45. DAFTA und 40. RDV-Forum online 2021

45. DAFTA und 40. RDV-Forum online 2021 vom 17. bis 19. November 2021 (GDD)

"Online-Datenschutz – Internationaler Datentransfer – Schadensersatz für Datenschutzverletzungen"

Drei aktuelle und besonders praxisrelevante Themen werden die diesjährige DAFTA prägen, die in den unsicheren Zeiten der Pandemie nochmals online stattfindet. Hierzu gehört zunächst das Thema Onlinedatenschutz, denn am 01.12.2021 tritt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Dieses betrifft nicht nur Telekommunikationsanbieter, sondern nahezu jedes Unternehmen bzw. jede öffentliche Stelle. Denn zum Telemedienanbieter wird eine Stelle bereits dann, wenn sie eine Website mit Informationen zu ihrer Tätigkeit anbietet. Die Teilnehmer/-innen an der DAFTA erhalten einen Überblick über die wesentlichen Regelungsinhalte des neuen Gesetzes, dessen Verhältnis zur DS-GVO und den ePrivacy-Regelungen sowie den bestehenden Handlungsbedarf für Websitebetreiber.

Zahlreiche Umsetzungsfragen für die datenverarbeitende Wirtschaft ergeben sich auch weiterhin bezüglich der „Schrems II“-Entscheidung des EuGH. Das Gericht betonte die Verantwortung des Verantwortlichen und des Empfängers zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Sofern dies nicht der Fall ist, sei zu prüfen, welche zusätzlichen Maßnahmen zwecks Erreichung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden könnten. Nach dem EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus. Das Erfordernis der ergänzenden Prüfungen und Maßnahmen entfällt auch nicht durch die neuen EU-Standardvertragsklauseln. Letzteres hat auch die Datenschutzkonferenz in einer Pressemitteilung explizit festgestellt. Der Datenschutz beim Einsatz von Microsoft 365 sowie die Reaktion von Microsoft auf die Anforderungen aus der Schrems II–Entscheidung sind Gegenstand eines eigenständigen DAFTA-Forums.

Weiteres Thema auf der diesjährigen DAFTA sind die Entwicklungen im Zusammenhang mit datenschutzrechtlichen Schadensersatzansprüchen. Höchst umstritten ist insofern insbesondere, inwiefern Schadensersatz wegen DS-GVO-Verstößen auch bei Bagatellverletzungen in Betracht kommt oder ob eine gewisse Erheblichkeitsschwelle überschritten sein muss. Hintergrund für die Diskussion ist, dass das nationale Recht Ersatz für immaterielle Schäden nur gewährt, wenn die Grenze der Erheblichkeit überschritten ist. In der DS-GVO findet sich eine solche Grenze jedoch nicht.

45. DAFTA und 40. RDV-Forum online 2021

Das 40. RDV-Forum,

welches am Tag vor der DAFTA stattfindet, greift neben den Neuregelungen im TTDSG und deren Konsequenzen für die betriebliche Kommunikation, der Umsetzung des Rechts bzw. der Pflicht zur Arbeitszeiterfassung bei mobiler Arbeit u.a. aktuelle Praxisfragen der Arbeitgeberverantwortung für Betriebsratsverarbeitungen auf. Hintergrund für das zuletzt genannte Thema ist die durch das Betriebsrätemodernisierungsgesetz neu geschaffene Regelung in § 79a Betriebsverfassungsgesetz (BetrVG) zum Datenschutz. Nach dieser Bestimmung ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Durch die Neuregelung in § 79a BetrVG sollte der bislang herrschende Streit über eine mögliche datenschutzrechtliche Eigenverantwortlichkeit des Betriebsrats beendet werden. Allerdings bleiben auch nach der Neuregelung zahlreiche praxisrelevante Fragen offen, wie z.B.:

  • Wie können DS-GVO-Vorgaben, z.B. zu den Betroffenenrechten im Hinblick auf Datenverarbeitungen des Betriebsrats konkret umgesetzt werden, ohne dessen unabhängige Arbeit und die Interessen der Beschäftigten zu beeinträchtigen, die sich vertrauensvoll an das Gremium wenden?
  • Welche Dokumentationspflichten treffen den Betriebsrat? Wer erstellt und führt das Verzeichnis der Verarbeitungstätigkeiten? Wem sind die Dokumentationen zugänglich zu machen?
  • Wer Verantwortung trägt, muss auch Kontrolle ausüben dürfen, oder nicht? Bestehen Überwachungs-/Informationsrechte des Arbeitgebers bzgl. der Datenverarbeitung durch den Betriebsrat?

Ein weiteres Thema im Rahmen des RDV-Forums werden die unterschiedlichen Rollen bei der Umsetzung der DS-GVO-Vorgaben sein. Beleuchtet werden die Funktionen von Datenschutzmanagern, Koordinatoren, Datenschutzbeauftragten und Co. sowie deren Zusammenarbeit.