Dossier

DSGVO“Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) kommt. Sie gilt zwar erst ab Mai 2018, doch Arbeitgeber versuchen schon jetzt, daraus ihre Vorteile zu ziehen. Höchste Zeit also für Betriebsräte, sich mit dem neuen Datenschutzrecht zu befassen. Im Bund-Verlag ist jetzt der allererste »Kommentar zur neuen EU-DSGVO« erschienen. Im Interview erläutert der Autor, Prof. Dr. Peter Wedde, welche Gefahren drohen und was Betriebsräte schon jetzt tun können, um die Arbeitnehmerdaten zu schützen…” Interview mit dem Arbeitsrechtler Peter Wedde vom 30. August 2016 bei den Nachrichten für Betriebsräte, Bund-Verlag externer Link. Dazu neu:

  • Abmahnungen und der Datenschutz: „Den deutschen Sonderweg beenden“ New
    “Es gibt erste Berichte über Anwälte, die mit Abmahnungen wegen Datenschutzverstößen Geld verdienen wollen. Im Interview mit netzpolitik.org fordert Jurist Ulf Buermeyer die Große Koalition auf, dieser Praxis endlich einen Riegel vorzuschieben. Nur in Deutschland sei dieses Geschäftsmodell überhaupt möglich: (…) Das eigentliche Problem besteht darin, dass es in Deutschland überhaupt die Möglichkeit gibt, vermeintliche Rechtsverletzungen abzumahnen und dafür die Anwaltskosten in Rechnung zu stellen. In praktisch allen anderen Rechtsordnungen würde in diesen Fällen entweder gar nichts passieren – oder es würde eine freundliche Mail geschickt, um den Fehler korrigieren zu lassen. Die Große Koalition sollte diesen deutschen Sonderweg beenden und gesetzlich klarstellen, dass der erste Hinweis auf einen vermeintlichen Rechtsverstoß stets kostenlos sein muss, und zwar nicht nur im Kontext der DSGVO, sondern generell. Im Gegenzug – damit der Hinweisende ebenfalls keinen Rechtsrat einholen muss – sollte die Haftung für einen solchen Hinweis auf vorsätzlich falsche Hinweise begrenzt sein. (…) Grundlage einer Abmahnung kann etwa § 8 UWG sein, der in der Tat erlaubt, dass „auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden“ kann, wer eine unzulässige geschäftliche Handlung vornimmt. Darunter könnten auch bestimmte Verstöße gegen Pflichten nach der DSGVO fallen, soweit sie wenigstens auch das Ziel verfolgen, Mitbewerber im Markt zu schützen. Auf welche Regeln der DSGVO dies genau zutrifft, wird die Rechtsprechung in den nächsten Jahren zu prüfen haben. Da herrscht derzeit noch einige Rechtsunsicherheit.(…) Das UWG bietet übrigens auch einen gewissen Schutz gegen missbräuchliche Abmahnungen. Missbräuchlich bedeutet hier unter anderem, dass eine Abmahnung vorwiegend dazu dient, „einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen“…” Ingo Dachwitz im Gespräch mit Ulf Buermeyer bei Netzpolitik vom 1. Juni 2018 externer Link
  • Datenschutz à la „Friss oder Stirb“: Max Schrems reicht Beschwerde gegen Datenkonzerne ein
    “Laut Datenschutzgrundverordnung sollen wir selbst entscheiden können, ob und wem wir die Nutzung unserer Daten erlauben. Die vorherrschende Praxis der großen Datenkonzerne sieht aber anders aus. (…) Den großen Datenkonzernen die Einwilligung in die Datenverarbeitung zu verweigern, bedeutet meist, deren Dienste nicht nutzen zu können. Max Schrems sprach mit uns darüber, wie er das ändern will. (…) netzpolitik.org: Wie bewertest du die DSGVO-Debatte der vergangenen Wochen in Bezug auf die vorherrschende Frustration und den medialen Fokus auf Bußgelder für kleine und mittelgroße Unternehmen? Für wen gibt es Grund zur Panik und wer profitiert von der DSGVO? Max Schrems: Die eigentlichen Datenschutzrechte müssten natürlich für alle Unternehmen gelten. Ich war aber immer dafür, dass man die Pflichten zur Dokumentation und Administration massiv einschränkt, vor allem für kleine und mittelständische Unternehmen. Das könnte man etwa