menu MyCPS



FAQ


Arbeitsorganisation

  • 1.1 Ab welchem Zeitpunkt sollen Mitarbeiter in Industrie 4.0 Projekte eingebunden werden?

    Die Mitarbeiter sollen vom frühestmöglichen Zeitpunkt an in Industrie 4.0 Projekte eingebunden werden. Dafür muss rechtzeitig eine Partizipationsstrategie eingeplant werden. Der aktive Austausch und das Einbeziehen aller betrieblichen Akteure, wie bspw. der Geschäftsführung und dem Betriebsrat sind dazu erforderlich. Gerade bei ersten Industrie 4.0 Projekten ist eine Beteiligung des Betriebsrates empfehlenswert. 

  • 1.2 Wie schnell werden digitale Lösungen von den Mitarbeitern akzeptiert?

    Damit sich die Mitarbeiter an die digitale Applikation gewöhnen können ist eine Migrationsphase zur Einführung von mindestens einem Jahr einzuplanen.

  • 1.3 Ist bei der Einführung von Industrie 4.0 die Prozessanalyse ein notwendiger Schritt?

    Ja, es muss eine detaillierte Prozessanalyse angefertigt werden, um den Prozess zu verstehen und formal zu erfassen. Davon ausgehend können Medien- und Systembrüche identifiziert und Optimierungsmaßnahmen abgeleitet werden.

  • 1.4 Gibt es Instrumente zur Machbarkeitsbewertung von Industrie 4.0 Projekten?

    Für die Bewertung der Machbarkeit von Industrie 4.0 Projekten können und sollten Leitfäden von allgemein anerkannten Organisationen und Forschungsprojekten verwendet werden. 

  • 1.5 Mit welcher Vorgehensweise sollen Industrie 4.0 Projekte angegangen werden?

    Vor dem Start sollte eine in die Unternehmensstrategie integrierte Digitalstrategie erarbeitet und eindeutig definiert sein. Industrie 4.0 Projekte bzw. Anwendungsfälle sollten nicht sprunghaft, sondern schrittweise eingeführt werden. Die erfolgreiche Durchführung kann mit klassischen oder agilen Vorgehensweisen erfolgen. Bei einer agilen Vorgehensweise hat sich gezeigt, dass zu Beginn eine schnell erreichbare Minimallösung definiert werden soll. Darauf aufbauend sollten mindestens sechs bis zehn Ausbaustufen bzw. Iterationen bis zur endgültigen Lösung vorgesehen werden. Die jeweiligen Einzelschritte sollten flexibel gestaltet sein. Allgemein ist bei der Wahl der Vorgehensweise darauf hinzuweisen, dass sowohl bei klassischen als auch bei agilen Vorgehensweisen professionelle Methodenkenntnis zwingend erforderlich ist.  

  • 1.6 Welcher Personenkreis ist für ein erfolgreiches Projekt erforderlich?

    Zusätzlich zu den im Rollenmodell aufgeführten Rollen und Funktionen ist die Person, die das Potential für die Industrie 4.0 Applikation identifiziert hat, erforderlich. Darüber hinaus sollten noch Mitarbeiter aus internen Dienstleistungsbereichen bspw. aus der Arbeitsvorbereitung oder dem Qualitätsmanagement im Projektteam sein.

  • 1.7 Wie hoch ist der Grad der Ausformulierung einer Idee für ein Industrie 4.0 Projekt?

    Die Idee an sich kann sehr einfach bzw. grob formuliert sein. Die Detaillierung und Ausgestaltung der Zieldefinition muss jedoch in interdisziplinären Workshops sehr detailliert stattfinden.

  • 1.8 Gibt es eine Rollentrennung zwischen Experten und Spezialisten?

    Der Experte hat den Gesamtüberblick, der Spezialist bzw. Dienstleister ist nur für eine bestimmte Tätigkeit im Projekt zuständig. 

  • 1.9 Welche Voraussetzungen soll ein Partner (was ist ein Partner?) für Industrie 4.0 mitbringen?

    Es sollte schon frühzeitig ein umfangreiches Netzwerk aus Spezialisten und Dienstleitern aufgebaut werden, um schnell reagieren zu können. Dafür ist ein Engagement in Verbänden, Netzwerken oder Innovationsnetzwerken erforderlich.

  • 1.10 Worauf ist am Ende eines Industrie 4.0 Projektes zu achten?

    Es soll vor dem Projektende ein Hauptverantwortlicher für den operativen Betrieb des Anwendungsfalls ernannt werden. Sobald der Use-Case vom Projektstatus in die Produktion übergeben wird, muss dafür ein Verantwortlicher bzw. Kümmerer benannt sein. Verantwortlich dafür sind immer die zuständigen Führungskräfte!

  • 1.11 Wie soll die Dokumentation des Projektes erfolgen?

    Die Dokumentation der Projekte sollte anhand standardisierter Methoden, wie bspw. Business Process Management (BPM) oder Ereignisgesteuerten Prozessketten (EPK) erfolgen. Zu beachten gilt hierbei, dass unabhängig von der Methode eine detaillierte Dokumenten angefertigt wird. Folgeprojekte können entsprechend auf den gemachten Erfahrungen aufgebaut werden. Ebenso kann über eine standardisierte Dokumentation Wissen zwischen beteiligten Personen oder Unternehmensstandorten besser geteilt werden.

  • 1.12 Ist die die Durchführung einer Befragung der Mitarbeiter nach Projektende erforderlich?

    Nach der Durchführung ist eine vom Management eingeforderte Evaluierung erforderlich! Eine Befragung der Mitarbeiter sollte dabei eine Selbstverständlichkeit im Führungsalltag sein. Mit der Befragung können Optimierungspotentiale für den Anwendungsfall identifiziert oder Weiterbildungsbedarfe für die Mitarbeiter abgeleitet werden. Ebenso kann festgesellt werden, wie die Nutzung der Applikation angekommen ist oder die Anwendung von den Beteiligten akzeptiert wird. 

  • 1.13 Durch wen und mit welchem Ziel soll die Auswahl von Industrie 4.0 Use-Cases erfolgen?

