Datenschutz im Arbeitsverhältnis

Seit dem 25.05.2018 gilt die am 14.04.2016 beschlossene EU-Datenschutz-Grundverordnung (DS-GVO). Gleichzeitig wurde das bis dahin geltende Bundesdatenschutzgesetz durch das neue Bundesdatenschutzgesetz (BDSG-neu) ersetzt. Enthält die DS-GVO Regelungen ohne Öffnungsklauseln, ist auf sie unmittelbar abzustellen. Soweit die DS-GVO Konkretisierungen durch die Mitgliedsstaaten der EU erlaubt, ist auf die Regelungen auf nationaler Ebene, in Deutschland das BDSGneu, zurückzugreifen. 

Eine spezialgesetzliche Regelung des Beschäftigungsdatenschutzes gibt es nicht. Die Bundesregierung hat den Beschäftigtendatenschutz in § 26 BDSG-neu geregelt. Dabei hat sie sich erkennbar an den bisherigen Regelungen des § 32 BDSG-alt orientiert und zusätzlich Regelungen aufgenommen, die nach dem Verständnis der Bundesregierung den aktuellen Stand der herrschenden Meinung in Literatur und Rechtsprechung wiederspiegeln sollen.

Der Arbeitgeber((GENDERNOTICE)) als Verantwortlicher hat gemäß Art. 32 DS-GVO sicherzustellen, dass einerseits ein angemessenes Sicherheitsniveau gewährleistet ist und andererseits keine unberechtigte oder ungesetzliche Verarbeitung stattfindet. Demnach obliegt der Geschäftsführung eine Organisationsschuld, der sie unter anderem durch eine Verpflichtung der Beschäftigten auf die Vertraulichkeit und Integrität nachkommen kann. Zur Bestimmung der Sicherheitsmaßnahmen sind nach der GS-GVO folgende Schritte erforderlich: 

• Der Schutzbedarf ist festzustellen; 
• Die Risiken sind zu bewerten; 
• Es sind im Hinblick auf das Risiko verhältnismäßige Maßnahmen zu ergreifen; 
• Nachweise sind zu erbringen. 

Die bereits nach dem alten BDSG bestehenden „8 Gebote“ haben ihre Gültigkeit nicht verloren. Im Einzelnen kann der gesetzlich geforderte Datenschutz durch die nachfolgend aufgelisteten Maßnahmen sichergestellt werden. 

Zutrittskontrolle: Unbefugten den Zutritt verwehren zu EDV-Anlagen, mit denen personenbezogene Daten erfasst, verarbeitet oder genutzt werden. 

Zugangskontrolle: Verhindern, dass Unbefugte EDV-Systeme nutzen können (z.B. „Hacker“).

Zugriffskontrolle: Gewährleisten, dass berechtigte Nutzer ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und personenbezogene Daten bei der Verarbeitung, Nutzung, Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (z.B. durch Vergabe individueller Passwörter). 

Weitergabekontrolle: Gewährleisten, dass personenbezogene Daten bei der Weitergabe nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung vorgesehen ist. 

Eingabekontrolle: Gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert, entfernt worden sind. 

Auftragskontrolle: Gewährleisten, dass im Auftrag verarbeitete personenbezogene Daten nur auftragsgemäß verarbeitet werden können. 

Verfügbarkeitskontrolle: Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Trennung: Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten auch getrennt verarbeitet werden.

Nach der Definition der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art.4 Nr. 7). Im Zweifel liegt die Verantwortung bei der juristischen Person (bei GmbH, KG) oder dem Inhaber (Einzelfirma). 

Die Kontrolle der Einhaltung der in den Betrieben zu beachtenden Bestimmungen des Datenschutzes obliegt 

• den Unternehmen / dem Arbeitgeber((GENDERNOTICE)) selbst, Art. 4 Nr. 7 DS-GVO, 
• dem betrieblichen Datenschutzbeauftragten (Art. 37 DS-GVO), 
• den externen Aufsichtsbehörden und 
• dem Betriebsrat (§§ 75 Abs. 2, 80 Abs. 1 Nr. 1 und Abs. 2 BetrVG)

Die DS-GVO verpflichtet den Verantwortlichen zum Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden (Rechenschaftspflicht gemäß Art. 5 Abs. 2). Zusätzlich sieht die DS-GVO an unterschiedlichen Stellen Dokumentationspflichten vor, z.B. für das Verarbeitungsverzeichnis in Art. 30 DS-GVO, für die Dokumentation von Datenschutzvorfällen in Art. 33 Abs. 5 DS-GVO oder für die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 lit. A DS-GVO. 