mit Klassen von Unternehmen machen, die man anhand der Zahl der Betroffenen – also beispielsweise ab 50.000, 100.000 oder 250.000 Betroffenen – definiert. Nur jene, die wirklich relevant genug sind, sollten dann auch alle Teile der DSGVO einhalten müssen. So macht man das ja auch bei anderen Gesetzen. Leider hat die Industrie stattdessen auf einen „risikobasierten Ansatz“ gedrängt, der für alle Klassen von Unternehmen gleich ist. Die Großindustrie hat damit wohl gehofft, auch für die Multis etwas „Bewegungsspielraum“ zu haben….” Leo Thüer im Gespräch mit Max Schrems bei Netzpolitik vom 31. Mai 2018 externer Link – der Wiener Jurist und Datenschutzaktivist Max Schrems wurde mit seiner Klage gegen Facebook weltweit bekannt. Er erwirkte damals, dass der Europäische Gerichtshof das Safe-Harbor-Abkommen zu Fall brachte
  • Nachbesserungsgesetz soll negative Folgen der DSGVO eindämmen
    “… In der Antike, im Mittelalter und in der frühen Neuzeit wurden Krankheiten oft mit Therapien behandelt, die schädlicher waren als die Krankheit selbst. Ähnliches befürchten viele Bürger vom gestern in Kraft getretenen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), das die europäische Datenschutz-Grundverordnung umsetzt, die DSGVO. (…) Exemplarisch sind Eindrücke wie der von Christian Reinboth, der twittert: “Die Deutsche Post verkauft Haushaltsdaten an CDU und FDP, Facebook holt sich per Datenschutzerklärung das OK zur Gesichtserkennung, WhatsApp schiebt Nutzerdaten nach Menlo Park und Oma Ernas Kochblog wird aus Angst vor Strafen geschlossen”, oder von Philipp Weber, der rhetorisch fragt: “Versteh ich das die DSGVO so richtig? Vor wem meine Daten weiterhin ungeschützt bleiben: -Finanzamt -SCHUFA -GEZ -Post -Markus Söder -US-Behörden. Vor wem meine Daten geschützt werden: -Sportverein Großziegenburg -Franzis HaarMonie”. (…) Tatsächlich gab es im Vorfeld der Gültigkeit der Verordnung am 25. Mai zahlreiche Schließungsankündigungen (…) Ein wichtiger Grund dafür ist neben dem deutschen Abmahnrecht und der Umsetzung ohne Ausnahmen für Privatleute und Vereine vor allem die Beweislastumkehr, die auch unentgeltlich Tätige dazu zwingt, sich ganz normale Alltagshandlungen und Selbstverständlichkeiten schriftlich genehmigen zu lassen, die Bestätigungen dafür durchsuchbar aufzuheben und so insgesamt einen gigantischen bürokratischen Aufwand zu betreiben, der dem alten Grundsatz der Datensparsamkeit diametral entgegensteht. Tatsächliche Datenschutzproblemunternehmen wie Facebook und Google können dagegen nach ein oder zwei Zusatzklicks weitermachen wie zuvor.” Beitrag von Peter Mühlbauer vom 26. Mai 2018 bei Telepolis externer Link
  • l+f: Das DSGVO-Absurditätenkabinett 
    Opt-Out-Mails mit 500 Adressen, ein Auto-Opt-in, DSGVO sperrt Zugriffe auf smarte Lampen und NAS, telefonisch einen Termin beim Arzt machen ist gar nicht mehr so einfach – und die Liste wächst. Die DSGVO treibt absurde Blüten. Gerade eingegangen: “Wollen Sie in unserer Datenbank bleiben?” – ein Opt-out an 497 sichtbare Empfänger. Gerade trudeln die ersten “Löschen”-Mails an den großen Verteiler ein...” Beitrag von Jürgen Schmidt vom 25.05.2018 bei heise Securityexterner Link – die DSGVO-Skurilitäten weiter sammeln! Siehe dazu unsere Lieblings-Datenschutzerklärung von und bei Andreas W. Ditze externer Link
  • Datenschutz: Einmal die Einwilligung für alles, bitte