    Die Auswahl erster Industrie 4.0 Anwendungsfälle in einem Unternehmen soll durch das Management bzw. die Geschäftsführung erfolgen. Dabei soll durch ein verständliches „Leuchtturmprojekt“ die Akzeptanz der Mitarbeiter für die Digitalisierung gewonnen werden. Nachfolgeprojekte wiederum können durch Verständnis, Diskussion und Begreifen der Digitalisierungspotentiale Bottom-Up erfolgen. 

  • 1.14 Wie viele Industrie 4.0 Use-Cases sollen zu Beginn definiert werden?

    Zu Beginn der Digitalisierung eines Unternehmens sollen 3 Use-Cases unterschiedlicher Schwierigkeit ausgewählt werden: einfach – mittel –schwer. Der Use-Case mit geringstem Schwierigkeitsgrad sollte auf jeden Fall ein Erfolg sein, um Lerneffekte im Unternehmen anzustoßen und um Konsequenzen für anspruchsvollere Use-Cases zu ziehen (bspw. Zieldefinition, Ressourcen, Rollen und Funktionen)

  • 1.15 Welche Rolle ist der internen IT im Projekt zuzuweisen?

    Die Auswahl ersten Industrie 4.0 Anwendungsfalls in einem Unternehmen soll durch das Management/ Geschäftsführung erfolgen. Ziel soll sein, durch ein verständliches „Leuchtturmprojekt“ Akzeptanz der Mitarbeiter für die Digitalisierung zu gewinnen. Nachfolgeprojekte wiederum können durch Verständnis, Diskussion und Begreifen der Potentiale Bottom-Up erfolgen.

Arbeitsschutz & Gesundheit

  • 2.1 Wie viele Informationen können denn sinnvoll auf Tablets, Smartphones oder Datenbrillen als Arbeitsassistenz gezeigt werden?

    Die konkrete Tätigkeit bestimmt die Menge der Informationen und Daten, die insgesamt dargestellt werden und damit die Festlegung des gesamten und des gleichzeitigen Informationsbedarfs. Ein grundsätzliches Optimum für verschiedene Tätigkeiten kann daher nicht im Vorhinein festgelegt werden. 

  • 2.2 Wann setzt man welches Smart Device ein? Gibt es Bewertungskriterien für die Mensch-Maschine-Interaktion?

    Wichtig ist die Passung der Technologie und verschiedener Aufgabenmerkmale z. B. im Hinblick auf Aufgabenzuordnung, Handlungsspielraum und Interaktionsgestaltung (Aufgaben-Technologie-Passung). Daher erfordert der Einsatz neuer Technologien eine sorgfältige Analyse und Auswahl der Arbeitsaufgaben, um eine gebrauchstaugliche Implementierung zu ermöglichen.

  • 2.3 Hängt die Akzeptanz bei der Einführung mit dem Alter der Belegschaft zusammen?

    Bislang zeigen sich keine spezifischen Alterseffekte, d. h. die Akzeptanz und Einsatzbereitschaft ist bei Personen, die mit digitalen Technologien bereits aufgewachsen, nicht prinzipiell höher als bei solchen Personen, die erst zu einem späteren Zeitpunkt im Leben begonnen haben, digitale Technologien zu nutzen. Auf Grund der weiten Verbreitung besteht insbesondere für Touchscreen-Technologien auch in allen Altersgruppen bereits Vorerfahrung mit der Bedienung.

  • 2.4 Gibt es besondere Richtlinien, die bei der Nutzung von Smart Devices als Arbeitsmittel im Unternehmen eingehalten werden müssen?

    Menschzentrierte CPS sind in erster Linie Arbeitsmittel. Damit greifen die Grundsätze aus der Betriebssicherheitsverordnung insbesondere § 6 Abs. 1. Konkrete Informationen bietet ergänzend die Technische Regel für Betriebssicherheit (TRBS 1151).

  • 2.5 Wann und wie lange können Tablet, Smartphones oder Datenbrillen als Arbeitsmittel eingesetzt werden?

    In der neuen Arbeitsstättenverordnung finden sich Vorgaben zur Gestaltung von Bildschirmarbeitsplätzen. Danach dürfen mobile Bildschirmgeräte ohne Trennung zwischen Bildschirm und externem Eingabemittel (wie Smartphones und Tablets) nur an Arbeitsplätzen betrieben werden, an denen die Geräte nur kurzzeitig verwendet werden oder an denen die Arbeitsaufgaben mit keinen anderen Bildschirmgeräten ausgeführt werden können. 

  • 2.6 Welche Chancen bieten die verschiedenen Geräte? Gibt es Einschränkungen für die Nutzung mobiler CPS mit Touchscreen-Technik?

    Handgehaltene Touchscreen-Geräte wie Smartphones und Tablets eigenen sich insbesondere, wenn größere Textmengen, kleinteilige Bilder/technische Zeichnungen für einen hohen Informationsbedarf einzelner Arbeitsschritte und kurze Texteingaben notwendig sind. Vorhandene Ablagemöglichkeiten für die Geräte, wenn sie nicht gebraucht werden sind sinnvoll. Werden bei der Haupttätigkeit Handschuhe getragen, kann dies die Nutzung der Touchscreen-Geräte beeinträchtigen. Nutzende versuchen u. U. unterschiedliche Beleuchtungssituationen, durch verschiedene, teils ungünstige Haltungen auszugleichen. Daher sind reflektionsarme Displays vorzuziehen. Durch die Einheit von Tastatur und Display ist eine für alle Körperpartien einheitlich entlastende Positionierung der Devices schwierig. Dauer und Intensität sind daher entscheidende Faktoren für die biomechanische Belastung durch Nutzung von Smart Devices. Touchscreen-Geräte eignen sich eher für kurzzeitigen Einsatz.

  • 2.7 Welche Chancen bieten Head-Mounted Displays wie Datenbrillen? Gibt es Einschränkungen für die Nutzung?

