Ihr Warenkorb ist leer
Sie sind Gast
SCHAFFLAND/WILTFANG
Datenschutz
digital
Nachgefragt bei: Prof. Niko Härting und Sebastian Schulz
06.03.2018
Härting: „Big Data-Technologie und Künstliche Intelligenz bleiben außen vor“
ESV-Redaktion Recht
Die Uhr tickt - was erwartet die Unternehmen, wenn ab dem 25.05.2018 eine neue Datenschutzära anbricht? Wie modern ist das neue Datenschutzrecht? Hierzu haben sich die Rechtsanwälte Prof. Niko Härting und Sebastian Schulz im zweiteiligen Interview gegenüber der ESV-Redaktion geäußert.
Herr Härting, Herr Schulz, beginnen wir mit dem Beschäftigtendatenschutz: Der neue § 26 BDSG ist erheblich umfangreicher und detaillierter als die bisherige Regelung zum Datenschutz am Arbeitsplatz nach § 32 BDSG a.F. Was sind die wichtigsten Unterschiede zur alten Rechtslage?
Niko Härting: Die neue Vorschrift ist zwar viel länger. Dies beruht aber darauf, dass die Vorgaben der DS-GVO – etwa zu besonders sensiblen Daten – umgesetzt werden. Im Kern bleibt es dabei, dass die Verarbeitung von Beschäftigtendaten auf der Grundlage einer Einwilligung oder Betriebsvereinbarung oder wenn eine solche Verarbeitung für das Arbeitsverhältnis erforderlich ist.
Ein nicht unwesentlicher Bereich ist auch das „Verzeichnis der Verarbeitungstätigkeiten“ gemäß Art. 30 DS-GVO. Was muss dieses Verzeichnis enthalten und wie ist es aufgebaut?
Niko Härting: Dies ist nichts Neues. Nach altem Recht sprach man von einem „Verarbeitungsverzeichnis“. Neu sind einige Pflichtangaben, die es nach altem Recht nicht gab. Und neu sind natürlich die drakonischen Bußgelder, die drohen, wenn es kein Verzeichnis gibt.
Sebastian Schulz: Drakonische Bußgelder sollten nach meiner Überzeugung aber nicht der einzige Grund für das Führen eines VdV sein. Wenn man es mit einer intakten Datenschutzorganisation halbwegs ernst meint, kam man schon bislang um das Führen eines solchen Verzeichnisses nicht herum. Denn nur wenn ich weiß, was ich tue, kann ich auch wissen, ob ich es richtig tue. Insofern warne ich regelmäßig davor, sich krampfhaft unter eine der in ihrer Reichweite im Übrigen völlig unklaren Ausnahmen zu dieser Verpflichtung subsumieren zu wollen.
Welche Sanktionen sieht das Gesetz vor, wenn ein Unternehmen dieses neue Verzeichnis nicht oder nur unzureichend führt?
Sebastian Schulz: Die Aufsichtsbehörden können Bußgelder bis zu 10 Millionen Euro verhängen, bei sehr großen Unternehmen geht es nach dem weltweiten Jahresumsatz. Die Bußgeldhöhe kann bis zu 2 Prozent des Umsatzes betragen.
Wird das neue Verzeichnis das bisherige „öffentliche Verfahrensverzeichnis zur Einsicht durch jedermann“ ersetzen oder bleiben beide Verpflichtungen nebeneinander bestehen?
Niko Härting: Nein. Es gibt nach neuem Recht kein öffentliches Verzeichnis mehr, sondern nur noch das interne Verzeichnis, das den Aufsichtsbehörden auf deren Anforderung jederzeit vorzulegen ist.
Nicht wenige Kritiker behaupten, dass das neue BDSG die Vorgaben der DS-GVO nicht erfüllt oder teilweise sogar dagegen verstößt. Teilen Sie diese Auffassung und wenn ja, in welchen Bereichen wird dies aus Ihrer Sicht besonders deutlich?
Niko Härting: Ich halte diese Diskussion für weitgehend akademisch und überschätzt. Das neue BDSG regelt nur einige wenige Randthemen und spielt bislang in der Compliancepraxis kaum eine Rolle.
