Datenschutz in der Industrie 4.0

zuletzt aktualisiert am 21. Februar 2018

„Daten sind das neue Öl.” Dieses Zitat wird der früheren EU-Kommissarin Meglena Kuneva zu­ge­schrieben und legt das Spannungs­feld der personen­bezogenen Daten­verarbeitung offen: Zwischen Wert­schöpfung durch Datenverarbeitung und Schutz der Privat­sphäre durch Datenschutz fordert die Digitali­sierung des privaten wie beruflichen Miteinander einen zunehmend sensibleren Umgang mit der Daten­verarbeitung.
 

Nach jahrelangem Ringen um eine Einigung und mit dem Ziel der Harmonisierung des Datenschutzes innerhalb der EU haben sich das Europaparlament, die Europäische Kommission und der Europäische Rat schließlich auf die am 25. Mai 2016 in Kraft getretene sog. EU-Datenschutz-Grundverordnung (EU-DSGVO) verständigt. Nach einer zweijährigen Übergangsphase wird sie ab dem 25. Mai 2018 in Deutschland und den übrigen Mitglied­staaten unmittelbar geltendes Recht sein und insbesondere das bisherige Bundes­datenschutz­gesetz (BDSG) ablösen. Damit nicht genug nimmt die Verordnung aber auch die nationalen Gesetzgeber in die Pflicht: sie enthält einerseits konkrete, an die Mitgliedstaaten gerichtete Regelungs­aufträge und andererseits Öffnungs­klauseln, etwa zum Beschäftigtendatenschutz. Daher hat die Bundesregierung das neue Bundes­datenschutz­gesetz als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) verabschiedet. Das neue BDSG wird ab dem 25. Mai 2018 mit der EU-DSGVO das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen.

• Harmonisierung des Datenschutzes »

• Keine Harmonisierung des Beschäftigten­datenschutzes »

• Fazit »

Harmonisierung des Daten­schutzes

Aber von vorne: Zunächst enthält die Verordnung selbst essentielle Veränderungen, die Unternehmen in die Pflicht nehmen. Exemplarisch genannt seien folgende Neuerungen:

Marktortprinzip

Die Anwendung der DSGVO richtet sich nach dem Aufenthaltsort des Verbrauchers, nicht nach dem Sitz des verarbeitenden Unternehmens und erfasst damit auch Unternehmen ohne Sitz in einem Mitgliedsland, sofern sie Daten von EU-Bürgern verarbeiten und ihre Produkte oder Dienstleistungen an EU-Bürger verkaufen.

Informations- und Hinweis­pflichten

Betroffene erhalten weitreichende Informationsrechte, bspw. zur Dauer der Datenspeicherung, der Rechts­grundlage für die Datenspeicherung und zur Frage, ob beabsichtigt ist, Daten an ein Drittland zu übermitteln.

Privacy by Design

Die Datenschutzanforderungen sind frühzeitig in Entwicklungs- und Change-Prozesse einzubinden, damit schon bei der Konzeption von neuen Produkten oder Funktionen die Sicherstellung des Datenschutzes beginnt.

Privacy by Default

Produkte müssen bereits im initialen Zustand datenschutzfreundlich ausgestaltet sein.

Datenschutz-Folgenabschätzung

Unternehmen haben eine Datenschutz-Folgenabschätzung vorzunehmen, wenn durch die geplante Verarbeitung ein hohes Risiko für die Rechte von natürlichen Personen absehbar ist.

Notifikationspflichten bei Datenschutzvorfällen

Datenschutzvorfälle müssen innerhalb von 72 Stunden an Aufsichtsbehörden gemeldet werden. Auch die betroffenen Personen sind zu informieren.

Betroffenen­rechte

Die DSGVO gibt dem Betroffenen ein Recht auf Übertagbarkeit von erfassten und verarbeiteten Daten.

Recht auf Vergessenwerden

Auf Wunsch des Betroffenen müssen Unternehmen dessen Daten unter bestimmten Umständen löschen.

