Beschäftigtendatenschutz – Worauf Arbeitgeber und Arbeitnehmer achten müssen: Ein Jahr DSGVO – erste Erfahrungen und Ausblick

Beitrag vom

Dr. Michael Witteler, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Berlin

Am 25. Mai 2018 ist die DSGVO in Kraft getreten. Es gab im Vorfeld viele Stimmen, die Schlimmstes für Arbeitgeber befürchten ließen. Nach einem Jahr gibt es erste Erfahrungen mit der DSGVO und dem neuen deutschen Recht in der Praxis. Und man kann sagen, dass die DSGVO zwar große Veränderungen mit sich gebracht hat, die schlimmsten Prophezeiungen aber ganz sicher nicht eingetreten sind.

Bußgelder – Der Bußgeldrahmen ist stark gestiegen. Die ersten Bußgelder zeigen aber, dass die deutschen Behörden trotz des gestiegenen Bußgeldrahmens weiterhin maßvolle Bußgelder verhängen. Die Bußgelder müssen „wirksam, verhältnismäßig und abschreckend“ sein (Art. 84 Abs. 1 S. 2 DSGVO). Während aus anderen europäischen Ländern hohe Bußgelder gemeldet werden, zeigen die ersten Entscheidungen der deutschen Behörden, dass die Bußgelder – wie bisher auch schon – weiterhin eher verhältnismäßig als abschreckend sind. Ob das so bleibt oder sich eine europäische Praxis herausbildet, die auch in Deutschland zu höheren Bußgeldern führt, bleibt abzuwarten.

Abmahnungen – Die Befürchtung einer ausufernden Abmahnwelle wegen vermeintlicher oder tatsächlicher Verstöße gegen die DSGVO scheint ausgeblieben. Das hängt sicherlich auch damit zusammen, dass nach wie vor viele Unklarheiten darüber bestehen, wie die DSGVO auszulegen und anzuwenden ist. Zudem zeigen die Entscheidungen der Zivilgerichte hinsichtlich der Zulässigkeit solcher Abmahnungen keine klare Tendenz. Das hat offenbar abschreckende Wirkung.

Transparenzpflichten – Ein zentrales Element der DSGVO sind die Transparenzpflichten (Art. 12 ff. DSGVO). Besonders schwierig stellt sich dabei der Auskunftsanspruch und dabei vor allem das Recht auf eine Kopie nach Art. 15 Abs. 3 DSGVO dar. Es herrscht nach wie vor Unklarheit darüber, was mit diesem Recht auf Kopie gemeint ist. Muss der Verantwortliche nur eine Kopie der Auskunft aushändigen oder eine Kopie aller Dokumente, in denen personenbezogene Daten der betroffenen Person enthalten sind? Letzteres würde viele Auskunftsansprüche faktisch unmöglich machen. Der Arbeitgeber müsste im Zweifel mehrere tausend Dokumente nicht nur kopieren, sondern vorab auch daraufhin durchsehen, ob Inhalte im Hinblick auf die Rechte Dritter teilweise geschwärzt werden müssen.

Brexit – Eine wesentliche Änderung wird der Austritt des Vereinigten Königreichs aus der EU mit sich bringen. Da es keinen Angemessenheitsbeschluss für das Vereinigte Königreich gibt, wäre der Austausch personenbezogener Daten mit Stellen in dem Vereinigten Königreich nur noch unter den Voraussetzungen der Art. 44 ff. DSGVO vorbehaltlich geeigneter Garantien für die Sicherheit der Daten zulässig. Hierauf müssen sich betroffene Arbeitgeber einstellen und ggf. auch ihre Datenschutzerklärungen anpassen.

Ausblick – Dass Anpassungsbedarf besteht, hat auch der Gesetzgeber erkannt. So ist mittlerweile ein zweites Anpassungsgesetz in Deutschland im Gesetzgebungsverfahren. Ob es auch Änderungen bei der DSGVO geben wird, ist nicht abzusehen. Wünschenswert wäre aber mehr Klarheit durch abgestimmte Leitlinien der europäischen Datenschutzbehörden.

Dieser Text wurde veröffentlicht im BRAK Magazin, Ausgabe 3/2019. Das gesamte Heft kann hier abgerufen werden: www.brak-mitteilungen.de

Veranstaltungen zum Thema im DAI:

Effektiver Umgang mit DSGVO und BDSG – Erste Praxiserfahrungen

29. August 2019 · Heusenstamm (bei Frankfurt am Main)

Referent: Professor Dr. Michael Bohne, FH Dortmund, Of Counsel, Düsseldorf

Zurück