Das „Verarbeitungsverzeichnis“ gemäß Art. 30 ist von jedem Verantwortlichen und gegebenenfalls seinem Vertreter zu führen. Es enthält Angaben zu den Verantwortlichen für die betriebliche Datenverarbeitung sowie zu den Zwecken der Verarbeitung und beinhaltet u.a. ferner eine Beschreibung der technischen und organisatorischen Maßnahmen, die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus getroffen worden sind. 

Ein Muster für ein Verarbeitungsverzeichnis finden Sie hier (siehe auch Anlage 1): 

https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ 

oder

https://www.lda.bayern.de/media/muster/muster_12_einzelhaendler_verzeichnis.pdf 

Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters haben der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung zu stellen.

Nach § 38 BDSG-neu ist die Bestellung eines Datenschutzbeauftragten erforderlich, wenn in der Regel (neu seit dem 26.11.2019) mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden. 

z. B.: Fünf Mitarbeiter arbeiten in der EDV-gestützten Lohnbuchhaltung. Vier Angestellte pflegen die Kundendatei im Computer ein, fünf Außendienstmitarbeiter nutzen die gespeicherten Kundendaten. In der Marketingabteilung werden von fünf Mitarbeitern Kundendaten für Direktmailings verarbeitet. Ein Student wartet stundenweise die Computeranlage, pflegt die Software ein und kann dabei auch auf die personenbezogenen Daten zugreifen. 

Bereits in diesem Fall sind 20 Personen mit der automatisierten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt. Mitzuzählen sind alle Personen, die in mindestens einer Phase der Datenverarbeitung einbezogen sind. So genügt es wohl schon, wenn jemand im Rahmen seiner Tätigkeit Personaldaten am PC aufrufen kann. Auch wer als Kassiererin am POS tätig ist, wird wegen des Einsatzes von Kreditkarten ggf. Kundenkarten und Bonussystem und der dort gespeicherten personenbezogenen Daten in den zu zählenden Mitarbeiterkreis einbezogen. 

Auf den Status der Mitarbeiter kommt es nicht an. Auszubildende, Praktikanten, Leiharbeitnehmer sind ebenso mitzuzählen wie freie Mitarbeiter, in Vollzeit, Teilzeit oder geringfügig Beschäftigte. Zu zählen sind aber nur Personen, die in der Regel / ständig mit der automatisierten Verarbeitung personengeschützter Daten befasst sind. Urlaubsvertretungen bleiben unberücksichtigt. Wer als Arbeitgeber selbst ein unternehmerisches Risiko trägt, wird nicht mitgezählt. ebenso wenig Mitglieder des gesetzlichen Vertretungsorgans, wie Vorstand, Geschäftsführung usw. 

Darüber hinaus besteht nach Art. 37 DS-GVO – unabhängig von der genannten Personenzahl – eine Bestellpflicht auch dann, wenn die Datenverarbeitung im Unternehmen ein bestimmtes Gefährdungspotential birgt. Das ist der Fall, wenn 

• die Kerntätigkeit des Arbeitgebers in der Durchführung von Verarbeitungstätigkeiten besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Bsp.: Auskunfteien, Detekteien, Versicherungsunternehmen, Marketingunternehmen) oder
• die Kerntätigkeit des Arbeitgebers in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 GS-GVO besteht (Gesundheitseinrichtungen, Dienstleister mit biometrischen ID-Management, Anbieter von Erotikartikel). 

Wird ein Datenschutzbeauftragter nicht bestellt, obwohl die verpflichtenden Voraussetzungen des Art. 37 hierfür vorliegen, kann dies als Ordnungswidrigkeit mit einer Geldbuße bis zu 10.000.000,- Euro geahndet werden (Art. 83 Abs. 4 DS-GVO i.V.m. § 41 BDSG-neu).

