DER BETRIEB Dossier Datenschutz

Dossier 26 Inhaltsverzeichnis

Die Datenschutzbehörden schalten scharf: in kurzer Zeit wurden Bußgelder in Millionenhöhe verhängt. Die Fälle zeigen, dass in vielen Unternehmen noch immer Schutzlücken beim Datenschutz bestehen. Datenschutz-Compliance-Management ist ein fortlaufender Prozess, bei dem viele Rechtsfragen streitig sind. Die Aufsichtsbehörden formulieren zwar gemeinsame Standpunkt und Empfehlungen, aber eine finale Rechtssicherheit durch höchstrichterliche Rechtsprechung steht noch aus.

Das Dossier kombiniert Aufsätze zu aktuellen Brennpunkten und Streitfragen im Datenschutzrecht und zeigt Best Practises. Sichern Sie sich komprimiertes Wissen in einem Produkt zu vielen virulenten Datenschutz-Themen. Stellen Sie sicher, dass Ihre Unternehmensprozesse DSGVO-konform sind und vermeiden Sie Bußgelder und Haftungsrisiken.



DSGVO: Erste Millionenbußgelder verhängt – Unternehmen brauchen Löschkonzepte
RA Dr. Cornelius Böllhoff

Die Berliner Datenschutzbeauftragte hat Ende 2019 gegen einen Immobilienkonzern einen Bußgeldbescheid in Höhe von 14,5 Mio. € wegen nicht erfolgter Löschung personenbezogener Daten in einem Archivsystem verhängt. Auch auf Bundesebene gibt es eine erste erhebliche Millionen-Buße: Der Bundesdatenschutzbeauftragte (BfDI) gab ebenfalls Ende 2019 bekannt, dass gegen einen Telekommunikationskonzern ein Bußgeld in Höhe von 9,55 Mio. € verhängt wurde.

DB1327133



Ein Jahr DSGVO: Aktuelle Entwicklungen und Herausforderungen des neuen Datenschutzrechts in der Praxis
RA Sascha Kremer

Die Datenschutz-Grundverordnung (DSGVO) ruft nach wie vor kontroverse Standpunkte hervor: die Unternehmen beklagen Aufwand und Rechtsunsicherheit; Datenschützer sehen in Zeiten immer neuer Datenskandale in dem europaweit einheitlich hohen Schutzstandard einen Wettbewerbsvorteil. Im Folgenden sollen die Erfahrungen aus der Unternehmenspraxis, die zu einzelnen Regelungskomplexen mittlerweile erarbeiteten Auslegungshilfen der Aufsichtsbehörden und erste Gerichtsurteile ausgewertet werden, um ein Fazit zu ziehen, worauf Unternehmen beim Datenschutz insbesondere achten sollten.

DB1306738



Erfordert der Einsatz von Cookies immer eine Einwilligung?
RA Jan Spittka
Seit dem EuGH-Urteil in der Rs. Planet49 fragen sich Webseitenbetreiber, ob für den Einsatz von Cookies nun in jedem Fall eine Einwilligung des Nutzers erforderlich ist. Im Folgenden wird aufgezeigt, dass bereits das europäische Recht das Einwilligungserfordernis des Art. 5 Abs. 3 ePrivacy-RL nicht ausnahmslos statuiert. Die deutsche Rechtslage bleibt aber weiter unklar. Das Einwilligungserfordernis des Art. 5 Abs. 3 ePrivacy-RL wurde nach h.M. nicht in deutsches Recht umgesetzt. Ob § 15 Abs. 3 TMG weiterhin als Rechtsgrundlage für eine pseudonymisierte Datenverarbeitung zu Werbezwecken dienen kann, solange der Nutzer nicht widerspricht, ist umstritten. Der BGH hat in seinem Vorlagebeschluss vom 05.10.2017 eine richtlinienkonforme Auslegung angesprochen; seine endgültige Entscheidung steht aber noch aus. Soweit für die Verarbeitung personenbezogener Daten im Zusammenhang mit Cookies auf die DSGVO abzustellen ist, kann ein berechtigtes Interesse gem. Art. 6 Abs. 1 f) DSGVO nicht jede Art der Datenverarbeitung rechtfertigen; in manchen Fällen muss eine Einwilligung eingeholt werden. Welchen Erkenntniswert das EuGH-Urteil vor diesem Hintergrund bietet, wird im Folgenden untersucht.
DB1319829