Sebastian Schulz: Ganz so auf die leichte Schulter würde ich diesen Aspekt nicht nehmen. Im Gegenteil bin ich davon überzeugt, dass es mindestens eine Handvoll Vorgaben im BDSG neue Fassung gibt, die mit der DS-GVO offenkundig unvereinbar sind. Ich finde es schon bezeichnend, dass es der nationale Gesetzgeber immer dort, wo die Frage nach dem Vorliegen einer Öffnungsklausel der DS-GVO besonders virulent ist, es bei beredtem Schweigen belässt. Daneben bestehen an der Europarechtswidrigkeit von § 37 BDSG neue Fassung nach meiner Überzeugung keine Zweifel. Diese lex insurance ist sowohl inhaltlich als auch handwerklich grober Unfug.
Niko Härting: Dies ist in der Tat ein neues Betroffenenrecht, dessen Reichweite vollkommen unklar ist. Man soll „seine Facebook-Freunde“ mitnehmen können, wenn man zu einem Konkurrenten wechseln möchte. Ob dasselbe beim Wechsel der Bank oder Versicherung gilt, ist umstritten und offen.
Sebastian Schulz: Entsprechende Einschränkungen machten aber nur die Vorentwürfe. Im finalen Text der DS-GVO gilt Art. 20 umfassend. Unternehmen dieser aber auch aller anderen Branchen sind danach gut beraten, sich auf diesen Sonderling unter den datenschutzrechtlichen Betroffenenrechten gut vorzubereiten. Die Identifikation der von einem Portierungsbegehren erfassten Datenarten und die Separierung von hiermit in Verbindung stehenden Daten von Dritten stellen sich nach meiner Beobachtung dabei als die größten Herausforderungen dar.
Sebastian Schulz: Genau genommen war es nicht das Niveau des Datenschutzes, das hierzulande besonders hoch war. Das war spätestens mit der EG-Datenschutzrichtlinie im Binnenmarkt weitestgehend harmonisiert. Das oft geäußerte Vorurteil rührt vielmehr von einer, nicht zuletzt durch die deutsche Historie bedingten, gerade im öffentlichen Datenschutz extrem feingranularen Gesetzgebung und einer im europäischen Vergleich vergleichsweise ernsthaften Rechtsdurchsetzung her.
Die DS-GVO verschriftlicht nun den Grundsatz der Vollharmonisierung und bringt das Marktortprinzip mit sich, zwei Grundsätze, die von den Verordnungsgebern als zentrale Errungenschaften gefeiert werden, obwohl der EuGH diese schon längst seiner Rechtsprechung zugrunde gelegt hatte.
Lesen Sie in Teil 1 des Doppel-Interviews:
(ESV/mp, bp)
Herr Härting, Herr Schulz, beginnen wir mit dem Beschäftigtendatenschutz: Der neue § 26 BDSG ist erheblich umfangreicher und detaillierter als die bisherige Regelung zum Datenschutz am Arbeitsplatz nach § 32 BDSG a.F. Was sind die wichtigsten Unterschiede zur alten Rechtslage?
Niko Härting: Die neue Vorschrift ist zwar viel länger. Dies beruht aber darauf, dass die Vorgaben der DS-GVO – etwa zu besonders sensiblen Daten – umgesetzt werden. Im Kern bleibt es dabei, dass die Verarbeitung von Beschäftigtendaten auf der Grundlage einer Einwilligung oder Betriebsvereinbarung oder wenn eine solche Verarbeitung für das Arbeitsverhältnis erforderlich ist.
„Gesetzgebung aus dem letzten Jahrtausend“
Sebastian Schulz: Durch die Fortführung von § 32 BDSG alte Fassung werden große Teile der Rechtsprechung des BAG weiterhin ihre Gültigkeit behalten. Das ist gut und richtig so. Auch darf es durchaus als Fortschritt gewertet werden, dass der europäische Gesetzgeber und in der Folge auch der nationale die Einwilligung als tauglichen Rechtfertigungsgrund im Beschäftigungsverhältnis ausdrücklich anerkannt haben. Das sah in den Vorentwürfen der DS-GVO noch ganz anders aus. Warum dann allerdings in § 26 Abs. 2 der Grundsatz der Schriftlichkeit der Einwilligung aus der Mottenkiste geholt werden musste, ist unverständlich. Das ist Gesetzgebung aus dem letzten Jahrtausend.| Zur Person: RA Sebastian Schulz |
| Sebastian Schulz ist seit 2009 als Rechtsanwalt zugelassen. Nach seiner Tätigkeit als Referent für Datenschutz und Informationsfreiheit im Deutschen Bundestag arbeitet der Jurist seit 2012 beim E-Commerce-Verband bevh als Leiter Rechtspolitik und Datenschutz. Seit 2016 ist er of Counsel bei Härting Rechtsanwälte und Redaktionsmitglied der Fachzeitschrift PinG - Privacy in Germany. |
Ein nicht unwesentlicher Bereich ist auch das „Verzeichnis der Verarbeitungstätigkeiten“ gemäß Art. 30 DS-GVO. Was muss dieses Verzeichnis enthalten und wie ist es aufgebaut?