Zum Datenschutzbeauftragten kann sowohl ein Beschäftigter des Unternehmens als auch eine Person außerhalb des Unternehmens – ein „Externer“ – bestellt werden. Als persönliche Voraussetzungen fordert das Gesetz Fachkunde und Zuverlässigkeit (Art. 37 Abs. 6 DSGVO). Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der konkreten betrieblichen Datenverarbeitung und dem Schutzbedarf der zu verarbeitenden Daten. 

Für die erforderliche Fachkunde benötigt der Datenschutzbeauftragte ein allgemeines Grundwissen (z. B. Datenschutzrecht, Verständnis für betriebswirtschaftliche Zusammenhänge, Grundkenntnisse über Verfahren und Techniken der automatisierten Datenverarbeitung). Darüber hinaus muss er auch mit der Organisation und den Funktionen des Betriebes vertraut sein und sich einen Überblick über alle Fachaufgaben verschaffen, zu deren Erfüllung personenbezogene Daten verarbeitet werden (vgl. Art 37 Abs. 5 DS-GVO). 

Neben der Fachkunde muss der Datenschutzbeauftragte auch die zur Erfüllung seiner Aufgaben erforderliche Zuverlässigkeit besitzen. Das umfasst zum einen charakterliche Zuverlässigkeit und persönliche Integrität – zum anderen darf der Datenschutzbeauftragte bei seiner Tätigkeit nicht in einen Interessenkonflikt geraten (siehe auch Art. 38 Abs. 6 DS-GVO). Das Problem stellt sich insbesondere, wenn ein Beschäftigter „nebenamtlich“ zum Datenschutzbeauftragten bestellt werden soll. Die Tätigkeit als Datenschutzbeauftragter bringt es mit sich, gegebenenfalls auch gegen die Interessen bzw. Auffassungen des Arbeitgebers zu handeln. Daher ist eine Interessenkollision bei bestimmten Personen vorprogrammiert, weshalb diese nicht zum Datenschutzbeauftragten bestellt werden dürfen. Die Zuverlässigkeit des Datenschutzbeauftragten bedingt auch, dass ihm die hierfür erforderliche Arbeitszeit, z. B. durch Freistellung von bisheriger Tätigkeit, gewährt wird. 

Nicht als interner Datenschutzbeauftragter bestellt werden dürfen z. B. 

• Unternehmensinhaber, 
• Vorstand, 
• Geschäftsführer, 
• Leiter der EDV, 
• Leiter Personal. 

Der Datenschutzbeauftragte hat ein Fort-und Weiterbildungsrecht auf Kosten des Unternehmens. 

Interne/externe Datenschutzbeauftragte 

Bei der Suche nach sachkundigen Personen für die Funktion eines externen Datenschutzbeauftragten kann z. B. auf eine Liste zurückgegriffen werden, die das Bayerische Landesamt für Datenschutzaufsicht führt. Die Liste ist weder vollständig, noch enthält sie ausdrückliche Empfehlungen. Aufgenommen sind Personen und Firmen, die sich dazu anmelden und eine entsprechende Qualifikation nachweisen. Eine dementsprechende Liste finden Sie auf der Homepage des Bayerischen Landesamts für Datenschutzaufsicht (www.lda.bayern.de). 

Die Bestellung eines/r Datenschutzbeauftragten ist formlos möglich, sollte aus Dokumentationsgründen zumindest aber in Textform erfolgen. Anforderungen an die Dauer der Bestellung enthält die DS-GVO nicht. 

Formularvorschlag: „Bestellung des/r Datenschutzbeauftragten“ vgl. Anlage 2

Soweit die Benennung eines Datenschutzbeauftragten verpflichtend ist, genießt er einen besonderen Kündigungsschutz über seine Amtszeit hinaus für ein Jahr (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG-neu).