Der Einsatz von (Social) Plugins im Lichte des „Fashion ID“-Urteils des EuGH
RA Dr. Daniel Rücker LL.M. / RA Alexander Brandt, B.A.
Am 29.07.2019 entschied der EuGH über den Einsatz des Facebook-Like-Buttons in der Rechtssache „Fashion ID“. Dabei bleibt er seiner Linie zur gemeinsamen Verantwortlichkeit von Unternehmen und Facebook aus seinem „Fanpages-Urteil“ treu. Dieser Beitrag beleuchtet die wichtigsten Punkte des „Fashion ID“-Urteils, insb. das Thema „gemeinsame Verantwortlichkeit“, und die dadurch entstehenden Herausforderungen beim Einsatz des Facebook-Like-Buttons. Darüber hinaus hat das Urteil Signalwirkung auch für den Einsatz anderer (Social) Plugins sowie sonstiger Drittanbietertechnologien. Zur Reduzierung damit verbundener Risiken bietet sich die Implementierung „datenschutzfreundlicher“ Lösungen an (z.B. die sog. „Zwei-Klick-Lösung“ oder die sog. „Shariff-Lösung“). Auch ein funktionierendes unternehmensinternes Datenschutzmanagement ist essenziell, um solche Themen zu erkennen und richtig zu adressieren.
DB1317383



DSGVO-Compliance für Webseiten: Webtracking, Datenschutzerklärung, Social Media-Plugins und weitere Aspekte
RA Dr. Lutz Martin Keppeler
Kaum eine Webseite kommt ohne die Verarbeitung von Log-Files, das Angebot eines Kontaktformulars, die Verwendung von Analytics-Tools und das Setzen von Cookies aus. Selbst einfache Webseiten stellen so eine hochkomplexe Datenschutz-Spezialmaterie dar, was auch der derzeit noch unsicheren Rechtslage geschuldet ist. Zudem haben die Datenschutzaufsichtsbehörden jüngst mit einer sehr strengen Auslegung zu Online-Tracking- und Webseiten-Marketing zur Verunsicherung beigetragen und der EuGH hat sein lang erwartetes Urteil zur gemeinsamen Verantwortlichkeit bei Facebook Fanpages gesprochen. In diesem Spannungsfeld stellt der Beitrag einige wichtige Aspekte der DSGVO-Compliance für Webseiten dar.
DB1273048



Datenschutzrechtliche Anforderungen an die Einrichtung interner Hinweisgebersysteme unter Berücksichtigung der EU-Whistleblowing-Richtlinie
RA Dr. Golo Weidmann
Am 07.10.2019 hat der Europäische Rat nach Beschlussfassung des EU-Parlaments vom 16.04.2019 die Richtlinie zum „Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ verabschiedet (nachfolgend „Richtlinie“). Im Vordergrund der Richtlinie steht der Schutz von Hinweisgebern. Ihnen sollen Repressalien wie Entlassungen, Degradierungen und Einschüchterungen erspart bleiben, wenn sie Hinweise auf Verstöße gegen das EU-Recht aufdecken. Sie sieht vor, dass die Mitgliedstaaten die Vorgaben der Richtlinie innerhalb von zwei Jahren nach Inkrafttreten der Richtlinie umsetzen müssen. Im Folgenden werden die datenschutzrechtlichen Folgen der Richtlinie untersucht und aufgezeigt, was Unternehmen nach der Umsetzung der Richtlinie in nationales Recht bei der Ausgestaltung von internen Whistleblowing-Systemen beachten müssen.
DB1316506



Externe Lohnbuchhaltung: ein Fall der gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO
RA Prof. Niko Härting
Viele Unternehmen beauftragen externe Steuerberater oder Lohnbüros mit der Erstellung der Lohn- und Gehaltsabrechnung. Seit Langem umstritten ist die Frage, ob dies als Auftragsverarbeitung gem. Art. 28 DSGVO zu qualifizieren ist und folglich der Abschluss einer Auftragsverarbeitungsvereinbarung erforderlich ist. Während der DStV und die BStBK zumindest mit Blick auf Steuerberater eine Auftragsverarbeitung ablehnen, sehen dies einzelne Landesdatenschutzbehörden anders. Der Gesetzgeber hat im Jahressteuergesetz 2019 nun § 11 StBerG zur Verarbeitung personenbezogener Daten neu gefasst. Ob und inwieweit die Neuregelung die Streitfrage löst und welche datenschutzrechtlichen Anforderungen beim Outsourcing der Lohn- und Gehaltsabrechnung zu beachten sind, wird im Folgenden erörtert.
DB1327295



Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen Konzerngesellschaften als Bestandteil der DSGVO-Compliance
RAin Dr. Vera Jungkind / RA Dr. Thomas Ruthemeyer / RAin Anna Eickmeier
Unternehmen sollten die aktuellen Entwicklungen zum Anlass nehmen, ihre konzerninternen und -externen Datenverarbeitungsvorgänge zu untersuchen, um gemeinsame Verantwortlichkeiten zu identifizieren und die Vereinbarkeit mit Art. 26 DSGVO sicherzustellen. Es wird gezeigt, was aus Unternehmens- und Konzernsicht zu beachten ist.
DK1308926