    Mit Head-Mounted Displays wie z. B. Datenbrillen können Informationen direkt ins Blickfeld der Beschäftigten eingespielt werden. Beide Hände bleiben so frei für die eigentliche Tätigkeit. Sinnvoll sind Datenbrillen vor allem für kurze Informationen auf Grund der Displaygröße und wenn die Beschäftigten mobil sein müssen. Weniger geeignet sind diese, wenn die Hauptaufgabe das vollständige Sichtfeld und/oder die ungeteilte Aufmerksamkeit erfordert. Mitunter ist die Akzeptanz auf Grund ergonomischer Mängel verschiedener Modelle gering mit potenziellen Auswirkungen auf Motivation und Leistung. Weitere Hinweise finden sich z. B. in einer Information der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (baua): Download: Head-Mounted Displays – Arbeitshilfen der Zukunft Bedingungen für den sicheren und ergonomischen Einsatz monokularer Systeme

Recht

  • 3.1 Welche datenschutzrechtlichen Probleme stellen sich beim Umgang mit Beschäftigtendaten?

    Datenschutzrechtliche Probleme stellen sich stets, aber auch nur bei der Verarbeitung von personenbezogenen Daten. Ein Personenbezug besteht, wenn eine Information einen Bezug zu einer identifizierten oder identifizierbaren Person aufweist, vgl. Art. 4 Nr. 1 EU-DSGVO (Europäische-Datenschutz-Grundverordnung). Individualisierte Beschäftigtendaten werden diesen Personenbezug regelmäßig aufweisen. Wenn die Daten allerdings anonymisiert oder die Daten mehrerer Beschäftigter aggregiert werden (z.B. durchschnittlicher Lohn, Entwicklung der durchschnittlichen Wartungszeit eines CPS), ist das Datenschutzrecht nicht anwendbar. Es ist aber im Einzelfall sorgfältig zu prüfen, ob die einzelne Person nicht doch mit Zusatzwissen re-identifiziert werden kann, das im Unternehmen verfügbar ist. Eine interne Pseudonymisierung kann eine effektive datenschutzfreundliche Maßnahme sein, hebt den Personenbezug aber nicht auf.

    Das Rückidentifizierungsrisiko muss also im Einzelfall beurteilt werden. Die Bestimmbarkeit von Personen muss nicht zwingend über den Namen erfolgen. Ausreichend ist, wenn andere Identifikationsmerkmale (wie z.B. Geschlecht, Geburtsdatum, Arbeitgeberanschrift, Stellung des Betroffenen im Unternehmen, fachliche Qualifikation) die Personenbeziehbarkeit mit verhältnismäßigem Aufwand ermöglichen. Ob allein das Entfernen des Namens und der Personalnummer eines Beschäftigten ausreicht, um einen Personenbezug vollständig zu beseitigen, kann u.a. davon abhängen, wie groß der Kreis der betroffenen Mitarbeiter ist. Wird eine Einzelperson als Mitglied einer Personengruppe gekennzeichnet, z.B. bei der Überwachung von Arbeitnehmergruppen, so gelten die zur Gruppe aufgenommenen Daten dann als personenbezogen, wenn sie auf die Einzelpersonen „durchschlagen“.

  • 3.2 Welche Besonderheiten ergeben sich bezüglich anonymisierten Daten?

    Anonymisierte Daten weisen keinen Personenbezug auf. Daher handelt es sich nicht um „personenbezogene“ Daten, weshalb der Anwendungsbereich des BDSG bzw. der EU-DSGVO nicht eröffnet ist.

    Daten gelten als anonym, wenn eine inhaltliche Aussage nicht mehr oder nur mit unverhältnismäßig großem Aufwand (Zeit, Kosten, Arbeitskraft) auf bestimmte Personen beziehbar sind. Bei der Frage, wann ein Personenbezog praktisch nicht mehr hergestellt werden kann, kommt es auf die Erkenntnisquellen an, die der speichernden Stelle direkt oder indirekt zur Verfügung stehen (s. Frage 3.1). Dies ist im Einzelfall sorgfältig zu prüfen. 

    Der Umgang mit anonymen Beschäftigtendaten unterfällt in der Regel auch nicht der Mitbestimmung gemäß § 87 Abs. 1 Nr. 6 BetrVG. Danach hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, ein Mitbestimmungsrecht. In dem Umgang mit anonymisierten Beschäftigtendaten besteht indes keine Gefahr für das Persönlichkeitsrecht der Beschäftigten, sofern die Anonymisierung der Daten nicht aufgehoben werden kann.

  • 3.3 Was sind im Kontext von Industrie 4.0 die relevantesten Rechtfertigungsgründe des Arbeitgebers für den Umgang mit personenbezogenen Daten seiner Arbeitnehmer?

    Die Datenschutz-Grundverordnung postuliert in Art. 6 Abs. 1 EU-DSGVO ein sogenanntes Verbot mit Erlaubnisvorbehalt. Ein Umgang mit personenbezogenen Daten ist grundsätzlich verboten, es sei denn eine Ermächtigungsgrundlage gestattet diesen.  

    Im Bereich des Beschäftigtendatenschutzes besteht zum einen die Möglichkeit einer Einwilligung des Beschäftigten nach Art. 6 Abs. 1 Satz 1 lit. a EU-DSGVO. Diese ist nur wirksam, wenn sie auf der informierten freien Entscheidung des Betroffenen beruht. Sie ist jeweils einzeln einzuholen und dazu jederzeit widerrufbar, weshalb der praktische Anwendungsbereich im Beschäftigungsverhältnis eher begrenzt ist.

    Eine Regelung speziell für den Beschäftigtendatenschutz findet sich in § 26 Abs. 1 Satz 1 BDSG, wonach personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses unter anderem dann verarbeitet werden dürfen, wenn dies für die Durchführung des Beschäftigungsverhältnisses „erforderlich“ ist. 

    Zur Aufdeckung von Straftaten darf ein Umgang mit Beschäftigtendaten nach Maßgabe des § 26 Abs. 1 Satz 2 BDSG dann erfolgen, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, der Umgang zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss des Umgangs nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

    Für den Umgang mit „besonderer Kategorien personenbezogener Daten“, wozu etwa Vitaldaten wie der Pulsschlag von Beschäftigten gehören, gelten die strengeren Anforderungen des § 26 Abs. 3 BDSG.