Abberufung eines internen Datenschutzbeauftragten 

Nach der Rechtsprechung des BAG ist die Bestellung zum DSB nur ausnahmsweise als Vereinbarung einer Geschäftsbesorgung zu bewerten, die neben dem Arbeitsverhältnis besteht. Dies könne insbesondere nur dann angenommen werden, wenn hierzu eine ausdrückliche Vereinbarung vorliegt. 

Wenn aber – wovon regelmäßig auszugehen ist – die Bestellung eines Mitarbeiters zum DSB eine Erweiterung / Änderung der arbeitsvertraglichen Rechte und Pflichten bedeutet, kann auch die Abberufung nur durch Teilkündigung – die den Bestand des Beschäftigungsverhältnisses im Übrigen nicht berührt – erfolgen. Prüfungsmaßstab für eine Teilkündigung ist das Vorliegen eines wichtigen Grundes i. S. d. § 626 BGB. (BAG Urteil vom 13.03.2007, Az.: 9 AZR 612/05). Das Bundesarbeitsgericht hat mit Urteil vom 23.03.2011 (Az.: 10 AZR 62/09) festgestellt, dass eine Bestellung zum Datenschutzbeauftragten nicht mit der Begründung widerrufen werden könne, zur konzerneinheitlichen Datenschutzbetreuung solle ein externer Beauftragter bestellt werden. 

Für einen externen Datenschutzbeauftragten gilt hingegen nicht der besondere Kündigungsschutz wie beim internen Datenschutzbeauftragten.

Der Datenschutzbeauftragte ist das innerbetriebliche Kontrollorgan in allen Datenschutzfragen. Seine allgemeinen sind in Art. 39 DS-GVO geregelt. Er hat insbesondere 

• zu unterrichten und zu beraten, Art. 39 Abs. 1 lit. a) DS-GVO, 
• die Einhaltung des Datenschutzes zu überwachen, d. h. die Vorschriften der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten, sowie die Strategien des Arbeitgebers oder seiner Auftragsverarbeiters, einschließlich der Sensibilisierung (Schulungsfunktion), 
• bei der Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DS-GVO zu beraten, Art. 39 Abs. 1 lit. c) DS-GVO, 
• mit der Aufsichtsbehörde zusammenzuarbeiten, Art. 39 Abs. 1 lit d) und e) DS-GVO (s. auch Art. 57 Abs. 3 DS-GVO), 
• bei alledem risikoorientiert vorzugehen, Art. 39 Abs. 2 DS-GVO. 

Wenn die Voraussetzungen für die Bestellung eines Datenschutzbeauftragten nicht vorliegen, muss die Geschäftsleitung (s.o. 2. „Verantwortlicher“) den Schutz personenbezogener Daten in anderer Weise sicherstellen.

Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DS-DVO neu definiert worden. Danach ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des verantwortlichen Arbeitgebers verarbeitet (die bislang vorzunehmende Abgrenzung zur Funktionsübertragung wird nicht mehr benötigt). 

Die Auftragsverarbeitung ist an die Voraussetzungen des Art. 28 DS-GVO geknüpft. Wesentliches Kriterium ist hierbei die Weisungsgebundenheit des Auftragsverarbeiters. Das Unternehmen (= der Arbeitgeber) muss „Herrin der Daten“ bleiben, also die volle Verfügungsgewalt behalten und damit auch allein über sie bestimmen. Sobald dem Auftragsverarbeiter eine „rechtliche Zuständigkeit“ oder eine „tatsächliche Entscheidungskompetenz“ zugewiesen wird, liegt keine Auftragsverarbeitung mehr vor, sondern ggf. eine gemeinschaftliche Verantwortlichkeit oder eben eine Datenübermittlung (Beispiel: Einem Personalberater wird die Befugnis eingeräumt, aus dem Kreis der Bewerber eine eigene Vorauswahl zu treffen. Konsequenz wäre, dass die Datenverarbeitung, insbesondere der (Personal-)Datentransfer wieder einer ausdrücklichen Ermächtigungsgrundlage bedürfte.) 

