Information und Bildungsarbeit von und für die SAP-Community

DSGVO: Fluch oder Segen?

Die Datenschutz-Grundverordnung (DSGVO) soll die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vereinheitlichen. Doch was gibt es zu beachten?
Peter Jordan, LKC
5. April 2017
DSGVO: Fluch oder Segen?
avatar

Die Datenschutz-Grundverordnung verfolgt zunächst das primäre Ziel, das unübersichtliche Datenschutzrecht der einzelnen Mitgliedstaaten zu vereinheitlichen.

Ein weiteres Ziel soll der Datenschutz in Europa aufgrund der anwachsenden Herausforderungen durch Cloud Computing, Big Data, soziale Medien und Suchmaschinen sein.

Dabei soll der Grundrechtsschutz des Einzelnen im Vordergrund der Modernisierung stehen.

Der Anwendungsbereich der DSGVO

Unternehmen müssen einen Datenschutzbeauftragten bestellen, soweit ihre Tätigkeit eine umfangreiche, systematische und regelmäßige Beobachtung von betroffenen Personen erfordert.

Auch eine Verarbeitung zum Beispiel von besonders sensiblen Daten (etwa Gesundheitsdaten) nach Artikel 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen oder Straftaten nach Artikel 10 Abs. 1 DSGVO bedarf eines Datenschutzbeauftragten.

Das heißt für Unternehmen in Deutschland: Es wird sich voraussichtlich nichts ändern an den bisherigen Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Wichtig ist aber, die neue Pflicht des Datenschutzbeauftragten, über die Einhaltung der DSGVO zu wachen.

Damit entsteht auch für die Unternehmen ein spürbar höheres Haftungsrisiko. So weit also die Grundsätze der DSGVO – doch warum schneidet das neue Regelungswerk in den Rezensionen so schlecht ab?

Öffnungsklauseln verwässern das Ziel der Vereinheitlichung

Die 99 Artikel der europäischen DSGVO enthalten neben Richtlinien für Unternehmen und öffentliche Behörden auch sogenannte Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten, bestehende Datenschutzregeln beizubehalten oder neue zu erlassen.

Peter Jordan Management 1704Dadurch kann es in allen europäischen Mitgliedstaaten trotz der einheitlichen Grundverordnung wieder zu sehr unterschiedlichen Regelungen kommen. Damit ist die Europäische Union von einer einheitlichen, europaweiten Rechts­praxis weit entfernt, denn die DSGVO enthält mehr als 70 dieser Öffnungsklauseln – die allerdings nur bei einigen Themen zugelassen sind.

Ein weiterer großer Kritikpunkt ist, dass die neue Verordnung in vielen Fällen nur sehr abstrakte Antworten gibt. Hierzu zählt unter anderem, was unter dem Begriff „Belastbarkeit“ als Schutzziel in Art. 32 Abs. 1 b) zu verstehen ist und wie „Belastbarkeit“ zu definieren ist.

Wie sollen sich Wirtschaft, Behörden und Gerichte konkret in Datenschutzbelangen verhalten?

Während zahlreiche Richtlinien sehr genau definiert und ausformuliert sind, werden andere wiederum nur grob umrissen. So besteht in einigen wenigen Fällen weiterhin die Gefahr, dass der Flickenteppich im Bereich Datenschutz in Europa weiterhin existiert.

Big Data, Cloud und Co.? Fehlanzeige!

Doch was die Experten am meisten ärgert, ist, dass die neuen europäischen Regelungen auf die wirklichen Herausforderungen und Risiken in der Informationstechnik nicht explizit eingehen.

Big Data – also die Datenflut und ihre Beherrschung –, Suchmaschinen, Cloud Computing und andere moderne Technikanwendungen werden in den 99 Artikeln nicht ausdrücklich genannt.

Wie bereits im Bundesdatenschutzgesetz (BDSG) müssen auch in der DSGVO die Regelungen aus einzelnen Artikeln herausgelesen werden.

Welche Regelungen gelten?

Für Arbeitgeber ist wichtig, dass der Paragraf 32 des Bundesdatenschutzgesetzes wahrscheinlich weiter fortbestehen wird. Dieser besagt, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen.

Grund für das mögliche Weiterbestehen der Regelung ist Artikel 88 Absatz 1 ­DSGVO. Dieser enthält eine oben beschriebene Öffnungsklausel. Somit können spezifischere Regelungen zum Datenschutz im Beschäftigungskontext durch den nationalen Gesetzgeber selbst geschaffen werden.

Weiterhin wird auch die Möglichkeit der Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung bestehen bleiben. Das sind dann die Betriebsvereinbarungen und Tarifverträge.

Der in der Personalpraxis gute Weg, die Betriebsvereinbarung als Erlaubnistatbestand zur Datenverarbeitung zu nutzen, wird also weiter bestehen bleiben können.

Es kann aber auch zu der Situation kommen, dass Betriebsvereinbarungen neu entworfen werden müssen, um den Anforderungen der DSGVO zu entsprechen.

Fazit

Ein großer Wurf, der seine selbst gesetzten Ziele nicht ganz erreicht. Von Einheitlichkeit im gesamten europäischen Raum ist die DSGVO zwar noch ein gutes Stück entfernt, zeigt aber die Richtung an, in die es zukünftig gehen soll.

Einige abstrakte Formulierungen in der DSGVO erlauben zwar keine hundertprozentig sichere Rechtsanwendung, schließen aber Rechtslücken aus der Vergangenheit.

509584528, Billion Photos  Das Fehlen von explizit genannten technischen Neuerungen in der DSGVO ist leider ein Defizit, welches hätte vermieden werden müssen. Insgesamt ist die Datenschutz-Grundverordnung ein Schritt in die richtige Richtung, aber erst der Anfang auf einem weiten Weg.

avatar
Peter Jordan, LKC

Peter Jordan ist Partner bei LKC.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.