    Auch Betriebsvereinbarungen bzw. sonstige Kollektivverträge können den Datenschutz der Beschäftigten regeln. In der Praxis ist dies ein flexibles Instrument, das Anforderungen des konkreten Betriebs und seiner technischen Ausstattung berücksichtigen kann. Der Regelungsautonomie sind jedoch durch Art. 88 Abs. 1 EU-DSGVO, der lediglich „spezifischere“ Regelungen erlaubt, Grenzen gesetzt. Zum Nachteil der Beschäftigten abweichende und damit das Schutzniveau der DSGVO herabsenkende Regelungen sind nach überwiegender Ansicht im Schrifttum rechtswidrig. Die inhaltlichen Ausgestaltungsmöglichkeiten der Betriebsvereinbarung werden zudem durch § 75 Abs. 2 BetrVG begrenzt, wonach Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben. 

  • 3.4 Ist der Umgang mit personenbezogenen Beschäftigtendaten allein aufgrund einer Einwilligung zweckmäßig?

    Die datenschutzrechtliche Einwilligung legitimiert im Grundsatz jeden Datenverarbeitungsvorgang, weil sie gerade Ausdruck der informationellen Selbstbestimmung des Beschäftigten ist. Im betrieblichen Umfeld wirft sie aber mehrere rechtliche und faktische Probleme auf.

    Die Regelung der Einwilligung ergibt sich aus dem Zusammenspiel mehrerer Normen der DSGVO sowie der Ergänzung aus § 26 Abs. 2 BDSG. Sie muss nach Art. 4 Nr. 11 DSGVO und Art. 6 Abs. 1 lit. a DSGVO freiwillig und in informierter Weise für einen oder mehrere bestimmte Zwecke erteilt worden sein. Die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, sind zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen (§ 26 Abs. 2 Satz 1 und 2 BDSG). Dem Problem des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Beschäftigtem kann auch nicht dadurch vorgebeugt werden, dass der Arbeitgeber eine Klausel aufnimmt, wonach der Beschäftigte erklärt, bei seiner Entscheidung über die Einwilligung nicht unter Druck gesetzt worden zu sein. Anders kann sich die Situation darstellen, wenn ein Betriebsrat besteht und mit diesem die Rahmenbedingungen für Einwilligungen in einer Betriebsvereinbarung ausgehandelt werden. Hier kann z.B. geregelt werden, dass die Verweigerung oder der Widerruf der Einwilligung keine arbeitsrechtlichen Konsequenzen nach sich ziehen darf.

    Das Ersuchen um die Einwilligung muss gem. Art. 7 Abs. 2 DSGVO in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen.

    Eine Einwilligung für die Verarbeitung von sensitiven Daten – wie etwa biometrischen Daten – muss gem. Art. 9 Abs. 2 lit. a DSGVO „ausdrücklich“ abgegeben werden.

    DSGVO

    Neben den rechtlichen An- bzw. Herausforderungen bestehen auch faktische Probleme im Zusammenhang mit der Einwilligung im Beschäftigungsverhältnis. Wenn sie tatsächlich freiwillig erfolgt, wird es zumindest in großen Betrieben immer Fälle geben, in denen sie verweigert wird. Überdies können einzelne Beschäftigte ihre Einwilligung jederzeit widerrufen. Beides steht einheitlichen betrieblichen Abläufen und Datenverarbeitungsvorgängen entgegen. Letztlich muss gewährleistet werden, dass dem Beschäftigten bei Verweigerung oder Widerruf seiner Einwilligung keine Nachteile entstehen. Dies würde auf ein paralleles Angebot herkömmlicher und neuartiger Arbeitsplätze hinauslaufen. Jenseits der erläuterten rechtlichen Probleme bietet sich die Einwilligung schon deshalb im Beschäftigungskontext zumeist nicht als zweckmäßiges Mittel an.  

  • 3.5 Wie kann die Abfrage von Zugriffen durch die Geschäftsleitung auf eine Datenbank, die zum Beispiel personenbezogene Positionsdaten von Beschäftigten enthält, vom Betriebsrat oder dem Datenschutzbeauftragten rechtswirksam kontrolliert werden?

    Wenn die Abfrage und Auswertung von Beschäftigtendaten aus betrieblichen Systemen zu Kontrollzwecken zulässig ist, bieten sich organisatorische Sicherungsinstrumente an, um den Eingriff in Persönlichkeitsrechte abzumildern oder überhaupt erst zulässig zu machen. Eine organisatorische Maßnahme kann die Pflicht zur Beteiligung von Betriebsrat oder Datenschutzbeauftragtem sein.

    Sofern in einer Betriebsvereinbarung vorgesehen ist, dass eine Auswertung der erhobenen Daten unter Einbeziehung des betrieblichen Datenschutzbeauftragten und/oder des Betriebsratsvorsitzenden (oder seines Stellvertreters) erfolgt, kann mittels der Betriebsvereinbarung auch eine Protokollierung der Datenbankzugriffe seitens der Geschäftsleitung vereinbart werden. Dies folgt aus § 80 Abs. 1 Nr. 1 BetrVG, wonach der Betriebsrat darüber zu wachen hat, dass die zugunsten der Beschäftigten geltenden Gesetze, Verordnungen […] und Betriebsvereinbarungen durchgeführt werden. Dabei sind für das Handeln des Betriebsrats die in § 75 BetrVG aufgestellten Grenzen (Behandlung der Betriebsangehörigen nach den Grundsätzen von Recht und Billigkeit sowie die Schutz- und Förderpflicht in Bezug auf die freie Entfaltung der Persönlichkeit der im Betrieb tätigen) maßgeblich. 

  • 3.6 Welche datenschutzrechtlichen Risiken sind mit dem Speichern von personenbezogenen Daten in der „Cloud“ verbunden?

    Eine einheitliche Definition des Cloud Computing existiert bisher weder in juristischer noch technischer Hinsicht. Allgemein geht es um die Auslagerung von Verarbeitungsprozessen auf Server, die von Dritten betrieben werden. Dies kann sich auf Infrastrukturen, Softwareplattformen, einzelne Programme oder reine Speicherlösungen beziehen. In allen Varianten erhöht sich die Zahl derjenigen, die Zugriff auf die Daten haben. Insbesondere bei der Einbindung außereuropäischer Anbieter führt dies zu rechtlichen und faktischen Datenschutzrisiken.