Zur Umsetzung der gewünschten Harmonisierung des Datenschutzes wurde eine Verordnung erlassen. Im Unterschied zu EU-Richtlinien bedürfen Verordnungen keiner gesetzlichen Umsetzung durch die Mitglied­staaten, sondern entfalten unmittelbar Wirkung. Die DSGVO verdrängt also nationales Recht, so dass den Anfor­derungen der DSGVO bis zum 25. Mai 2018 zwingend nachzukommen ist.

Flankiert werden die Neuerungen von einem ebenfalls angepassten Strafrahmen. Das mögliche Strafmaß bei Verstößen gegen die DSGVO und Verletzungen von Persönlichkeitsrechten reicht bei Unternehmen bis zu 20 Mio. Euro oder 4 Prozent der weltweiten jährlichen Umsatzerlöse, wobei der höhere Wert als Obergrenze heranzuziehen ist. Zum Vergleich: Bisher drohen max. 300.000 Euro Strafe. Verhängt werden kann die Strafe von jeder – ebenfalls in der DSGVO neu definierten – nationalen unabhängigen Aufsichts­behörde innerhalb der EU, die künftig im Rahmen eines „One-Stop-Shop”-Mechanismus sowohl für Bürger als auch für Unternehmen als Ansprechpartner fungiert. Ihre Handlungen haben innerhalb der EU verbindlichen Charakter. Diese unabhängige Aufsichtsbehörde ist insbesondere zuständig für die Anwendung der Verordnung und deren Durchsetzung. Ihre Befugnisse werden deutlich weiter reichen als die der deutschen Datenschutzbehörden gegenwärtig.

Gerade mittelständisch geprägte Unternehmen sind daher zur Vermeidung einschneidender, möglicherweise sogar existenzgefährdender Strafzahlungen aufgerufen, sich auf die DSGVO vorzubereiten. Dazu ist zunächst eine Bestandsaufnahme erforderlich, die als Erstvaluierung den individuellen Reifegrad des Unternehmens in Bezug auf die Einhaltung heute noch bestehender Datenschutzgesetze und auf die DSGVO feststellt. Die Erfassung der IST-Situation dient als Basis auf dem Weg zur SOLL-Situation, dem DSGVO-konformen Umgang mit Daten. Sie umfasst neben der Analyse der Geschäftsprozesse und der involvierten IT-Systeme die Identifikation aller neben der DSGVO relevanten Rechtsnormen. Insbesondere branchenspezifisch können sich hier weitere Besonderheiten ergeben. Daraus ist ein Maßnahmenplan zu erstellen, dessen Umsetzung bis zum 25. Mai kommenden Jahres abzuschließen ist.

Keine Harmonisierung des Beschäftigten­datenschutzes

Auch in der modernen Arbeitswelt folgt aus der technischen Vernetzung wie auch der fortschreitenden Verquickung von Privatem und Beruflichem die Möglichkeit der Erhebung und Verarbeitung von immer mehr und immer sensibleren Daten der Beschäftigten.

In diesem heiklen Umfeld greift eine Besonderheit der DSGVO: Zwar trifft sie umfangreiche und detaillierte Regelungen zur Verarbeitung personenbezogener Daten, die auch den Beschäftigtendatenschutz erfassen. Jedoch sind die Regelungen ausnahmsweise und insoweit atypisch für eine Verordnung nicht abschließend. Vielmehr enthält die Verordnung eine Öffnungsklausel, die es Mitgliedstaaten freistellt, nationale Regelungen zum Beschäftigtendatenschutz durch Rechtsvorschriften oder durch Kollektivvereinbarungen zu treffen. Inhaltlich setzt das voraus, dass die nationale Regelung zum jeweiligen Daten­verar­beitungs­zweck spezifischer ist als die DSGVO. Formell sieht die DSGVO vor, dass jeder Mitgliedstaat bis zum 25. Mai 2018 der EU-Kommission alle Rechtsvorschriften mitteilt, die er aufgrund der Öffnungsklausel erlässt oder beibehält. Schlicht nur beibehaltenes nationales Recht wird künftig von der DSGVO verdrängt. Mit anderen Worten: Anstelle einer europaweiten Harmonisierung tritt eine von Mitgliedstaat zu Mitgliedstaat, möglicherweise sogar von Betrieb zu Betrieb unterschiedliche Ausprägung des Beschäftigtendatenschutzes!
 

