© 2017 Michael Ochsenfeld

2. Auflage 2017

Herstellung und Verlag: BoD – Books on Demand GmbH, Norderstedt

ISBN: 978-3-7448-0616-9

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.

Coverbild „"paragraph_flaeche_10" © rcx via Fotolia (Foto-ID

#65439035)

Das Werk einschließlich aller Inhalte ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Nachdruck oder Reproduktion (auch auszugsweise) in irgendeiner Form (Druck, Fotokopie oder anderes Verfahren) sowie die Einspeicherung, Verarbeitung, Vervielfältigung und Verbreitung mit Hilfe elektronischer Systeme jeglicher Art, gesamt oder auszugsweise, ist ohne ausdrückliche schriftliche Genehmigung des Verlages untersagt. Alle Übersetzungsrechte vorbehalten.

Die Benutzung dieses Buches und die Umsetzung der darin enthaltenen Informationen erfolgt ausdrücklich auf eigenes Risiko. Rechts- und Schadenersatzansprüche sind ausgeschlossen. Das Werk inklusive aller Inhalte wurde unter größter Sorgfalt erarbeitet. Dennoch können Druckfehler und Falschinformationen nicht vollständig ausgeschlossen werden. Der Verlag und auch der Autor übernehmen keine Haftung für die Aktualität, Richtigkeit und Vollständigkeit der Inhalte des Buches, ebenso nicht für Druckfehler. Es kann keine juristische Verantwortung sowie Haftung in irgendeiner Form für fehlerhafte Angaben und daraus entstandenen Folgen vom Verlag bzw. Autor übernommen werden. Für die Inhalte von den in diesem Buch abgedruckten Internetseiten sind ausschließlich die Betreiber der jeweiligen Internetseiten verantwortlich.

Verwendete Markennamen sind Eigentum der jeweiligen Rechteinhaber und werden nur beschreibend verwendet.

Inhalt

  1. Kollektivarbeitsrechtliche Grundlagen
    • 1.1 § 80 Abs. 1 Nr. 1 BetrVG
    • 1.2 § 87 Abs. 1 Nr. 6 BetrVG
  2. Grundbegriffe im Datenschutz
    • 2.1 Datenschutzgrundverordnung
    • 2.2 Haushaltsausnahme
    • 2.3 Verantwortliche Stelle
    • 2.4 Betroffener, Personenbezogene Daten
    • 2.5 Zulässigkeit der Datenerhebung usw
    • 2.6 Einwilligung
    • 2.7 Datenerhebung für eigene Geschäftszwecke
    • 2.8 Arbeitnehmerdatenschutz
    • 2.9 Betrieblicher Datenschutzbeauftragter
    • 2.10 Auftrags(daten)verarbeitung
    • 2.11 Datenübermittlung ins Ausland, § 4 b BDSG
  3. Blitzlichter in alphabetischer Reihenfolge
    • 3.1 Anrufverteilungssysteme
    • 3.2 Arbeitszeiterfassungssysteme
    • 3.3 DSAnpUG-EU
    • 3.4 Betriebliches Eingliederungsmanagement
    • 3.5 Betriebsrat, Datenschutz im –
    • 3.6 Bewerberscreening
    • 3.7 Bildnisveröffentlichungen
    • 3.8 Bring Your Own Device (BYOD)
    • 3.9 Bundesamt für Sicherheit in der Informationstechnik (BSI)
    • 3.10 Business Intelligence (SAP)
    • 3.11 Cloud-Computing
    • 3.12 Consumerisation
    • 3.13 Compliance-Richtlinie
    • 3.14 Crowdsourcing
    • 3.15 Crowdworking
    • 3.16 CTI (Computer Telephony Integration)
    • 3.17 Data Warehouse
    • 3.18 Digitale Personalakte
    • 3.19 Düsseldorfer Kreis
    • 3.20 E-Learning
    • 3.21 E-Recruiting
    • 3.22 Facebook und Co. (Mitbestimmung)
    • 3.23 Führerscheinkontrolle
    • 3.24 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
    • 3.25 Google Analytics
    • 3.26 Hardware (Mitbestimmung)
    • 3.27 Industrie 4.0
    • 3.28 Informationssicherheit
    • 3.29 IT-Sicherheitsgesetz
    • 3.30 Kommunikationsverzeichnis
    • 3.31 Kritische Infrastrukturen (KRITIS)
    • 3.32 Matrixstrukturen, Datenflüsse
    • 3.33 Mitarbeiterdaten, grenzüberschreitender Transfer
    • 3.34 Online Analytical Processing (OLAP)
    • 3.35 Outlook – Checkliste für eine Betriebsvereinbarung
    • 3.36 Personaleinsatzplanung
    • 3.37 Skill-Datenbanken
    • 3.38 Soziale Netzwerke
    • 3.39 Social Media Guidelines
    • 3.40 Skill-Datenbanken
    • 3.41 Telefonsysteme
    • 3.42 Terrorlisten der EU, IT-gestützte Abgleiche
    • 3.43 Unified Communications (CISCO)
    • 3.44 Whistleblowing
    • 3.45 Workflowsystem
    • 3.46 Zeitaufnahmen/Zeitstudien
    • 3.47 Zutrittskontrollsysteme
  4. Materialien
    • 4.1 Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG
    • 4.2 Checkliste für Betriebsvereinbarung
    • 4.3 Muster einer Betriebsvereinbarung zur Einführung von SAP
    • 4.4 Anlage Standardfragenkatalog
    • 4.5 Personalmanagement – Deutsch