    Rechtlich kann es sich beim Cloud Computing entweder um eine Auftragsdatenverarbeitung oder um eine Funktionsübertragung handeln. Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber (hier der Arbeitgeber) „Herr der Daten“ und ist damit auch datenschutzrechtlich verantwortlich. Eine Übermittlungsbefugnis ist nicht erforderlich (sog. Privilegierung), wohl aber die Einhaltung der Anforderungen von Art. 28 DSGVO. Hauptproblem der Umsetzung als Auftragsdatenverarbeitung ist, dass der Arbeitgeber die Einhaltung datenschutzrechtlicher Vorgaben durch den Cloud-Anbieter nicht stets in vollem Umfang nachprüfen kann. Dementsprechend sind viele der Anforderungen des Art. 28 DSGVO problematisch (Auswahl, Weisungen, Kontrollrechte; bei Standard-Cloud Verträgen auch Schriftform und Vorgaben aller Art durch den Cloud-Nutzer). Da ein Verstoß gegen die Vorgaben zum Verlust der Privilegierung der Auftragsdatenverarbeitung führt, erweist sich die datenschutzrechtliche Zulässigkeit dieser Gestaltung vielfach als schwierig.

    Mit der neuen Datenschutz-Grundverordnung gehen nunmehr neue Pflichten und Verantwortlichkeiten für den Auftragsverarbeiter einher. So muss dieser neben dem Verantwortlichen selber ein Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO führen, technische und organisatorische Maßnahmen nach Art. 32 DSGVO durchführen, einen Datenschutzbeauftragten gem. Art. 37 DSGVO bestellen sowie dafür einstehen, dass die Verarbeitung im Einklang mit der Datenschutz-Grundverordnung stattfindet, Art. 28 Abs. 1 DSGVO.

    Eine schon für das alte Recht diskutierte Möglichkeit ist die Prüfung durch unabhängige Dritte. Art. 28 Abs. 5 DSGVO ermöglicht es dem Arbeitgeber, Verhaltensregeln und Zertifizierungen im Sinne von Art. 40 bzw. 42 DSGVO als einen „Faktor“ dafür heranzuziehen, dass der Cloud-Anbieter hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO steht und der Schutz der Rechte der Beschäftigten gewährleistet wird. Am zweckmäßigsten ist es daher – vor allem für kleine und mittlere Unternehmen – nur auf zertifizierte Anbieter zurückzugreifen, die erfolgreich eine Zertifizierung gemäß Art. 42 DSGVO durchgeführt haben. Die Nutzung zertifizierter Cloud-Anbieter befreit den Cloud-Anwender allerdings nicht von der Verpflichtung, die Einhaltung der Datenschutzpflichten durch den Cloud-Anbieter regelmäßig zu überprüfen.

    Als weitere Lösung kommt die Nutzung von Private Clouds in Betracht: dabei werden die Ressourcen exklusiv für einen Anwender zur Verfügung gestellt. Der Betrieb der Private Cloud kann dabei entweder vom Nutzer selbst oder aber auch von einem Dienstleister und entweder im Rechenzentrum des Nutzers oder aber auch im Rechenzentrum des Dienstleisters realisiert werden. Da das entsprechende Angebot individuell für den jeweiligen Nutzer erstellt wird, ist in diesem Fall eine datenschutzkonforme Ausgestaltung der Cloud rechtlich und technisch denkbar, sofern dabei die Anforderungen der Datenschutz-Grundverordnung eingehalten werden.

    Befindet sich der Cloud-Betreiber außerhalb der EU/des EWR sind die gehobenen Voraussetzungen der Art. 44 ff. DSGVO zu beachten (siehe Ziff. 3.8)

  • 3.7 Handelt es sich bei der Verschlüsselung personenbezogener Daten um eine Anonymisierung?

    Das Entfernen des Personenbezugs von Daten Betroffener etwa durch Mittel der Verschlüsselung dürfte wohl mit den heute üblicherweise benutzten Verschlüsselungswerkzeugen nicht rechtssicher möglich sein. Das Datenschutzrecht fordert nämlich einen dauerhaften Wegfall des Personenbezugs, welchen gängige Verfahren bei normalem Einsatz wohl nicht bieten dürften. Die sich hieraus ergebenden Risiken könnten allenfalls durch eine Kombination von klassischer Verschlüsselung und Informationsverteilung sowie durch technisch-organisatorische Maßnahmen wie sichere Löschungsmöglichkeiten bei zertifizierten Dienstleistern verringert werden. Die Datenschutzbehörden der Länder gehen jedenfalls in der Regel davon aus, dass eine Verschlüsselung „regelmäßig“ keine Anonymisierung bewirkt.

  • 3.8 Welche datenschutzrechtlichen Risiken stellen sich bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR?

    Zu den normalen Risiken beim Umgang mit personenbezogenen Daten tritt bei der Übermittlung in Länder außerhalb der EU/des EWR die Besonderheit hinzu, dass im Empfängerland gegebenenfalls kein vergleichbares oder ausreichendes Datenschutzniveau vorhanden ist und selbst wenn dies doch der Fall sein sollte, die Geltendmachung konkreter Rechte auf nur schwer zu überwindende organisatorische Hindernisse stößt. Aus diesem Grund sieht die Datenschutz-Grundverordnung besondere Voraussetzungen für eine solche Übermittlung vor.

    Die Rechtmäßigkeit einer solchen Verarbeitung lässt sich anhand einer zweistufigen Prüfung festzustellen.

    Erstens muss die Übermittlung den allgemeinen datenschutzrechtlichen Voraussetzungen entsprechen, also insbesondere von einer Rechtsgrundlage gedeckt sein (siehe Ziff. 3.3).

    Zweitens müssen die spezifischen Anforderungen der Art. 44 ff. DSGVO vorliegen. Eine Möglichkeit der zulässigen Drittlandübermittlung besteht nach Art. 45 DSGVO in der Einholung eines Angemessenheitsbeschlusses der EU-Kommission, der feststellt, dass das Drittland über ein angemessenes Schutzniveau verfügt. Einer dieser Angemessenheitsbeschlüsse ist das sog. Privacy Shield für die USA, nach der sich Unternehmen unter Einhaltung von bestimmten Voraussetzungen zertifizieren lassen können, wodurch eine Übermittlung ermöglicht wird.

