24.07.2017

Deutschland: Neufassung des Bundesdatenschutzgesetzes

Am 25. Mai 2018 treten in Deutschland verschiedene Änderungen im Bereich der Verarbeitung personenbezogener Daten in Kraft. Hintergrund für diese Änderungen ist zum einen das Inkrafttreten der Datenschutz Grundverordnung (EU-DSGVO) und zum anderen das Datenschutzanpassungsgesetz (DSAnpUG-EU).

Unternehmen sollten daher ihre Prozesse in Bezug auf die Verarbeitung personenbezogener Daten überprüfen und gegebenenfalls an die neuen rechtlichen Bedingungen anpassen.

E-Commerce

Grundsätzlich zielt der Datenschutz auf die Erhebung und Verarbeitung von personenbezogenen Daten von Verbrauchern. Dementsprechend werden sich die Änderungen des Bundesdatenschutzgesetzes insbesondere im E-Commerce auswirken.

Eine bedeutende Änderung liegt dabei in einem Erfordernis für die Einwilligung Minderjähriger. Wurde die Einwilligung Minderjähriger bisher noch an der individuellen geistigen Reife und Einsichtsfähigkeit des Minderjährigen festgemacht, wird nun eine Altersgrenze von 16 Jahren gesetzlich festgeschrieben. Zwar wird den Mitgliedstaaten das Recht eingeräumt, die Altersgrenze zu verringern, allerdings darf eine Mindestaltersgrenze von 13 Jahren nicht unterschritten werden. Diese Regelung bedeutet für den E-Commerce, dass Altersverifikationssysteme in den Einwilligungs- bzw. Bestellvorgang integriert werden müssen und Mechanismen eingerichtet werden, mit denen ein gesetzlicher Vertreter identifiziert und dessen Einwilligung für den Minderjährigen dokumentiert werden kann.

Auch wurde der Katalog der Daten, welche dem Verbraucher gegenüber Auskunft zu geben ist, erweitert und dem Verbraucher muss eine Kopie der über ihn verarbeiteten Daten ausgehändigt werden.

Eine Erweiterung des Datenschutzkatalogs und der dem Verbraucher zustehenden Rechtsbehelfe hat selbstverständlich auch Neuerungen im Bereich der Datenschutzerklärung zur Folge, insbes. im Hinblick auf die Angabe der Dauer der Datenspeicherung und der Beschwerderechte

Beschäftigtendatenschutz

Dies gilt nicht nur für Unternehmen, die sich im Geschäftsbetrieb Verbrauchern als Kunden gegenübersehen. Auch sofern ein Unternehmen nur im B2B Bereich tätig ist, hat es die Vorschriften zumindest in Bezug auf die Daten von Mitarbeitern/Arbeitnehmern zu beachten. Auch bisher gab es bereits Vorschriften zur Verarbeitung von Beschäftigtendaten, doch auch diese wurden bereits nicht immer eingehalten. Der Sanktionskatalog in Form von Bußgeldern wurde nun angepasst, so dass ein Verstoß gegen die Datenschutzvorschriften das Unternehmen schmerzlicher treffen wird.

Der Arbeitgeber hat den Arbeitnehmer über den Zweck der Datenverarbeitung sowie über ein Widerrufsrecht in Textform aufzuklären. Gerade die Aufklärung über die Widerruflichkeit wurde in der Vergangenheit oft unterlassen. Eine entsprechende Belehrung kann entweder im Rahmen des Eingehens eines Beschäftigungsverhältnisses erfolgen oder durch Betriebsvereinbarung geregelt werden. Dabei muss – wie auch in anderen Bereichen des Datenschutzes – über den Zweck und die Rechtsgrundlage der Datenerhebung und -verarbeitung, sowie die Folgen belehrt werden, wenn die erforderlichen Daten nicht bereitgestellt werden und Kontaktdaten des Verantwortlichen genannt werden.

Der Beschäftigtendatenschutz wurde zudem im personellen Anwendungsbereich ausgeweitet und umfasst nun auch Daten von Leiharbeitnehmern und Freiwilligen, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten.

Sanktionen

Verstöße gegen das sogenannte neue Datenschutzgesetz werden nun mit potenziell höheren Bußgeldern bestraft. Bildeten bisher Bußgelder von bis zu 300.000,00 € die Grenze, , können für einen Verstoß im Bereich der Minderjährigen Einwilligung Bußgelder bis zu 10 Millionen € oder aber 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres festgesetzt werden. Bei anderen Verstößen, welche beispielsweise die Grundsätze für die Rechtmäßigkeit der Verarbeitung betreffen, können Geldstrafen von bis zu 20 Millionen € oder aber 4 % des weltweiten Jahresumsatzes von vorangegangenen Geschäftsjahres festgesetzt werden.

Damit insbes. auch die technischen Implementierungen bis zum 28.Mai 2018 umgesetzt sind, sollten sich Unternehmen dringend bereits jetzt mit den Neuerungen im Datenschutzbereich vertraut machen und erforderliche Maßnahmen in die Wege leiten, um den neuen Bestimmungen gerecht zu werden.

Ansprechpartner: Vanessa Lichter, Rechtsanwältin