Niko Härting: Dies ist nichts Neues. Nach altem Recht sprach man von einem „Verarbeitungsverzeichnis“. Neu sind einige Pflichtangaben, die es nach altem Recht nicht gab. Und neu sind natürlich die drakonischen Bußgelder, die drohen, wenn es kein Verzeichnis gibt.
Sebastian Schulz: Drakonische Bußgelder sollten nach meiner Überzeugung aber nicht der einzige Grund für das Führen eines VdV sein. Wenn man es mit einer intakten Datenschutzorganisation halbwegs ernst meint, kam man schon bislang um das Führen eines solchen Verzeichnisses nicht herum. Denn nur wenn ich weiß, was ich tue, kann ich auch wissen, ob ich es richtig tue. Insofern warne ich regelmäßig davor, sich krampfhaft unter eine der in ihrer Reichweite im Übrigen völlig unklaren Ausnahmen zu dieser Verpflichtung subsumieren zu wollen.
„Strukturiertes Vorgehen nimmt Großteil des Schreckens“
Die gerade in größeren Organisationen zweifellos gewaltige Aufgabe verliert bei Einhaltung eines strukturierten Vorgehens einen Großteil ihres Schreckens. In der Praxis haben sich hier Kickoff-Termine in den Fachabteilungen, die Bestimmung von Verfahrens-„Ownern“ und einheitliche, gut verständliche Erhebungsbögen mit Ausfüllhinweisen als probate Mittel erwiesen.Welche Sanktionen sieht das Gesetz vor, wenn ein Unternehmen dieses neue Verzeichnis nicht oder nur unzureichend führt?
Sebastian Schulz: Die Aufsichtsbehörden können Bußgelder bis zu 10 Millionen Euro verhängen, bei sehr großen Unternehmen geht es nach dem weltweiten Jahresumsatz. Die Bußgeldhöhe kann bis zu 2 Prozent des Umsatzes betragen.
Wird das neue Verzeichnis das bisherige „öffentliche Verfahrensverzeichnis zur Einsicht durch jedermann“ ersetzen oder bleiben beide Verpflichtungen nebeneinander bestehen?
Niko Härting: Nein. Es gibt nach neuem Recht kein öffentliches Verzeichnis mehr, sondern nur noch das interne Verzeichnis, das den Aufsichtsbehörden auf deren Anforderung jederzeit vorzulegen ist.
„Granulares Vorgehen liegt im eigenen Interesse der Unternehmen“
Sebastian Schulz: Genau dieser Punkt ist ein weiterer Grund dafür, dass die Unternehmen bei der Erstellung des VdV in ihrem eigenen Interesse möglichst feingranular vorgehen können und sollten.Nicht wenige Kritiker behaupten, dass das neue BDSG die Vorgaben der DS-GVO nicht erfüllt oder teilweise sogar dagegen verstößt. Teilen Sie diese Auffassung und wenn ja, in welchen Bereichen wird dies aus Ihrer Sicht besonders deutlich?
Niko Härting: Ich halte diese Diskussion für weitgehend akademisch und überschätzt. Das neue BDSG regelt nur einige wenige Randthemen und spielt bislang in der Compliancepraxis kaum eine Rolle.
Sebastian Schulz: Ganz so auf die leichte Schulter würde ich diesen Aspekt nicht nehmen. Im Gegenteil bin ich davon überzeugt, dass es mindestens eine Handvoll Vorgaben im BDSG neue Fassung gibt, die mit der DS-GVO offenkundig unvereinbar sind. Ich finde es schon bezeichnend, dass es der nationale Gesetzgeber immer dort, wo die Frage nach dem Vorliegen einer Öffnungsklausel der DS-GVO besonders virulent ist, es bei beredtem Schweigen belässt. Daneben bestehen an der Europarechtswidrigkeit von § 37 BDSG neue Fassung nach meiner Überzeugung keine Zweifel. Diese lex insurance ist sowohl inhaltlich als auch handwerklich grober Unfug.