    Darüber hinaus kann gemäß Art. 46 DSGVO die Datenübermittlung vorbehaltlich geeigneter Garantien, die ein angemessenes Datenschutzniveau sicherstellen, durchgeführt werden.

    Grenzüberschreitende Übermittlungen innerhalb von Unternehmen oder Unternehmensgruppen können auch durch verbindliche interne Datenschutzvorschriften gerechtfertigt werden. Diese müssen den Anforderungen des Art. 47 DSGVO genügen.

    Die Datenschutz-Grundverordnung erleichtert ferner nach Art. 46 Abs. 2 lit. e und lit. f EU-DSGVO eine Übermittlung in „Drittstaaten“ auch dann, wenn genehmigte Verhaltensregeln (Art. 40 DSGVO) oder ein genehmigtes Zertifizierungsverfahren (Art. 42 EU-DSGVO) zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung „geeigneter Garantien“, einschließlich in Bezug auf die Rechte der betroffenen Personen, bestehen. 

    Liegt keiner der obigen Voraussetzungen vor, so können in engem Rahmen gleichwohl Daten übermittelt werden, wenn die Übermittlung den strengen Grenzen des Art. 49 DSGVO genügt. So ist beispielsweise nach Art. 49 Abs. 1 S. 1 lit. a DSGVO eine Einwilligung als Rechtsgrundlage denkbar. Diese muss jedoch strengen Voraussetzungen genügen und ist insbesondere im Beschäftigtenkontext problembelastet (siehe Ziff. 3.4).

  • 3.9 Welche Formen von Bring your own device (BYOD) sind rechtlich zu unterscheiden?

    Zu unterscheiden ist die Konstellation des Einsatzes von BYOD als Betriebsmittelersatz einerseits und des optionalen BYOD-Einsatz andererseits.

    Ist BYOD als Betriebsmittelersatz ausgestaltet (das heißt, Beschäftigte sind verpflichtet, ihre eigenen Geräte während der Arbeit zu verwenden), muss dem auf Grundlage eines Formulararbeitsvertrags beschäftigten Arbeitnehmer eine über die Vergütung hinausgehende Kompensation gezahlt werden, da die Aufbürdung einer zusätzlichen Pflicht ohne Gegenleistung als unangemessene Benachteiligung der Beschäftigten im Sinne von § 307 Abs. 1 Satz 1 BGB angesehen wird, was in der Regel zur Unwirksamkeit der Vereinbarung führt. Die Höhe der Kompensation sollte sich dabei an den marktüblichen Leasingraten und den Kosten des Supports und/oder einer Geräteversicherung orientieren. Eine Einführung von BYOD ist mittels Direktionsrecht des Arbeitsgebers nicht möglich, sondern bedarf einer vertraglichen Vereinbarung.

    Ist der BYOD-Einsatz lediglich als Option ausgestaltet, bedarf es insofern keiner Kompensation. Allerdings sollte der Arbeitgeber für den Fall, dass der Beschäftigte wieder auf Betriebsgeräte zurückgreifen will, einen ausreichenden „Gerätepool“ bereithalten, um den Rechtsfolgen des Annahmeverzugs gemäß § 615 Satz 1 BGB – Zahlung einer Vergütung ohne Arbeitsleistung – zu entgehen.

    Aus Sicht des Datenschutz- und IT-Sicherheitsrechts sind die beiden Formen hingegen weitgehend gleich zu behandeln. Zudem ergibt sich in beiden Fällen ein Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG, da es diese Endgeräte – in etwa durch Ortung – ermöglichen, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Je nach konkreter Ausgestaltung können sich weitere betriebliche Mitbestimmungsrechte aus § 87 Abs. 1 Nr. 1 (Ordnungs- und Verhaltensvorschriften), 2 (Beginn und Ende der täglichen Arbeitszeit), 3 (vorübergehende Verlängerung der betriebsüblichen Arbeitszeit), 7 (Arbeitsschutz) BetrVG ergeben. 

  • 3.10 Hat der Arbeitnehmer gegenüber dem Arbeitgeber Schadens- bzw. Aufwendungsersatzansprüche, wenn im Rahmen von BYOD der Arbeitnehmer „sein“ Gerät am Arbeitsplatz aus Unachtsamkeit beschädigt?

    Bei Verlust oder Beschädigung des vom Arbeitnehmer verwendeten Smartphones kann eine Ersatzpflicht des Arbeitgebers entsprechend § 670 BGB in Betracht kommen. 

    Ob eine solche Ersatzpflicht im Einzelfall besteht, richtet sich danach, ob der Verlust oder die Beschädigung betrieblich veranlasst oder ob der Verlust oder die Beschädigung lediglich dem allgemeinen Lebensrisiko des Arbeitnehmers zuzurechnen ist. Eine betriebliche Veranlassung wird im Rahmen von BYOD immer dann gegeben sein, wenn das Smartphone bei der Erfüllung dienstlicher Tätigkeit oder im Zusammenhang damit beschädigt wird oder verloren geht. Da der Arbeitgeber die Nutzung des privaten Smartphones für betriebliche Zwecke mit der Implementierung von BYOD gebilligt hat und ein eigenes Gerät nicht zur Verfügung stellen muss, dürfte in solchen Fällen die Beschädigung bzw. der Verlust nicht dem allgemeinen Lebensrisiko des Arbeitnehmers zuzurechnen, sondern betrieblich veranlasst sein.

    In den Fällen, in denen eine Haftung des Arbeitnehmers für den Verlust oder die Beschädigung des Smartphones grundsätzlich besteht, kommen die Grundsätze des sogenannten innerbetrieblichen Schadensausgleichs anspruchsbegrenzend zur Anwendung. Dies führt im Ergebnis grundsätzlich zu einer Haftungsverteilung zwischen Arbeitgeber und Arbeitnehmer entsprechend dem Grad des Arbeitnehmerverschuldens. Bei „einfacher“ Fahrlässigkeit seitens des Arbeitnehmers würde dies in aller Regel zu einer Kürzung des Schadensersatzanspruchs des Arbeitgebers in Höhe von 50% führen. 