    WhatsApp, Commerzbank & Co.: Einige Unternehmen nutzen die Datenschutzgrundverordnung, um Dinge umzusetzen, die so gar nicht im Sinne des Regelwerkes sind. Einwilligungen für Newsletter, die man nie bestellt hat, sind da nur ein kleiner Teil. (…) Dem Nutzer die Pistole an die Brust setzen: Mit dieser Methode nutzen manche Konzerne gerade die neuen EU-Datenschutzregeln für sich, um mehr statt weniger Nutzerdaten abzugreifen. Allen voran ist dabei wieder einmal Facebook. Und deutschen Datenschützern sind in einigen Fällen fürs Erste die Hände gebunden. (…) Während die Debatte um die Datenschutzgrundverordnung sich in den vergangenen Wochen verstärkt um ihre Auswirkungen auf kleinere Datenverarbeiter drehte, war ein Aspekt erstaunlich wenig im Blick: Wie gehen eigentlich größere Unternehmen und Datenkonzerne mit den neuen Regeln um? (…) Der kritische Blick auf mögliche Kollateralschäden bleibt wichtig. Aber ob die Datenschutzgrundverordnung ihr Versprechen eines faireren Machtverhältnisses zwischen Datenverarbeitern und Betroffenen einlösen kann, wird auch davon abhängen, wie sie in den kommenden Jahren um- und durchgesetzt wird. Wir haben uns deshalb drei Beispiele aus den vergangenen Wochen angeschaut, bei denen große Firmen einen – freundlich gesagt – kreativen Umgang mit den Vorgaben suchen. Wer weitere Fälle hat, darf sie gerne mit uns teilen – hier in der Kommentarspalte oder per Mail…” Beitrag von Ingo Dachwitz vom 24. Mai 2018 bei Netzpolitik externer Link
  • Den neuen EU-Datenschutz richtig nutzen!
    “Die Datenschutzgrundverordnung ist für Unternehmen, Vereine und Behörden ein Kraftakt. Aber was haben eigentlich die Betroffenen von den neuen Regeln? Eine Menge – wir müssen unsere Rechte nur in Anspruch nehmen. (…) Mit Betroffenenrechten haben wir ein Kontrollwerkzeug in der Hand, dass helfen soll, den Machtunterschied zwischen Datenverarbeitern und Betroffenen auszugleichen. Betroffene sollen Unternehmen nicht ausgeliefert sein und ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. In der DSGVO sind folgende Rechte verankert: Sie haben das Recht auf Auskunft, die Berichtigung falscher Daten, Löschung und “Vergessenwerden”, die Herausgabe Ihrer Daten in maschinenlesbarer Form, Widerspruch gegen die Verarbeitung und die Überprüfung von Entscheidungen über Sie, die automatisiert getroffen wurden. Außerdem haben Sie ein grundsätzliches Recht auf Beschwerde bei einer Aufsichtsbehörde. Mehr zu dein einzelnen Rechten erfahren Sie in den folgenden Klappboxen…” Analyse von Friedemann Ebelt und Simeon Schüz vom 23. Mai 2018 bei digitalcourage externer Link
  • [Datenschutz oder nur mehr staatliche Datenkontrolle?] Der Bürger als Feind: Wie Brüssel und Berlin mit der DSGVO Politik machen
    “Die neue Datenschutzgrundverordnung (DSGVO) ist ein Todesurteil für viele Blogger, eine Gefahr für jeden Handwerker, der Geburtstagsgrüße verschickt, ein Risiko für jeden Hobbyfotografen und Fußballverein. Mehr noch – sie offenbart die Brüssler Haltung: jeder Bürger ein Krimineller. (…) Es drohen für Selbstverständlichkeiten, die nichts mit Datenklau zu tun haben, drakonische Strafen. Kommunikation, die immer auch darin besteht, dass man Adressen austauscht, sich meldet, kontaktiert, ein Netzwerk aufbaut: all das wird unter Straftatverdacht gestellt – und der Beschuldigte hat seine Unschuld zu beweisen. (…) Wohl noch nie hat ein Gesetz in diesem Umfang aus einem harmlosen Interesse ein Vergehen formuliert und ahnungslose Menschen unter Verdacht gestellt. Die DSGVO offenbart, welches Bild Brüssel von den EU-Bürgern hat: Alles kleine Zuckerbergs, denen ihr schändliches Handwerk gelegt werden muss, wenn sie es wagen, ungefragt zum Geburtstag zu gratulieren. Aber Kommunikation setzt immer Datenspeicherung voraus, jedes Date, die gespeicherte Telefonnummer des oder der Angebeteten. Alles strafbar. Der Bürger soll zum Einzelwesen werden, mit möglichst wenige Außenkontakten. (…) Und es geht um Einschränkung der Meinungsfreiheit, die sich mit der Erfindung von Blogs verbreitert hat. (…) Viele Blogs haben schon ihr Erscheinen eingestellt. Weitere werden folgen, wenn die Behörden einen Grund suchen, sie still zu legen. (…) Die Großen kommen durch oder stecken die Strafe weg – die Kleinen werden gehängt. So funktioniert Datenschutz in Europa. (…) Der Datenschutz für das Individuum wird zur staatlichen Datenkontrolle ausgenutzt. Die Totalüberwachung ist damit einen Schritt näher gerückt – und wird nett unter „Datensouveränität“ getarnt…” Beitrag von Roland Tichy vom 22. Mai 2018 bei Tichys Einblick externer Link