| Zur Person: RA Prof. Niko Härting |
| Prof. Niko Härting ist seit 1993 Rechtsanwalt und seit 1996 Partner bei der Rechtsanwaltspartner-Gesellschaft, die seinen Namen trägt: Härting Rechtsanwälte. An der Berliner Hochschule für Recht und Wirtschaft hat Härting seit 2012 eine Honorarprofessur inne. Der Datenschutzexperte ist zudem Herausgeber der im Erich Schmidt Verlag erscheinenden Fachzeitschrift PinG - Privacy in Germany. |
„Reichweite der Daten-Portabilität völlig unklar“
Einige Bereiche, die die DS-GVO vorgibt, sind wohl in der in der Tat noch nicht abschließend geklärt. Dies gilt zum Beispiel für die Daten-Portabilität. Ist dies ein neues Recht der Betroffenen - oder was ist darunter zu verstehen?Niko Härting: Dies ist in der Tat ein neues Betroffenenrecht, dessen Reichweite vollkommen unklar ist. Man soll „seine Facebook-Freunde“ mitnehmen können, wenn man zu einem Konkurrenten wechseln möchte. Ob dasselbe beim Wechsel der Bank oder Versicherung gilt, ist umstritten und offen.
Sebastian Schulz: Entsprechende Einschränkungen machten aber nur die Vorentwürfe. Im finalen Text der DS-GVO gilt Art. 20 umfassend. Unternehmen dieser aber auch aller anderen Branchen sind danach gut beraten, sich auf diesen Sonderling unter den datenschutzrechtlichen Betroffenenrechten gut vorzubereiten. Die Identifikation der von einem Portierungsbegehren erfassten Datenarten und die Separierung von hiermit in Verbindung stehenden Daten von Dritten stellen sich nach meiner Beobachtung dabei als die größten Herausforderungen dar.
„Vollharmonisierung und Marktortprinzip verschriftlicht“
Ihre Einschätzung: Das deutsche Datenschutzniveau war bisher - gemessen an internationalen Maßstäben – recht hoch. Wird sich das Niveau ab dem 25.05.2018 weiter erhöhen oder wird es eher hinter dem bisherigen Standard zurückbleiben?Sebastian Schulz: Genau genommen war es nicht das Niveau des Datenschutzes, das hierzulande besonders hoch war. Das war spätestens mit der EG-Datenschutzrichtlinie im Binnenmarkt weitestgehend harmonisiert. Das oft geäußerte Vorurteil rührt vielmehr von einer, nicht zuletzt durch die deutsche Historie bedingten, gerade im öffentlichen Datenschutz extrem feingranularen Gesetzgebung und einer im europäischen Vergleich vergleichsweise ernsthaften Rechtsdurchsetzung her.
Die DS-GVO verschriftlicht nun den Grundsatz der Vollharmonisierung und bringt das Marktortprinzip mit sich, zwei Grundsätze, die von den Verordnungsgebern als zentrale Errungenschaften gefeiert werden, obwohl der EuGH diese schon längst seiner Rechtsprechung zugrunde gelegt hatte.
„Modern ist das neue Datenschutzrecht nicht“
Niko Härting: Datenschutz lässt sich nicht messen. Daher halte ich nichts von abstrakten Diskussionen um ein gewisses „Niveau“. Das neue Datenschutzrecht bleibt im Zeitalter der Großrechner verwurzelt. Big Data-Technologie und Künstliche Intelligenz bleiben außen vor. Modern ist dies jedenfalls nicht.Lesen Sie in Teil 1 des Doppel-Interviews:
| Nachgefragt bei: Prof. Niko Härting und Sebastian Schulz | 06.03.2018 |
| Härting: „Anwälte und Berater sind die großen Nutznießer der Datenschutzreform” | |
 |
In gut zwei Monaten wird die Datenschutz-Grundverordnung betriebliche Realität - mit zahlreichen Pflichten: Was davon zu halten ist, welche Risiken es gibt und wer Nutznießer der DS-GVO ist, darüber sprach die ESV-Redaktion mit den Rechtsanwälten Prof. Niko Härting und Sebastian Schulz. mehr … |
 |
PinG Privacy in Germany Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und auf der sicheren Seite sein wollen:
PinG ist professionell: Aufbereitet wird das Ganze – stets mit Blick auf die DS-GVO – von einem gut eingespielten Team aus Datenschutz- und Medienrechtsfachleuten unter Federführung des Herausgebers RA Prof. Niko Härting. |
(ESV/mp, bp)