Information und Bildungsarbeit von und für die SAP-Community

GDPR: ¿Maldición o bendición?

Die Datenschutz-Grundverordnung (DSGVO) soll die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vereinheitlichen. Doch was gibt es zu beachten?
Peter Jordan, LKC
5 abril 2017
GDPR: ¿Maldición o bendición?
avatar

Die Datenschutz-Grundverordnung verfolgt zunächst das primäre Ziel, das unübersichtliche Datenschutzrecht der einzelnen Mitgliedstaaten zu vereinheitlichen.

Otro objetivo debería ser la protección de datos en Europa debido a los crecientes retos que plantean la computación en nube, los macrodatos, las redes sociales y los motores de búsqueda.

La protección de los derechos fundamentales del individuo debe estar en la vanguardia de la modernización.

Ámbito de aplicación del RGPD

Unternehmen müssen einen Datenschutzbeauftragten bestellen, soweit ihre Tätigkeit eine umfangreiche, systematische und regelmäßige Beobachtung von betroffenen Personen erfordert.

Auch eine Verarbeitung zum Beispiel von besonders sensiblen Daten (etwa Gesundheitsdaten) nach Artikel 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen oder Straftaten nach Artikel 10 Abs. 1 DSGVO bedarf eines Datenschutzbeauftragten.

Das heißt für Unternehmen in Deutschland: Es wird sich voraussichtlich nichts ändern an den bisherigen Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Wichtig ist aber, die neue Pflicht des Datenschutzbeauftragten, über die Einhaltung der DSGVO zu wachen.

Damit entsteht auch für die Unternehmen ein spürbar höheres Haftungsrisiko. So weit also die Grundsätze der DSGVO – doch warum schneidet das neue Regelungswerk in den Rezensionen so schlecht ab?

Öffnungsklauseln verwässern das Ziel der Vereinheitlichung

Die 99 Artikel der europäischen DSGVO enthalten neben Richtlinien für Unternehmen und öffentliche Behörden auch sogenannte Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten, bestehende Datenschutzregeln beizubehalten oder neue zu erlassen.

Peter Jordan Gestión 1704Dadurch kann es in allen europäischen Mitgliedstaaten trotz der einheitlichen Grundverordnung wieder zu sehr unterschiedlichen Regelungen kommen. Damit ist die Europäische Union von einer einheitlichen, europaweiten Rechts­praxis weit entfernt, denn die DSGVO enthält mehr als 70 dieser Öffnungsklauseln – die allerdings nur bei einigen Themen zugelassen sind.

Ein weiterer großer Kritikpunkt ist, dass die neue Verordnung in vielen Fällen nur sehr abstrakte Antworten gibt. Hierzu zählt unter anderem, was unter dem Begriff „Belastbarkeit“ als Schutzziel in Art. 32 Abs. 1 b) zu verstehen ist und wie „Belastbarkeit“ zu definieren ist.

Wie sollen sich Wirtschaft, Behörden und Gerichte konkret in Datenschutzbelangen verhalten?

Während zahlreiche Richtlinien sehr genau definiert und ausformuliert sind, werden andere wiederum nur grob umrissen. So besteht in einigen wenigen Fällen weiterhin die Gefahr, dass der Flickenteppich im Bereich Datenschutz in Europa weiterhin existiert.

Big Data, Nube y Co. ¡Ni hablar!

Doch was die Experten am meisten ärgert, ist, dass die neuen europäischen Regelungen auf die wirklichen Herausforderungen und Risiken in der Informationstechnik nicht explizit eingehen.

Big Data – also die Datenflut und ihre Beherrschung –, Suchmaschinen, Cloud Computing und andere moderne Technikanwendungen werden in den 99 Artikeln nicht ausdrücklich genannt.

Wie bereits im Bundesdatenschutzgesetz (BDSG) müssen auch in der DSGVO die Regelungen aus einzelnen Artikeln herausgelesen werden.

¿Qué normativa se aplica?

Für Arbeitgeber ist wichtig, dass der Paragraf 32 des Bundesdatenschutzgesetzes wahrscheinlich weiter fortbestehen wird. Dieser besagt, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen.

Grund für das mögliche Weiterbestehen der Regelung ist Artikel 88 Absatz 1 ­DSGVO. Dieser enthält eine oben beschriebene Öffnungsklausel. Somit können spezifischere Regelungen zum Datenschutz im Beschäftigungskontext durch den nationalen Gesetzgeber selbst geschaffen werden.

Weiterhin wird auch die Möglichkeit der Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung bestehen bleiben. Das sind dann die Betriebsvereinbarungen und Tarifverträge.

Der in der Personalpraxis gute Weg, die Betriebsvereinbarung als Erlaubnistatbestand zur Datenverarbeitung zu nutzen, wird also weiter bestehen bleiben können.

Es kann aber auch zu der Situation kommen, dass Betriebsvereinbarungen neu entworfen werden müssen, um den Anforderungen der DSGVO zu entsprechen.

Conclusión

Ein großer Wurf, der seine selbst gesetzten Ziele nicht ganz erreicht. Von Einheitlichkeit im gesamten europäischen Raum ist die DSGVO zwar noch ein gutes Stück entfernt, zeigt aber die Richtung an, in die es zukünftig gehen soll.

Einige abstrakte Formulierungen in der DSGVO erlauben zwar keine hundertprozentig sichere Rechtsanwendung, schließen aber Rechtslücken aus der Vergangenheit.

509584528, Billion Photos  Das Fehlen von explizit genannten technischen Neuerungen in der DSGVO ist leider ein Defizit, welches hätte vermieden werden müssen. Insgesamt ist die Datenschutz-Grundverordnung ein Schritt in die richtige Richtung, aber erst der Anfang auf einem weiten Weg.

avatar
Peter Jordan, LKC

Peter Jordan es socio de LKC.


Escriba un comentario

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Lugar de celebración

Mehr Informationen folgen in Kürze.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Verfügbar bis Freitag, 24. Januar 2025
390 EUROS sin IVA

Reguläres Ticket

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Entradas

Reguläres Ticket
590 EUR sin IVA
Entrada anticipada

Verfügbar bis 24. Dezember 2024

390 EUR sin IVA
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.