Datenschutz in der Unternehmenstransaktion
RAin Dr. Vera Jungkind / RA Dr. Thomas Ruthemeyer
Die an einer Unternehmenstransaktion Beteiligten akzeptieren in der Praxis zunehmend die Anforderungen des Datenschutzrechts an die Gestaltung der Vertragsbeziehung und die Datenübermittlungen im Rahmen der Due Diligence. Es empfiehlt sich, datenschutzrechtliche Themen bei einer Transaktion von Beginn an mitzuberücksichtigen, damit der Abschluss erforderlicher Verträge und die Klärung der Zulässigkeit von Datenübermittlungen an Bieter oder Erwerber die Transaktion nicht aufhalten. Ggf. können Datenflüsse so strukturiert werden, dass Informationspflichten vermieden oder auf einen späteren Zeitpunkt verschoben werden. Bei wiederkehrenden Transaktionen empfiehlt es sich, die allgemeinen Regeln und die Herangehensweise zum Datenschutz in einem Transaktionsleitfaden niederzulegen.
DK1318057



Datenschutzrechtliche Vorgaben für die Verarbeitung von Aktionärsdaten
RA Dr. Norman Koschmieder
Verarbeiten Gesellschaften personenbezogene Daten ihrer Aktionäre, bedürfen die einzelnen Verarbeitungsformen jeweils einer Rechtsgrundlage gem. Art. 6 DSGVO. Zudem hat die Gesellschaft umfangreiche Informationspflichten gem. Art. 12 ff. DSGVO gegenüber ihren Aktionären zu erfüllen. Insbesondere die Umsetzung der Informationspflichten ist noch mit erheblicher Rechtsunsicherheit belastet. In der Praxis verweisen viele Gesellschaften mit der HV-Einladung neben datenschutzrechtlichen Mindestangaben auf eine ausführliche Datenschutzerklärung für Aktionäre, die auf den Webseiten der Gesellschaften abgerufen werden kann. Im Folgenden wird die Zulässigkeit dieser Vorgehensweise untersucht. Zudem werden die datenschutzrelevanten Neuregelungen durch das ARUG II in den Blick genommen.
DB1314507



Bewerbungsunterlagen: Einsichtnahmerechte einzelner Personengruppen
RAin Dr. Angelika Hafenmayer
Im Verlauf eines Bewerbungsverfahrens kommt es zu zahlreichen datenschutzrechtlich relevanten Datenverarbeitungen. Dies sollte zum Anlass genommen werden, den Bewerbungsprozess einer kritischen Überprüfung auf die Vereinbarkeit mit den Regelungen der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) zu unterziehen. Im Beitrag wird der Frage nachgegangen, welche Mitarbeiter Zugriff auf beim Arbeitgeber eingehende Bewerbungsunterlagen erhalten dürfen und welche datenschutzrechtlichen Grenzen bestehen.
DB1313234



Der allgemeine Auskunftsanspruch des Betriebsrats bei sensitiven Daten
Prof. Dr. jur. Wolfgang Kleinebrink
Im Verlauf eines Bewerbungsverfahrens kommt es zu zahlreichen datenschutzrechtlich relevanten Datenverarbeitungen. Dies sollte zum Anlass genommen werden, den Bewerbungsprozess einer kritischen Überprüfung auf die Vereinbarkeit mit den Regelungen der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) zu unterziehen. Im Beitrag wird der Frage nachgegangen, welche Mitarbeiter Zugriff auf beim Arbeitgeber eingehende Bewerbungsunterlagen erhalten dürfen und welche datenschutzrechtlichen Grenzen bestehen.
DB1317076



Bewerberdatenschutz nach neuem Datenschutzrecht
RAin Mina Bettinghausen / M. RA Dr. Matthias Wiemers
Die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) sind aktuell in aller Munde. Es gilt die neuen Regeln umzusetzen, bestehende Regelungen anzupassen oder gar neue aufzustellen. Der Beitrag befasst sich mit dem Datenschutz im Hinblick auf Bewerber im Arbeitsrecht – sprich: potenzielle neue Arbeitnehmer. Dabei ergeben sich neben der Frage einer wirksamen Einwilligung insbesondere neue Aspekte im Rahmen der Datenverarbeitung und Speicherung. Daneben treten neue Informationsrechte und -pflichten. Es werden die neuen Vorschriften des Datenschutzrechts dargestellt. Beide werden am 25.05.2018 verbindlich und geben dem Bewerber ausdifferenzierte Rechte und legen (potenziellen) Arbeitgebern Pflichten auf.
DB1269371



Datenschutzrechtliche Löschfristen in der Personalverwaltung
RAin Dr. Katrin Haußmann / RAin Dr. Constance Karwatzki / RA Sebastian Ernstt
Das Datenschutzrecht genießt in der Praxis vieler Arbeitgeber derzeit erhöhte Aufmerksamkeit. Immer wieder stellt sich die Frage, wie lange welche Personaldaten gespeichert werden dürfen. Dieser Beitrag soll sich dieser Frage unter einer differenzierten Betrachtung nähern und praktische Lösungsansätze für eine zeitgemäße Personalverwaltung liefern.
DB1280566


» Zum Shop

Top