    Die Grundsätze des innerbetrieblichen Schadensausgleichs sind nur eingeschränkt abdingbar. Abweichungen zu Lasten des Arbeitnehmers werden nur dann als zulässig erachtet, wenn der Arbeitnehmer eine „angemessene“ Kompensation für das eingegangene Risiko erhält. Allerdings ist nicht hinreichend geklärt, an welcher Höhe sich ein vom Arbeitgeber zu zahlender Kompensationsbetrag zu orientieren hat. So wird etwa vereinzelt angenommen, die Kompensationszahlung müsse nicht den Schaden abdecken, sondern nur den Betrag umfassen, den der Arbeitnehmer für eine Versicherung der Schäden zu zahlen hätte. Hier besteht ein erhebliches Maß an Rechtsunsicherheit, sodass praktisch jeder Abgeltungsklausel das Risiko einer unzureichenden Abgeltung mit der Folge eines Ersatzanspruchs des Arbeitnehmers anhaftet.

    Vor diesem Hintergrund empfiehlt sich der Abschluss einer Geräteversicherung, durch die gewährleistet wird, dass dem Arbeitnehmer ein notwendiges Gerät bei Verlust oder Beschädigung zur Verfügung gestellt wird.

    Ist hingegen neben der Nutzung des eigenen Endgeräts auch weiterhin der Einsatz betrieblicher Geräte möglich, wird eine Klausel, die dem Arbeitnehmer alle im Zusammenhang mit dem Betrieb des Endgeräts anfallenden Kosten auferlegt, als zulässig erachtet. 

  • 3.11 Welche datenschutzrechtlichen Grenzen bestehen bei der Ortung von Arbeitnehmern über ein IPS auf dem betrieblichen Hallenboden?

    Datenschutzrechtliche Relevanz erlangen nur technische Gestaltungen, bei denen der Beschäftigte bzw. sein mobiles Endgerät von anderen geortet werden oder bei denen dieses Endgerät die selbst ermittelten Positionsdaten an einen anderen sendet. Ortet sich das Endgerät des Beschäftigten lediglich selbst, ohne dass Daten in Richtung des Arbeitgebers fließen, liegt darin kein Erheben personenbezogener Daten durch eine verantwortliche Stelle.

    In allen anderen Fällen richtet sich die Zulässigkeit von Ortungssystemen insbesondere nach § 26 BDSG bzw. etwaigen Kollektivverträgen. 

    Der BGH sieht in der Aufenthaltsermittlung einen sehr weitgehenden Eingriff in die Persönlichkeitssphäre, der jedoch auch gerechtfertigt sein kann. Maßgeblich ist die Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses, also die legitimen Zwecke im Einzelfall, wobei hier dem Arbeitgeber ein unternehmerischer Beurteilungs- und Gestaltungsspielraum zusteht. Eine Ortung kommt danach überhaupt nur dann in Betracht, wenn es um Beschäftigte geht, deren aktueller Aufenthaltsort für betriebliche Abläufe relevant ist. Dies gilt z.B. für die Koordinierung der Arbeit, wenn etwa ein Wartungsauftrag an den nächstpositionierten geeigneten Arbeiter vergeben werden soll. Steht hingegen schon anderweitig fest, welcher Arbeiter adressiert werden soll, genügt es, dass er über das Kommunikationssystem erreichbar ist.

    Auch wenn die Ortung nach diesem Maßstab zulässig ist, darf sie keine besonders geschützten Lebensbereiche erfassen (z.B. Pausen-, Sanitär- oder private Räume) und nur in Ausnahmefällen – etwa aus Gründen der Sicherheit – permanent erfolgen. Der Datenumgang ist vielmehr auf Fälle konkreten Informationsbedarfs seitens des Arbeitgebers zu beschränken. Dies gilt neben der Kontrolle – für die grundsätzlich nur konkrete Verdachtsfälle ausreichen – auch für die Einsichtnahme zu organisatorischen Zwecken.

    Auf technischer Ebene hat die Ortung möglichst nicht ständig, sondern nur ereignisbasiert stattzufinden. Jedenfalls ist es in aller Regel nicht erforderlich, die Positionsdaten personenbezogen zu speichern. Eine weitere Auswertung kann ebenso gut anonymisiert erfolgen. Auf diese Weise kann bereits die Entstehung von Bewegungsprofilen verhindert werden.

    Unter dem Aspekt der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) sind solche Systeme zu bevorzugen, die sich selbst orten und ihre Positionsdaten nur auf Anfrage einer autorisierten Stelle – z.B. einer wartungsbedürftigen Maschine oder eines hilfesuchenden Mitarbeiters – mitteilen. Dem Nutzer soll es außerdem möglich sein, seine Ortung zeitweilig zu unterbinden. Um das Kontrollpotenzial der Technik weiter zu vermindern, sollten schließlich zentrale Instanzen (bspw. Server) vermieden und stattdessen bevorzugt Peer-to-Peer-Verbindungen eingesetzt werden.

    Unabhängig von der datenschutzrechtlichen Zulässigkeit besteht bei Ortungssystemen ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, da die Ortung der Beschäftigten es ermöglicht, deren Verhalten sowie Leistung zu überwachen.

  • 3.12 Was ist beim Umgang mit durch Wearables generierten Daten, insbesondere Gesundheitsdaten von Arbeitnehmern (bspw. Pulsfrequenz) im betrieblichen Kontext zu beachten?

    Der Umgang mit von Wearables generierten Daten weist insbesondere folgende Problemstellungen auf:

    3.12.1  Personenbezug der Daten

    Zunächst ist zu fragen, ob die von den Wearables generierten Daten Personenbezug aufweisen. (siehe Ziff. 3.3).

    3.12.2    Zweck der Erhebung

    Weiter ist relevant, zu welchem Zweck die von den Wearables generierten personenbezogenen Daten erhoben werden. Hier sind insbesondere folgende Konstellationen denkbar:

    • Die Wearables dienen der Verbesserung betrieblicher Abläufe oder
    • Die Wearables sind Teil eines betrieblichen Gesundheitsprogramms.