Damit ergaben sich für Deutschland 3 Alternativen: Erstens hätte der gegenwärtig im Bundes­datenschutz­gesetz geregelte Beschäftigtendatenschutz als Minimallösung europarechtskonform ausgestaltet werden und sodann der EU-Kommission als nationale Gestaltung im Rahmen der Öffnungsklausel gemeldet werden können. Deutschland hätte dann von der Öffnungsklausel zwar Gebrauch gemacht, tatsächlich damit aber eine Politik des „weiter so” verfolgt. Zweitens hätte das BDSG reformiert, aber keine oder nur wenig Gestaltungsmacht den Tarif- und/oder Betriebsparteien übertragen werden können. Drittens hätte schließlich in einer umfassenden Reform eine weitere Öffnung für Tarif- und/oder Betriebsparteien vorgenommen, möglicherweise sogar ein eigenständiges Beschäftigtendatenschutzgesetz erlassen werden können.

Vor dem Hintergrund dieser Handlungsalternativen hat der Bundestag im April 2017 nunmehr das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU” beschlossen und der Bundesrat hat dem Gesetz im Mai 2017 zugestimmt. Dieses sieht zwar eine Reform des BDSG vor, beinhaltet aber kein eigenständiges Beschäftigtendatenschutzgesetz. Vielmehr soll der Beschäftigtendatenschutz weiterhin im BDSG integriert sein und ausweislich der Gesetzesbegründung nur fortgeführt werden. Ausdrücklich behält sich der Gesetzgeber vor, zu einem späteren Zeitpunkt weitere Themenbereiche wie bspw. das Fragerecht des Arbeitgebers im Einstellungsgespräch, den Ausschluss von heimlichen Kontrollen am Arbeitsplatz oder die Verwendung von biometrischen Daten zu Authentifizierungs- und Autorisierungszwecken noch zu regeln. Obwohl die neue Regelung deutlich umfangreicher sein und mehr Aspekte des Beschäftigten­daten­schutzes regeln soll, beschränkt sich das Gesetz beim Beschäftigtendatenschutz de facto auf ein Minimum. Entsprechend kritisch fallen erste Kommentierungen von Verbänden und Datenschutzbeauftragten aus.

Unabhängig von diesem Gesetz stellt die DSGVO neue inhaltliche Anforderungen an Betriebs­verein­barungen: Sie müssen künftig angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Datenverarbeitung, enthalten. Schutzmaßnahmen sind für die Übermittlung personen­bezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, zu vereinbaren. Das neue BDSG enthält insoweit keinen Bestands­schutz für bestehende Betriebsvereinbarungen und dürfte das wohl als nationales Gesetz auch gar nicht. Im Ergebnis sind bestehende Betriebsvereinbarungen zur Vermeidung von Verstößen gegen die DSGVO also anzupassen.

Fazit

Unternehmen bleibt zur Umsetzung der Vorgaben des DSGVO nur scheinbar viel Zeit. Sie sind aufgerufen, ganzheitliche Datenschutzkonzepte in ihre Prozesse zu integrieren, die bspw. zweifelsfrei klären, wann eine Datenschutzfolgeabschätzung erforderlich ist oder wann ein Datenschutzvorfall vorliegt und wie zu reagieren ist. Ermöglichen die Abläufe und Prozesse die Portabilität der personenbezogenen Daten und deren Löschung? Das umfasst neben der Löschung im Unternehmen selbst auch die Information über das Löschbegehren an Dritte, denen die Daten offengelegt wurden.
 

Im Beschäftigtendatenschutz sind Arbeitgeber gut beraten, sich zunächst weiter an der bisherigen Rechtslage und deren Konkretisierung durch die Rechtsprechung zu orientieren. Zusätzlich sind jedoch künftig auch die sonstigen Vorgaben der DSGVO, etwa die umfangreichen Unterrichtungs- oder Transparenz­pflichten zu beachten. Daneben sind bisher getroffene Betriebsvereinbarungen in Einklang mit der DSGVO zu bringen. Soweit die Integration eines auf die DSGVO abgestimmten Datenschutzkonzepts ihrerseits Mit­bestimmungs­rechte auslöst, sind freilich auch neue Betriebsvereinbarungen erforderlich.