Auf einen Blick: gesetzliche Änderungen beim Landeswassergesetz NRW und zum Datenschutz

Geschrieben von Stefan Pawils am .

Auf einen Blick: gesetzliche Änderungen beim Landeswassergesetz NRW und beim Datenschutz
Teilen Sie diesen Artikel auf:

Wichtige, aktuelle Veränderungen bei Gesetzen, Richtlinien und Verordnungen stellen wir Ihnen in regelmäßigen Abständen in unserem Compliance-Blog vor. Heute: Landeswassergesetz NRW und Datenschutz. Überprüfen Sie anhand des Gesetzeskatasters schnell und einfach, ob Ihr Unternehmen betroffen ist.

Landeswassergesetz Nordrhein-Westfalen

Das Landeswassergesetz Nordrhein-Westfalen ist mit Datum vom 8. Juli 2016 neu gefasst worden. Unter anderem wurden die Anforderungen an Abwasseranlagen, Einleitungen und Selbstüberwachung geändert und sind nunmehr in den §§ 56 ff geregelt.

Zur Unterhaltung von Abwasserbehandlungsanlagen gehören insbesondere die notwendigen Vorkehrungen, um Störungen im Betrieb der Anlage und Reparaturen, die die Ablaufwerte (Konzentrationen und Frachten) verschlechtern, vorzubeugen. Bei Betriebsstörungen, die zur Überschreitung von Ablaufwerten geführt haben oder bei unvermeidlichen Reparaturen, die eine Überschreitung befürchten lassen, hat der Betreiber die notwendigen Maßnahmen zu treffen, um die nachteiligen Auswirkungen nach Dauer und Umfang möglichst gering zu halten und Wiederholungen möglichst zu vermeiden.Er ist verpflichtet, die zuständige Behörde über solche Reparaturen rechtzeitig, sowie über Ursache, Art, Auswirkungen und voraussichtliche Dauer solcher Betriebsstörungen unverzüglich zu unterrichten. Er hat auch anzugeben, welche Maßnahmen er nach den Sätzen 1 und 2 getroffen hat und noch treffen wird. Der Betrieb und die Unterhaltung von Abwasserbehandlungsanlagen sind durch Personal mit der erforderlichen beruflichen Qualifikation sicherzustellen (§ 56 Abs. 2).

Nach § 122 Abs. 3 sind Betreiber verpflichtet, der Behörde unverzüglich anzuzeigen, wenn wassergefährdende Stoffe aus einer Anlage austreten und zu befürchten ist, dass diese in ein oberirdisches Gewässer, in den Untergrund oder in die Kanalisation eindringen.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

Diese neue Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Als Verordnung ist sie direkt geltendes Recht in allen Mitgliedstaaten.

Anwendungsbereich:

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Einige Inhalte:

In Art. 5 werden Grundsätze der Verarbeitung personenbezogener Daten festgelegt, um die Ziele Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht zu erreichen.

Eine Datenverarbeitung ist nur dann rechtmäßig,  wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt (Art. 9). In Art. 9 Abs. 2 sind jedoch einige Ausnahmen zu diesem Grundsatz aufgeführt, so z.B. um die aus dem Arbeitsrecht und Sozialrecht erwachsenden Pflichten auszuüben.

Darüber hinaus enthält die Verordnung Regelungen über die Rechte der betroffenen Person (Art. 12 ff) wie z.B.

  • Recht auf Auskunft zu personenbezogenen Daten
  • Berichtigung und Löschung.

Die Verordnung statuiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz, so z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten.

Verpflichtung für Unternehmen:

Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren.

Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern, vgl. Erwägungsgrund 61 der EU-Verordnung.

Darüber hinaus sind sog. Verzeichnis von Verarbeitungstätigkeiten zu führen (vgl. Art. 30). Das Verzeichnis sollte folgendes beinhalten:

  • Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
  • Zwecke der Verarbeitung
  • Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
  • Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Des Weiteren besteht eine Meldepflicht nach Art. 33, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist.

Zur Videoüberwachung:

Derzeit richtet sich die datenschutzrechtliche Zulässigkeit nach § 6b Bundesdatenschutzgesetz (BDSG). Demnach ist eine Videoüberwachung nur zu bestimmten – in § 6b BDSG aufgelisteten – Zwecken zulässig. Zudem muss auf die Überwachung mit Videokameras hingewiesen und die verantwortliche Stelle benannt werden. Es wird zwischen dem reinen Monitoring / Beobachten und dem Speichern von Aufnahmen unterschieden wird. Letzteres bedarf einer besonderen Rechtfertigung und es müssen verbindliche Löschungsfristen für die Aufnahmen festgelegt werden. Zudem darf nur eine bestimmte Personengruppe Zugriff auf die Überwachungsbilder haben.

Im Gegensatz zum BDSG enthält die EU-Datenschutz-Grundverordnung keine konkrete Regelung zur Zulässigkeit von Videoüberwachung. Erwähnung findet diese lediglich in Art. 35. Dieser regelt die Notwendigkeit einer sog. „Datenschutz-Folgenabschätzung“. Die Datenschutz-Folgenabschätzung ist wohl einer Vorabkontrolle gleichzustellen und soll in Konstellationen, in denen die Datenverarbeitung ein erhöhtes Eingriffspotential aufweist, den Schutz erhöhen.

Zur Frage nach der Zulässigkeit von Videoüberwachung von Mitarbeitern / Arbeitnehmern:

  • Am Arbeitsplatz ist – unter den Voraussetzungen des § 6b BDSG – eine offene Videoüberwachung möglich.
  • In engen Ausnahmefällen ist auch eine verdeckte Videoüberwachung gestattet. Allerdings nur, wenn ein konkreter Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers vorliegen, weniger einschneidende Mittel müssen ausgeschöpft sind, die Videoüberwachung als einziges Mittel verbleibt und sie insgesamt nicht unverhältnismäßig ist.
  • Sozialräume dürfen grundsätzlich nicht überwacht werden.

In der EU-Verordnung sind keine Regelungen zur Zulässigkeit einer Videoüberwachung von Arbeitnehmern enthalten.

Verhältnis zum Bundesdatenschutzgesetzt BDSG

Noch gilt das BDSG, denn die EU-Verordnung gilt erst ab dem 25. Mai 2018. Es wird zu Änderungen im BDSG in absehbarer Zeit kommen. Bislang gilt aufgrund der Öffnungsklausel in der EU-Verordnung folgendes: Soweit das BSDSG Vorgaben enthält, welche die EU-Verordnung nicht abdeckt, gilt das BDSG bis auf weiteres fort. Sofern der deutsche Gesetzgeber das BDSG nicht außer Kraft setzt oder durch andere Regelungen ersetzt, bleibt es beispielsweise bei der Regelung des Beschäftigtendatenschutzes in § 32 Abs. 1 BDSG, den deutschen Vorschriften zur Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten oder bei den Strafnormen.

 

Diesen Blog können Sie abonnieren!

Praxisbeispiele: Erfolgreiche Projekte aus ...

Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können. Genauere Informationen dazu finden Sie in unserer Datenschutzerklärung.

Ich akzeptiere Cookies von dieser Website:

Mehr Informationen zu HTTP-Cookies ...