Kurzes Vorwort

Datenschutz ist für Arbeitnehmer schon lange kein exotisches Randthema mehr, sondern fester Bestandteil des Alltags und des Arbeitsplatzes.

Dabei obliegt es dem Betriebsrat nach § 80 Abs. 1 Nr. 1 BetrVG zu überwachen, ob die zugunsten der Arbeitnehmer geltenden Gesetze eingehalten werden.

Lerne in diesem Buch die rechtlichen Rahmenbedingungen des Datenschutzes sowie Deine Möglichkeiten als Betriebsrat bzw. Betriebsrätin kennen, um angemessen und effizient auf die technischen und rechtlichen Herausforderungen zu reagieren.

Mach Dich mit den für die Kolleginnen und Kollegen geltenden Datenschutzvorschriften vertraut!

Das, was Du in Händen hältst, ist aber kein „Lesebuch“, dass Dir die Langeweile vertreiben will. Es handelt sich vielmehr um ein Arbeitsbuch: das notwendige Wissen muss von Dir erarbeitet werden. Und das Wissen fliegt Dir nicht hoppla hopp zu.

Aber Deine Wahl war gut;o)

Hunderte von Betriebs- und Personalräten haben mit diesen Unterlagen ihre Begeisterung für datenschutzrechtliche Themen entdeckt. Vielleicht gelingt Dir das auch!

Eine weitere Besonderheit hat dieses Buch noch:

Du findest in diesem Buch keine allgemeine Einführung in das Datenschutzrecht, sondern kurze und knackige Blitzlichter auf datenschutzrechtliche Themen. Ohne viel Firlefanz… Nur das, was Du als Betriebsrätin bzw. Betriebsrat brauchst.

Der Vorteil ist, dass Du Dir schnell die Themen erarbeiten kannst. Der Nachteil ist, dass Du ohne weitere Arbeit mit diesem Buch nichts anfangen kannst.

Am besten ist es, wenn Du Dich mit diesem Arbeitsbuch auf ein datenschutzrechtliches Seminar vorbereitest oder ein solches hiermit nachbereitest.

Ich jedenfalls drücke Dir von Herzen die Daumen und wünsche extrem viel Freude und Spaß beim Durcharbeiten!

…und melde Dich, falls etwas unklar bleibt oder fehlt.

Herzlichst

P.S.: Sende mir eine E-Mail an arbeitsbuch@ochsenfeld.com, wenn Du Interesse an der nächsten aktualisierten Auflage hast.

Ich kann Dir zwar noch nicht auf den Tag genau sagen, wann sie erscheint – wahrscheinlich Anfang 2018 – aber: wenn Du Dich jetzt registrierst, erhältst Du die nächste digitale Auflage kostenfrei. In der nächsten Ausgabe wird dann noch mehr zur EU-DSGVO, zum DSAnpUG usw. enthalten sein.

1    Kollektivarbeitsrechtliche Grundlagen

Wir starten mit einem kurzen Abstecher in das Betriebsverfassungsgesetz. In § 80 Abs. 1 Nr. 1 BetrVG findest Du eine Beschreibung der Aufgaben, die der Betriebsrat nach dem Willen des Gesetzgebers wahrzunehmen hat:

1.1 § 80 Abs. 1 Nr. 1 BetrVG

§ 80 Abs. 1 Nr. 1 BetrVG

in der Fassung der Bekanntmachung vom 25. September 2001 (BGBl.

