreifenden erhöhten Anforderungen an den Datenschutz und die Datensicherheit sowie wegen der verschärften Sanktionen Anlass, das Thema Datenschutz in allen mit der Verarbeitung personenbezogener Daten befassten Unternehmen und Branchen einer gründlichen Revision und gegebenenfalls Anpassung zu unterziehen.
Jetzt bestellen – für den gesamten Campus.