  • Datenschutzregeln ab 25. Mai 2018 – “Tipps für Freie” 
    Ab dem 25. Mai 2018 gelten in der Europäischen Union (EU) weitgehend einheitliche Regeln zum Datenschutz, die so genannte Datenschutz-Grundverordnung (DSGVO). Der deutsche Gesetzgeber kann nur in einigen explizit zugelassenen Fällen Detailregelungen schaffen, die davon abweichen oder genauere Definitionen vornehmen. Deswegen tritt auch eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Außerdem muss der deutsche Gesetzgeber laut Artikel 85 der DSGVO auch noch Regelungen einführen, die sicherstellen, dass die Presse- und Medienfreiheit durch die neuen Regelungen nicht berührt wird. Außerdem fordert der Artikel 85 der DSGVO, dass Regelungen eingeführt werden, durch die auch außerhalb der Medien die Meinungs- und Informationsfreiheit von Bürgern, Vereinigungen und Firmen gewährleistet wird. Für Medien und Meinungsäußerungen finden daher wesentliche Bestimmungen des normalen Datenschutzrechts keine Anwendung…” Informationen der djv vom 4.5.2018 externer Link und dazu “Tipps für Freie” externer Link
  • DPWV-Handreichung zur Datenschutzgrundverordnung 
    Ab dem 25.05.2018 findet in Deutschland und der gesamten Europäischen Union die EU-Datenschutz-Grundverordnung (DS-GVO) unmittelbare Anwendung. Ergänzt wird sie durch das neu gefasste Bundesdatenschutzgesetz (BDSG) sowie weitere Anpassungen z. B. im Sozialdatenschutz. Diese Vorschriften sind von jeder sozialen Organisation – egal welcher Rechtsform, ob gemeinnützig oder nicht –bei der Verarbeitung personenbezogener Daten zu beachten. Die vorliegende Handreichung „Datenschutz in Paritätischen Mitgliedsorganisationen“ widmet sich den häufigsten Fragen, die an uns herangetragen wurden, und praktischen Beispielen aus sozialen Organisationen rund um die Umsetzung aktueller Datenschutzverpflichtungen. Sie enthält unter anderem Informationen z. B. zum Beschäftigtendatenschutz, zum Sozialdatenschutz und zu Geheimhaltungsvorschriften, deren Verletzung nach § 203 Strafgesetzbuch (StGB) strafbar ist.” Die Broschüre zum Download bei Harald Thomé externer Link
  • Wichtiges aus dem Interview mit dem Arbeitsrechtler Peter Wedde vom 30. August 2016 bei den Nachrichten für Betriebsräte, Bund-Verlag: “… Die EU-DSGVO wird das heute geltende Bundesdatenschutzgesetz weitgehend ersetzen. Sie gibt ab dem 25. Mai 2018 einen einheitlichen und zwingenden Datenschutzstandard für ganz Europa vor. Eine »Flucht« von Verantwortlichen Stellen in andere europäische Länder mit weniger Datenschutz wird damit sinnlos. Inhaltlich enthält die EU-DSGVO wichtige Neuerungen wie etwa ein »Recht auf Vergessen« oder den »Anspruch auf Datenübertragbarkeit«. (…) Eine grundlegende Gefahr folgt aus den beiden unterschiedlichen zwei Zielrichtungen der EU-DSGVO: Sie soll einerseits den Schutz personenbezogener Daten gewährleisten und andererseits den freien Datenverkehr garantieren. Bürger müssen sich deshalb darauf einstellen, dass die europa- und weltweite Datenverarbeitung weiter zunimmt. Ob die in der Verordnung enthaltenen Datenschutzregeln da etwa gegenüber großen Konzernen funktionieren, muss sich erst noch zeigen. Zumal ursprünglich geplante Schutzmechanismen gestrichen wurden. Hinzu kommt, dass die neunundneunzig Artikel der EU-DSGVO für Bürger textlich noch unverständlicher sind als die achtundvierzig Paragraphen des BDSG. (…) Die EU-DSGVO gilt zwar erst ab Mai 2018. Dennoch müssen sich Betriebsräte ab sofort mit dem neuen Datenschutzrecht befassen. Arbeitgeber tun dies schon seit der Verkündung des neuen Rechts und führen es teilweise bei Verhandlungen schon ins Feld, soweit es ihnen nützt…”