I S. 2518), das zuletzt durch Artikel 3 des Gesetzes vom 21. Februar 2017 (BGBl. I S. 258) geändert worden ist

(1) Der Betriebsrat hat folgende allgemeine Aufgaben:

1. darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden;

[…]

1.1.1    Inhalt

Die in § 80 Abs. 1 Nr. 1 BetrVG festgelegte Überwachungspflicht des Betriebsrats umfasst:

  • Gesetze (z.B. BDSG, EU-DSGVO, TKG, TMD usw.)
  • Verordnungen (z.B. Verordnungen der EU)
  • Unfallverhütungsvorschriften
  • Tarifverträge
  • Betriebsvereinbarungen (z.B. Rahmen-IT BV usw.)

Das bedeutet, dass es dem Betriebsrat durch den Gesetzgeber auferlegt wurde, die im Betrieb zugunsten der Mitarbeiter geltenden Gesetze zu überwachen. Dazu zählt u.a. das Bundesdatenschutzgesetz oder allgemeiner:

Dazu gehören alle datenschutzrechtlichen Regelungen, die dem Schutz der Mitarbeiter bzw. der personenbezogenen Daten der Mitarbeiter dienen.

Die Wahrnehmung der Überwachungspflichten korrespondiert mit den Überwachungsrechten,zum Beispiel:

  • das Recht, ungehindert Arbeitsplätze aufzusuchen - gezielt und auch im Rahmen von Betriebsbegehungen,
  • das Recht, in bestimmten Fällen externer Einrichtungen wie z.B. der Aufsichtsbehörde für den Datenschutz einzuschalten.

Stellt der Betriebsrat Rechtsverstöße fest, ist er aber grundsätzlich nicht berechtigt, selbst direkte Anweisungen an handelnde Personen zu erteilen - nur bei akuter Gefahr wäre dieses denkbar.

Der Betriebsrat muss, wenn sich der Arbeitgeber weigert, einen rechtswidrigen Zustand abzustellen, ein Beschlussverfahren nach § 23 BetrVG beim Arbeitsgericht einleiten.

1.1.2    Urteile

Hier einige Urteile zu § 80 Abs. 1 Nr. 1 BetrVG:

  • Aus § 80 Abs. 1 Nr. 1 BetrVG ergibt sich kein Anspruch auf Unterlassung betriebsvereinbarungswidrigen Verhaltens (BAG, Beschluss vom 18. Mai 2010 – 1 ABR 6/09 –, BAGE 134, 249-254, NZA 2010, 611-612)
  • Der Betriebsrat hat auch ohne grobe Pflichtverletzung des Arbeitgebers nach § 23 Abs. 3 BetrVG ein Unterlassungsanspruch bzgl. einer mitbestimmungswidrigen Maßnahme (vgl. Münch ArbR, Matthes § 329, Rn. 18 ff., 2. Auflage).
  • Die Pflicht des Arbeitsgebers zur Durchführung von Betriebsvereinbarungen aus § 77 Abs. 1 S. 1 BetrVG beinhaltet zugleich die Verpflichtung des Arbeitgebers, dass er betriebsverfassungswidrige Maßnahmen unterlässt und dafür sorgt, dass sich auch die Arbeitnehmer in seinem Betrieb an die Regelungen einer Betriebsvereinbarung halten. Der Durchführungsanspruch des Betriebsrats aus § 77 Abs. 1 S. 1 BetrVG beinhaltet insoweit auch einen Unterlassungsanspruch bei Verstößen gegen eine Betriebsvereinbarung (hier bejaht für Verstoß gegen das Verbot der Weitergabe persönlicher Passwörter von Mitarbeitern) (LAG Hamm (Westfalen), Beschluss vom 10. Februar 2012 – 10 TaBV 59/11 –)
  • Träger des Überwachungsrechts aus § 80 Abs. 1 Nr. 1 BetrVG ist der Betriebsrat, nicht der Gesamtbetriebsrat (BAG, Beschluss v. 16.8.2011, 1 ABR 22/10).
  • Das Überwachungsrecht besteht gegenüber dem Arbeitgeber, der die Rechtsnorm zu beachten hat, nicht jedoch gegenüber dem Normgeber, d. h. z. B. dem Gesetzgeber oder den Tarifvertragsparteien, der die Rechtsnorm erlassen hat (LAG Schleswig-Holstein, Urteil v. 19.8.2008, 5 TaBV 23/08).
  • Der Begriff der „zugunsten der Arbeitnehmer geltenden Gesetze und Verordnungen” ist weit auszulegen (BAG, Beschluss v. 19.10.1999, 1 ABR 75/98) und umfasst auch das Richterrecht.