Werden personenbezogene Daten im Auftrag verarbeitet, ist der Auftraggeber auch insoweit für die Einhaltung der Datenschutzvorschriften verantwortlich (Art. 4 Nr. 7 i. V. m. Art. 28 Abs. 1 DS-GVO). Der Auftraggeber hat deshalb einen Auftragnehmer sorgfältig auszuwählen, und zwar unter besonderer Berücksichtigung der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen („hinreichende Garantien“) zum Schutz der Daten (Art. 28 Abs. 1 DS-GVO). 

Ist ein geeigneter Auftragnehmer gefunden, so ist der Auftrag schriftlich oder in elektronischer Form zu erteilen, wobei im Einzelnen u.a. festzulegen sind: 

• Gegenstand und Dauer sowie Art und Zweck der Verarbeitung; 
• Art der personenbezogenen Daten sowie Kategorien von betroffenen Personen; 
• Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen; 
• Verpflichtung der Beschäftigten zur Vertraulichkeit (ähnlich dem heutigen Datengeheimnis); 
• Treffen angemessener technischer und organisatorischer Schutzmaßnahmen; 
• Regelung des Einsatzes von Unterauftragsnehmern; 
• Unterstützung des Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen; 
• Unterstützung des Verantwortlichen bei der Meldung von Datenpannen und Durchführung von Datenschutzfolgenabschätzung; 
• Rückgabe und Löschung personenbezogener Daten nach Beendigung des Auftrags; 
• Kontrollrechte des Verantwortlichen und entsprechende Duldungs-und Mitwirkungspflichten des Auftragsverarbeiters; 
• Hinweispflicht bei Weisungen, die gegen datenschutzrechtliche Vorschriften verstoßen.
  

Folgende gesetzliche Neuerungen lassen sich somit im Hinblick auf den Inhalt des Vertrages feststellen: 

• Elektronische Form ist ausreichend; 
• Weisungen des Auftraggebers müssen dokumentiert werden; 
• der Auftragsverarbeiter wird verpflichtet:
• bei der Datenverarbeitung ausschließlich Personen einzusetzen, die sich zur Verschwiegenheit verpflichtet sind; 
• den Verantwortlichen zu unterstützen, wenn betroffene Personen ihre entsprechenden Rechte gemäß Art. 12 ff. DS-GVO geltend machen; 
• den Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen zu unterstützen.
  

Der Nachweis von Garantien des Auftragnehmers kann zukünftig durch Zertifizierungen und genehmigte Verhaltensregelungen (Art. 40, 42 DS-GVO) erfolgen. 

Das Bayerische Landesamt für Datenschutzaufsicht hat eine erste unverbindliche Kurzstellungnahme zur Auftragsverarbeitung nach DS-GVO auf seiner Webseite veröffentlicht unter 

https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html

Wie bisher haben die betroffenen Beschäftigten ein Recht auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten. Die Rechte der betroffenen Beschäftigten sind in Kapitel III. der DS-GVO geregelt. Dabei stehen dem betroffenen Beschäftigten alle Rechte ausschließlich gegenüber dem Arbeitgeber als für den Datenschutz Verantwortlichen zu. Der Arbeitgeber ist über Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. b) DSGVO verpflichtet, die betroffenen Beschäftigten über die ihnen zustehenden Rechte zu informieren. 

Der Beschäftigte hat das Auskunftsrecht gemäß Art. 15 DS-GVO gegenüber seinem Arbeitgeber bezüglich der über ihn gespeicherten Daten. Die DS-GVO erweitert das Auskunftsrecht des Beschäftigten. Nach Art. 15 Abs. 1 DS-GVO kann der betroffene Beschäftigte von dem Arbeitgeber eine Bestätigung darüber verlangen, ob dort ihn betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, welche Daten dies sind. Darüber hinaus sind vom Arbeitgeber nach Art. 15 Abs. 1 DSGVO vor allem noch folgende Informationen mitzuteilen:

• über die Verarbeitungszwecke; 
• über die Kategorien personenbezogener Daten, die verarbeitet werden (neu);
• über die gegebenen und möglichen Datenempfänger bzw. Kategorien von Empfängern; 
• soweit möglich über die geplante Speicherdauer (neu);
• Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht (neu);
• über das Beschwerderecht bei der Aufsichtsbehörde (neu);
• die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden:
• soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (neu). 

Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Hierfür müssen Arbeitgeber geeignete organisatorische Maßnahmen treffen. Nur in begründeten Ausnahmefällen kann die Monatsfrist überschritten werden.

Beschäftigte können ferner jederzeit Einsicht in ihre Personalakten nehmen (§ 83 Abs. 1 BetrVG, § 26 Abs. 2 Sprecherausschussgesetz). Sie sind berechtigt, bei der Einsichtnahme ein Mitglied des Betriebsrats bzw. Sprecherausschusses hinzuzuziehen. Schwerbehinderte Beschäftigte können zudem die Schwerbehindertenvertretung hinzuziehen (§ 95 Abs. 3 S. 1 SGB IX). Die hinzugezogenen Personen müssen über den Inhalt der Personalakte Stillschweigen bewahren, es sei denn sie wurden von dem Beschäftigten im Einzelfall von dieser Schweigepflicht entbunden.

Das Recht des betroffenen Beschäftigten auf Löschung und eine Pflicht des Arbeitgebers personenbezogene Beschäftigtendaten zu löschen, besteht in den in Art. 17 Abs. 1 DS-GVO verzeichneten Fällen. Art. 17 Abs. 1 DS-GVO benennt folgende Gründe für eine Löschung personenbezogener Daten: 

• Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig (lit. a)); 
• Der betroffene Beschäftigte widerruft seine Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit. a) DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung (lit. b));
• Der betroffene Beschäftigte legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder der betroffene Beschäftigte legt gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein (lit. c));
• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet (lit. d)); 
• Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht und dem Recht der Mitgliedsstaaten erforderlich, denen der verantwortliche Arbeitgeber unterliegt (lit. e)); 
• Personenbezogene Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO von Kindern erhoben (lit. f)). 

Zudem bestehen die Rechte auf Vergessenwerden (Art. 17 Abs. 2 DS-GVO), auf die Einschränkung der Verarbeitung (Art. 18 Abs. 1) und auf Datenübertragbarkeit (Art. 20) sowie ein Widerspruchsrecht aus Gründen, die aus der besonderen Situation der Person resultieren (Art. 21 Abs. 1).

Die Risiken für Unternehmen ergeben sich zum einen aus massiv ausgeweiteten öffentlichrechtlichen Sanktionen, zum anderen aber auch aus der zivilrechtlichen Haftung. 

Die Bußgeldtatbestände sind abschließend auf europäischer Ebene geregelt und lösen den bisherigen § 43 BDSG ab. Sie sind in den Art. 82 ff. DS-GVO erheblich verschärft worden. Die in Art. 83 Abs. 6 DS-GVO normierte absolute Bußgeldhöhe von 20 Millionen Euro steigt bei Unternehmen auf 4 % des Jahresumsatzes – je nachdem, welcher der Beträge höher ist.

Ferner können sich zivilrechtliche Konsequenzen ergeben. Bislang gewährte die Rechtsprechung nur ausnahmsweise bei Verletzung des allgemeinen Persönlichkeitsrechts eine Entschädigung auch für Nichtvermögensschäden. Durch Art. 82 DS-GVO wird nun auch ein immaterieller Schaden ausdrücklich ersatzfähig. Im Fall von Datenschutzverstößen muss ein Unternehmen daher mit einer hohen Zahl an Klagen rechnen. Wegen der faktischen Beweislastumkehr aus Art. 5 Abs. 2 und Art. 24 Abs.1 DS-GVO wird eine Verteidigung gegen derartige Klage erheblich erschwert. 

Der Betroffene kann nach § 44 BDSG-neu für Klagen zwischen zwei Gerichtsständen wählen: Zum einen am Ort seines gewöhnlichen Aufenthalts, also an seinem Heimatgericht, und zum anderen an jedem Ort, an dem der Verantwortliche eine Niederlassung unterhält. Wenn Daten von Personen mit gewöhnlichem Aufenthalt im Ausland verarbeitet werden, wird gemäß Art. 79 Abs. 2 DS-GVO gegebenenfalls sogar mit einer Klage im Ausland gerechnet werden müssen.