  • Unter dem Radar: Neue EU-Richtlinie für Justiz und Inneres
    Während die geplante Datenschutz-Grundverordnung der EU breit öffentlich diskutiert wurde, ist in ihrem Windschatten gleichzeitig eine EU-Richtlinie vorbereitet worden, die den Umgang mit Daten bei Polizei und Justiz regeln soll. Diese Institutionen wurden nämlich in der Grundverordnung ausgeklammert. Aber die Richtlinie ist bisher weitgehend unter dem Radar der Aufmerksamkeit geblieben. Betroffen sind nicht nur Opfer und Täter.innen von Kriminalität, sondern auch Zeug.innen und andere Menschen, deren personenbezogene Daten im Rahmen von Ermittlungen erfasst werden. Die Richtlinie wird momentan im Trilog zwischen Europaparlament, EU-Rat und EU-Kommission verhandelt. Auf die Richtlinie selbst werden wir wohl kaum noch Einfluss nehmen können – aber auf ihre Umsetzung. Denn eine EU-Richtlinie geht nicht direkt in nationales Recht über, sondern die Mitgliedsstaaten müssen eigene Umsetzungsgesetze beschließen. Da werden wir ein Auge drauf haben…” Infomail von Digitalcourage vom 26. November 2015. Siehe dazu: Ausführliche Infos zu EU-Richtlinie für Justiz und Inneres bei Digitalcourage externer Link
  • EU-Datenschutzreform: Arbeitnehmer haben das Nachsehen
    „Arbeitsrechtler empfehlen, den Beschäftigtendatenschutz derzeit besser nicht auf EU-Ebene oder national zu regeln. Die vom EU-Parlament beschlossene Initiative bleibe weit hinter der deutschen Rechtsprechung zurück. Scharfe Kritik an der Position des EU-Parlaments für eine Datenschutz-Grundverordnung übte der Frankfurter Arbeitsrechtler Peter Wedde. “Was wir national verhindern wollten, kommt durch die EU-Hintertür wieder rein”, warnte der Professor auf dem Gewerkschaftskongress “Arbeitswelt, Selbstbestimmung und Demokratie im digitalen Zeitalter” in Berlin. Wenn die Initiative so in Kraft trete, “wird sich Rechtslage hierzulande massiv verschlechtern”…“ Meldung im Heise Newsticker vom 11.09.2014 externer Link. Aus dem Text: „(…) Zudem entwerte der aktuelle Entwurf die eigentlich geforderte “freiwillige Einwilligung” von Beschäftigten in die umfassende Datenerhebung durch Arbeitgeber, führte Wedde aus. Diese Klausel würde nur funktionieren, wenn ein Nachweis für die “Freiwilligkeit” erbracht werden müsste. Eine Klausel, wonach Chefs Daten ihrer Mitarbeiter bei Verdacht auf Straftaten und “schwerwiegende Pflichtverletzungen” dokumentieren dürften, öffne zudem einer weitflächige Überwachung Tür und Tor. Auch dem innerbetrieblichen “Datenschaufeln” von einer Firmentochter zur nächsten hätten die Abgeordneten nichts entgegengesetzt. Der Experte plädierte deswegen dafür, den Beschäftigtendatenschutz besser gar nicht in der Verordnung zu regeln. Auch von einem neuen nationalen Anlauf sei nach dem jüngsten enttäuschenden schwarz-gelben Entwurf, der umfassende Überwachungsmöglichkeiten von Arbeitnehmern weitgehend legalisiert hätte, auch in der großen Koalition wenig Verbesserung zu erwarten…
  • Bundesregierung vertröstet Wirtschaft bei der EU-Datenschutzreform
    Innenstaatssekretär Günter Krings hat betont, dass die Bundesregierung der aktuellen Fassung der Datenschutz-Grundverordnung immer noch nicht zustimmen könne. Er warb gerade wegen der NSA-Affäre für die Vorratsdatenspeicherung…“ Artikel von Stefan Krempl vom 15.05.2014 im heise-Ticker externer Link