1.2    § 87 Abs. 1 Nr. 6 BetrVG

Eine weitere Schnittstelle zwischen dem Betriebsverfassungsrecht - also dem kollektiven Arbeitsrecht - und dem Datenschutzrecht findet sich in § 87 Abs. 1 Nr. 6 BetrVG:

1.2.1    Inhalt

§ 87 Abs. 1 Nr. 6 BetrVG

in der Fassung der Bekanntmachung vom 25. September 2001 (BGBl. I S. 2518), das zuletzt durch Artikel 3 des Gesetzes vom 21. Februar 2017 (BGBl. I S. 258) geändert worden ist

„(1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: […]

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; […]

(2) Kommt eine Einigung über eine Angelegenheit nach Absatz 1 nicht zustande, so entscheidet die Einigungsstelle. Der Spruch der Einigungsstelle ersetzt die Einigung zwischen Arbeitgeber und Betriebsrat.“

Nach § 87 Abs. 1 Nr. 6 BetrVG ist hat der Betriebsrat also mitzubestimmen, wenn technische Einrichtungen das Verhalten oder die Leistung der Arbeitnehmer überwachen sollen. Wie die Mitbestimmung zu erfolgen hat, schreibt § 87 BetrVG aber nicht vor.

Es muss keine Betriebsvereinbarung sein; es genügt grundsätzlich auch eine Regelungsabsprache mit entsprechendem wirksamen Beschluss des Gremiums – ein bloßes Dulden oder „Abnicken“ reicht aber nicht. Soll die Mitbestimmung nach dem Willen des Betriebsrates durch eine Betriebsvereinbarung abgeschlossen werden, kann sich der Arbeitgeber diesem nicht entziehen.

Nach der Rechtsprechung genügt es, dass die technischen Einrichtungen objektiv zur (Arbeitnehmer-)Überwachung geeignet sind.

Ob diese Funktionen auch tatsächlich genutzt werden, ist für das Mitbestimmungsrecht unerheblich, es genügt, dass die Funktionen vorhanden sind (BAG Beschluss vom 23.04.1985 – 1 ABR 39/81, CR 1986, 97-100).

Technische Einrichtungen, die geeignet sind, Arbeitnehmerverhalten zu überwachen, sind in einer zunehmend technischeren Welt vielfältig. Hier einige Beispiele aus der Rechtsprechung, in denen die Einführung und Anwendung der Mitbestimmung des Gremiums unterhegt:

  • Arbeitszeiterfassungsgeräte
 LAG Berlin-Brandenburg, Beschluss vom 22. Januar 2015 – 10 TaBV 1812/14 und 10 TaBV 2124/14, 10 TaBV 1812/14, 10 TaBV 2124/14 –, juris
  • Biometrische Zugangskontrollen
 BAG 21.01.2004, AP Nr. 40 zu § 87 BetrVG 1972 Überwachung
  • E-Mail
 Siehe Internet
  • Facebook-Seite, mit Funktion „Besucher-Beiträge“
 BAG, Beschluss vom 13. Dezember 2016 – 1 ABR 7/15 –, juris
  • Fahrtenschreiber (soweit nicht gesetzlich vorgeschrieben)
 BAG 10.07.1979 AP Nr. 3 zu § 87 BetrVG Überwachung BAG, Beschluss vom 15. Dezember 1992 – 1 ABR 24/92 –, juris
  • Fingerprint-Scanner-Systeme
 Siehe Biometrische Zugangskontrollen
  • Fleetboard
 Siehe GPS
  • Fotokopiergerät
 OVG Münster, Beschl. v. 11.03.1992, Rd. 37 (CR 1993, 375-376)
  • GPS-Systeme
 ArbG Kaiserslautern, Beschluss vom 27. August 2008 – 1 BVGa 5/08 –, juris; ArbG Dortmund, Beschluss vom 12. März 2013 – 2 BV 196/12 –, juris
  • Location-Based-Services
 Siehe GPS
  • Microsoft-Office (Excel)
 ArbG Berlin, Urteil vom 20. März 2013 – 28 BV 2178/13 –, juris
  • Mobiltelefone
 ArbG Kaiserslautern Beschluss vom 11.10.2007 – 8 BV 52/07
  • Satellitengestützte Ortungssysteme
 ArbG Kaiserslautern Beschluss vom 27.08.2008 – 1 BVGa 5/08)
  • Spiegel, halb durchsichtige Spiegel
 BAG 15.05.1991, AP Nr. 23 zu § 611 BGB Persönlichkeitsrecht
  • Telefon, Einzelverbindungsnachweise
 ArbG Kaiserslautern Beschluss vom 07.03.2007 – 8 BV 3/07
  • Telefondaten, Erfassung
 BAG 27.05.1986, AP Nr. 15 zu § 87 BetrVG 1972 Überwachung
  • Videoanlagen
 BAG 27.03.2003, AP Nr. 36 zu § 87 BetrVG Überwachung