    Dient das Wearable der Verbesserung betrieblicher Abläufe spricht dies zunächst für die Zulässigkeit des Datenumgangs, ohne dass es hierfür einer Einwilligung seitens der Beschäftigten bedürfte, vgl. § 26 Abs. 1 Satz 1 BDSG, wobei es sodann im Einzelfall im Rahmen der „Erforderlichkeit“ einer Interessenabwägung bedarf (siehe Ziff. 3.3). Ist hingegen der Einsatz des Wearables für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich, kommt allenfalls eine Einwilligung der Beschäftigten, ggf. flankiert durch eine Betriebsvereinbarung, als Rechtfertigungsgrund für den Datenumgang in Betracht.

    Im Rahmen der Einwilligung ist wiederum zu beachten, dass es dem Beschäftigten möglich sein muss, die Verwendung des Wearables zu verweigern, ohne dafür seitens des Arbeitgebers Nachteile befürchten zu müssen. Der Wearable-Einsatz muss also freiwillig sein (siehe zu den damit verbundenen Problemen Ziff. 3.4). Dazu muss sichergestellt sein, dass der Arbeitnehmer die geschuldete Arbeitsleistung weiterhin erbringen kann. Maßgeblich ist dabei ein Vorher-Nachher-Vergleich. Dagegen ist es unschädlich, wenn Beschäftigte, die sich für die Wearable-Nutzung entscheiden, einen Vorteil genießen, der vorher nicht bestand, also von einem Bonus-Programm profitieren oder aufgrund der Effizienzsteigerung einen höheren Akkordlohn erzielen.

    Betriebliche Gesundheitsprogramme lassen sich in der Regel nur auf der Rechtsgrundlage von Einwilligungen durchführen, da etwa die Teilnahme an betrieblichen Fitnesswettbewerben für die Durchführung des Beschäftigtenverhältnisses üblicherweise nicht erforderlich ist.

    3.12.3    Art der personenbezogenen Daten

    Schließlich ist von entscheidender Bedeutung, welche Informationen über die Beschäftigten erhoben werden. Handelt es sich etwa um besondere Arten personenbezogener Daten wie Gesundheitsdaten im Sinne von Art. 9 DSGVO (z.B. Pulsschlag), so wäre der Datenumgang selbst dann nicht zu rechtfertigen, wenn er für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

    Im Beschäftigungsverhältnis bleibt darum allein die Einwilligung, die sich jedoch gemäß Art. 9 Abs. 2 lit. a DSGVO ausdrücklich auf diese besonderen Arten personenbezogener Daten beziehen muss. Darüber hinaus stellen sich alle allgemeinen Probleme des Datenumgangs bei besonderen Arten personenbezogener Daten in verschärfter Form. Dies gilt vor allem für die Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis (siehe Ziff. 3.4), der Datensicherheit und der Gewährleistung der Betroffenenrechte.

    Diese Probleme verkomplizieren sich zusätzlich, wenn die personenbezogenen Daten in einer Cloud gespeichert werden (siehe Ziff. 3.6).

    Unabhängig von der datenschutzrechtlichen Zulässigkeit besteht bei dem Einsatz von Wearables ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, da die von den Wearables generierten Daten es ermöglichen, das Verhalten oder die Leistung der Beschäftigten zu überwachen. 

  • 3.13 Welche Änderungen durch die Datenschutz-Grundverordnung (DSGVO) sind bei der Implementierung von Industrie 4.0-Anwendungen zu beachten?

    Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Neben dem neuen Anwendungsbereich durch das neue Marktortprinzip, den Änderungen der Stellung des Datenschutzbeauftragten, der Erhöhung der Sanktionen, Neuerungen bei den technischen und organisatorischen Maßnahmen sowie der Pflicht zur Führung eines Verfahrensverzeichnisses ist insbesondere auf die Datenschutz-Folgenabschätzung nach Art. 35 f. DSGVO sowie die Normierung des Grundsatzes Privacy by Design and by Default in Art. 25 DSGVO hinzuweisen.

    Nach Art. 35 Abs. 1 DSGVO ist nach vorheriger Einholung des Rates des Datenschutzbeauftragten (Abs. 2) eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Form der Verarbeitung, vor allem bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies liegt nach Art. 35 Abs. 3 DSGVO beispielsweise bei der Verarbeitung sensitiver Daten sowie der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche vor. Geht aus der Abschätzung hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, so hat der Verantwortliche gemäß Art. 36 Abs. 1 DSGVO vor der Verarbeitung die Aufsichtsbehörde zu konsultieren, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

    Die Datenschutzfolgenabschätzung kann auf einem Verarbeitungsverzeichnis nach Art. 30 DSGVO aufbauen. Dieses Verzeichnis muss unter anderem die Zwecke der Verarbeitung, Fristen für die Löschung sowie Kategorien der verarbeiteten personenbezogenen Daten enthalten. Das Führen eines Verarbeitungsverzeichnisses bezweckt zum einen die Einhaltung der Regeln der DSGVO sowie zum anderen deren Nachweisbarkeit. Sie konkretisiert insoweit die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche für den Nachweis der Einhaltung der in Art. 5 Abs. 1 DSGVO verankerten datenschutzrechtlichen Grundprinzipien verantwortlich ist. Diese Beweislast für den Verarbeiter bewirkt eine einfachere Kontrolle und auch Geltendmachung von Rechten des Betroffenen.

    Daneben muss der Verarbeiter umfassend über die Rechte der Betroffenen, in etwa der Informationspflicht (Art. 13f. DSGVO) oder dem Recht auf Löschung (Art. 17 DSGVO) informieren.

    Diese umfassenden Nachweis- und Informationspflichten zwingen Unternehmen zu einer sorgfältigen Dokumentation durch Etablierung eines Datenschutzmanagement-Systems.

    Eine weitere wichtige Änderung stellt die ausdrückliche Normierung des Prinzips des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Art. 25 DSGVO dar. Hiernach sollen bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – getroffen werden, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen. Darüber hinaus sollen die Voreinstellungen so gestaltet werden, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.