1.2.2    Urteile

Und hier wieder einige interessante Urteile:

  • Nicht erforderlich für eine Überwachung i.S.d. § 87 Abs. 1 Nr. 6 BetrVG ist es, dass die Daten über das Verhalten oder die Leistung des einzelnen Arbeitnehmers durch die technische Einrichtung zunächst selbst und "automatisch" erhoben werden. Es genügt, wenn die Informationen durch die Nutzer der FacebookSeite aufgrund der dort vorhandenen Funktion "Besucher-Beiträge" eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzter Zugriffsmöglichkeit zugeführt werden (BAG, Beschluss vom 13. Dezember 2016 – 1 ABR 7/15 –, juris)
  • Hinsichtlich einer Mitarbeiterbefragung, die keinen Personalfragebogen i.S.d. § 94 BetrVG darstellt, ist die Mitbestimmung durch Betriebsvereinbarung ausgeübt, wenn die Struktur der Befragung hinsichtlich der Verarbeitung, Speicherung, Anonymisierung und Bekanntgabe der Ergebnisse geregelt ist. Die konkreten Fragen sind nicht mitbestimmt. Vielmehr sind mögliche Folgen innerhalb der Regelungen zur Struktur der Befragung zu regeln. (hier: Anonymisierung der Aussagen über Vorgesetzte wurde konkret in der BV übersehen), Landesarbeitsgericht Köln, Beschluss vom 12. Dezember 2016 – 2 TaBV 34/16 –, juris -Rechtsbeschwerde anhängig BAG, 1 ABR 13/17
  • Bei der Mitbestimmung gegenüber der Ausgestaltung des in einem Klinikum und auf dessen Außengelände eingesetzten visuellen Aufzeichnungssystems handelt es sich nicht um eine mehrere Unternehmen betreffende Angelegenheit i.S.d. § 58 Abs. 1 S 1 BetrVG, weshalb eine Zuständigkeit des Konzernbetriebsrats entfällt. Die der Mitbestimmung unterliegenden Gegenstände betreffen unterschiedliche betriebliche Vorgänge. BAG, Beschluss vom 26. Januar 2016 – 1 ABR 68/13 –, juris
  • Der Verstoß gegen eine Vereinbarung mit dem Betriebsrat, eine mit Zustimmung des Betriebsrats vorgenommene Video überwachung nur im Beisein des Betriebsrats auszuwerten, führt jedenfalls dann nicht zu einem Beweisverwertungsverbot, wenn der Betriebsrat der Verwendung als Beweismittel und der darauf gestützten Kündigung zustimmt und die Beweisverwertung nach den allgemeinen Grundsätzen gerechtfertigt ist. Landesarbeitsgericht Düsseldorf, Urteil vom 07. Dezember 2015 – 7 Sa 1078/14 –, juris
  • Bei im Rahmen einer Videoüberwachung sich ergebenden "Zufallsfunden" muss das Beweisinteresse des Arbeitgebers höher zu gewichten sein als das Interesse des Arbeitnehmers an der Achtung seines allgemeinen Persönlichkeitsrechts. (Landesarbeitsgericht Düsseldorf, Urteil vom 07. Dezember 2015 – 7 Sa 1078/14 –, juris
  • Es besteht kein Mitbestimmungsrecht des Betriebsrats, wenn der Arbeitgeber den internetbasierten Routenplaner "Google Maps" einsetzt, um die Entfernungsangaben in Reisekostenanträgen zu überprüfen. BAG, Beschluss vom 10. Dezember 2013 – 1 ABR 43/12 –, juris).
  • Ein datenverarbeitendes System ist zur Überwachung von Verhalten oder Leistung der Arbeitnehmer bestimmt, wenn es individualisierte oder individualisierbare Verhaltens- oder Leistungsdaten selbst erhebt und aufzeichnet, unabhängig davon, ob der Arbeitgeber die erfassten und festgehaltenen Verhaltens- oder Leistungsdaten auch auswerten oder zu Reaktionen auf festgestellte Verhaltens- oder Leistungsweisen verwenden will. Überwachung in diesem Sinne ist sowohl das Sammeln von Informationen als auch das Auswerten bereits vorliegender Informationen (BAG 14. November 2006 -1 ABR 4/06 - Rn. 27, BAGE 120, 146).
  • Unterlässt ein Betriebsrat es über mehrere Jahre, einen Verstoß des Arbeitgebers gegen Mitbestimmungsrechte zu beanstanden, führt dies nicht zur Verwirkung des Mitbestimmungsrechts. Die materiellrechtliche Verwirkung von Mitbestimmungsrechten ist grundsätzlich ausgeschlossen (BAG Beschluss vom 28.8.2007 -1 ABR 70/06 - DB 2008,70). Der Betriebsrat kann weder auf sein Mitbestimmungsrecht verzichten noch darf er es der einseitigen Regelung durch den Arbeitgeber überlassen (BAG Urteil vom 3.6.2003 - 1 AZR 349/02 - NZA 2003,1155 = DB 2004,385). Der Arbeitgeber muss grundsätzlich damit rechnen, dass der Betriebsrat seine Beteiligung in einer seiner Mitbestimmung unterliegenden Angelegenheit verlangt und diese ggf. auch gerichtlich durchsetzt (Landesarbeitsgericht Schleswig-Holstein, Beschluss vom 04. März 2008 – 2 TaBV 42/07 –, juris).
  • Arbeitgeber und Betriebsrat können keine Vereinbarung treffen, durch die sich der Arbeitgeber verpflichtet, an den Betriebsrat im Falle der Verletzung von Mitbestimmungsrechten eine Vertragsstrafe zu bezahlen, da der Betriebsrat nicht die erforderliche Vermögens- und Rechtsfähigkeit besitzt (BAG v. 29.9.2004 - 1 ABR 30/03-, juris).

2    Grundbegriffe im Datenschutz

2.1    Datenschutzgrundverordnung

2.1.1    Historie des DSGVO

2012 25.01. 1. Entwurf durch die EU-Kommission
2013 06.06. 21.10. EU Ministerrat tagt zur EU-DSGVO LIBE (Innenausschuss) nimmt Anträge an
2014 12.03. Veröffentlichung 2. Entwurf durch das EU-Parlament
2015 15.06. 24.06. 15.12. Veröffentlichung 3. Entwurf durch den EU-Ministerrat 1. Trilog- Treffen Letztes Trilog-Treffen – Einigung auf finalen Stand
2016 14.04. 04.05. 25.05. Beschluss des EU Parlaments Veröffentlichung im Amtsblatt der Europäischen Union DSGVO tritt in Kraft (ist also schon geltendes Recht; Übergangszeit läuft schon!)
2018 25.05. Anwendbarkeit der DSGVO

2.1.2    Gründe für die DSGVO

Das deutsche Datenschutzrecht basiert auf der Richtlinie „ 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ und damit auf einem über 20 Jahre altem Regelwerk.

Jeder der 28 Mitgliedsstaaten der EU hat ein eigenes nationales Datenschutzrecht, da die Richtlinie nach europarechtlichen Prinzipien in nationales Recht jeweils transformiert werden muss.

Dabei wurden die „vorgeschlagenen“ Regelungen aus der Richtlinie jeweils an die nationalen Bedürfnisse und Wünsche der Parlamente angepasst.

Gemeinsame Prinzipien aller 28 Regelwerke lassen sich aber auch finden:

  • Verbot mit Erlaubnisvorbehalt
  • Gewährleistung von Betroffenenrechten
  • unabhängige Aufsichtsbehörden

Durch den uneinheitlichen „Datenschutzteppich“ in Europa, hatten Datenverarbeiter die legale Möglichkeit, ihr Unternehmen in dem Land mit dem geringsten bzw. unternehmensfreundlichsten Datenschutzniveau zu positionieren (sog. „forum shopping“ oder „race to the bottom“).

Bekannte Unternehmen, wie Google und Facebook, haben ihre europäische Firmenzentrale z.B. in Irland, wohl weil dort das Datenschutzrecht eher lax gehandhabt wurde – steuerrechtliche Vorteile mögen auch eine Rolle spielen.