Wichtige Änderungen durch das neue Datenschutzrecht mit 25. Mai 2018
Wichtige Änderungen durch das neue Datenschutzrecht mit 25. Mai 2018
Die Datenschutz-RL 95/46/EG ist (noch) die Grundlage für alle nationalen Datenschutz-Gesetze in den EU-Mitgliedstaaten, also auch des derzeit geltenden österreichischen Datenschutzgesetzes 2000 (DSG 2000). Die EU-RL musste innerstaatlich umgesetzt werden, jeder Mitgliedstaat hat sein eigenes Datenschutzrecht geschaffen, in Österreich wurde das damalige Datenschutzgesetz aus dem Jahr 1978 durch das DSG 2000 abgelöst.
Das DSG 2000 ist derzeit die (!) Rechtsvorschrift zum Datenschutz im Betrieb und regelt die wesentlichen Aspekte des Datenschutzes, wie beispielsweise die Betroffenenrechte, die Einrichtung der Datenschutzbehörde, die Voraussetzungen, unter denen Daten überhaupt verwendet werden dürfen oder etwa auch die Videoüberwachung. Achtung! Für die konkrete betriebliche Umsetzung sind entsprechende Informations-, Beratungs- und Mitbestimmungsrechte des BR im Arbeitsverfassungsgesetz (ArbVG) festgelegt.
Die Datenschutz-RL 95/46/EG wird durch die Europäische Datenschutz-Grundverordnung (DS-GVO) mit Wirkung 25.5.2018 aufgehoben. Eine Novellierung des DSG 2000 durch das Datenschutz-Anpassungsgesetz 2018 wurde bereits im Parlament beschlossen und wird mit dem 25.5.2018 in Kraft treten
(https://www.parlament.gv.at/PAKT/VHG/XXV/BNR/BNR_00543/index.shtml).
Mit der DS-GVO kommt es zu einer europaweiten Harmonisierung. Alle Mitgliedstaaten unterliegen dadurch demselben Datenschutzrecht (etwa 60 Öffnungsklauseln ermöglichen es den Mitgliedstaaten allerdings, spezifischere Regelungen auf nationaler Ebene zu erlassen). Neu ist, dass durch die DS-GVO das sogenannte „Marktort-Prinzip“ eingeführt wird. Dh, jede Person, jedes Unternehmen, das auf dem europäischen Marktplatz, also auf EU-Territorium, (Dienst-)Leistungen und Produkte anbietet, muss sich an die DS-GVO halten – unabhängig davon, wo sich eine Niederlassung befindet.
Wesentliche Grundprinzipien der Datenverarbeitung wie Rechtmäßigkeit, Zweckbindung, Transparenz oder Datenminimierung bleiben erhalten.
Die Forderung der Datenschutz-RL 95/46/EG nach möglichst großer Publizität wurde in Österreich (als einzigem EU-Land) durch die Verpflichtung umgesetzt, dass AuftraggeberInnen (= AG) DVR-Meldungen an die Datenschutzbehörde erstatten müssen: Prinzipiell hat jede/r AuftraggeberIn jede Anwendung zu melden. Für die einen stellt die derzeitige Regelung des öffentlich zugänglichen Datenverarbeitungsregisters eine bürokratische Hürde dar, für die anderen ist es eine Möglichkeit, Einsicht zu nehmen und Kenntnis über Datenanwendungen zu erlangen.
Es bestehen aber Ausnahmen: Nicht meldepflichtig sind etwa Datenanwendungen, die ausschließlich veröffentlichte Daten enthalten (zB Grundbuchsdaten, in Medien bereits veröffentlichte Bilanzdaten). Erleichtert wurde die Meldung für vordefinierte Datenverarbeitungen, die in Unternehmen typischerweise vorkommen (siehe dazu250Standard- und Muster-Verordnung 2004). Aus Sicht der Beschäftigten sind ua die Standardanwendungen zur Personalverwaltung für privatrechtliche Dienstverhältnisse, für die Videoüberwachung oder die Datenübermittlung im Konzern von Interesse.
Grundsätzlich dürfen AuftraggeberInnen meldepflichtige Datenanwendungen nach Abgabe der Meldung beim DVR aufnehmen. Einige wenige Datenanwendungen sind vorabkontrollpflichtig: Das bedeutet, dass sie erst nach ihrer Prüfung durch die Datenschutzbehörde in Betrieb genommen werden dürfen. Vorabkontrollpflichtig ist ua eine Datenanwendung, die sensible Daten (wie etwa Gesundheitsdaten) oder strafrechtlich relevante Daten enthält oder in Form eines Informationsverbundssystems durchgeführt werden soll.
Mit Ablauf des 24.5.2018 wird die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde entfallen, die Standard- und Musterverordnung 2004 wird außer Kraft treten und auch die Vorabkontrolle wird anders geregelt sein.
Die Datenanwendungen eines Unternehmens müssen nun unternehmensintern in einem verpflichtenden „Verzeichnis von Verarbeitungstätigkeiten“ angeführt werden.
Ein solches Verfahrensverzeichnis muss in etwa dasselbe enthalten wie vormals die DVR-Meldung (Name und Kontaktdaten des Auftraggebers, Empfänger und ob diese in Drittstaaten angesiedelt sind, Kategorien personenbezogener Daten, Verarbeitungszwecke, etc). Ergänzend müssen nun auch Löschfristen im Verzeichnis („wenn möglich“) angeführt werden.
Das Verfahrensverzeichnis muss der Aufsichtsbehörde auf Anfrage vorgezeigt werden.
Ausgenommen sind Unternehmen (in der DS-GVO „Verantwortliche“ genannt) mit weniger als 250 Beschäftigten, Unternehmen, die keine besonderen Datenkategorien und keine große Zahl von personenbezogenen Daten verarbeiten, und Verantwortliche, deren Verarbeitungen kein Risiko für Freiheiten der betroffenen Personen darstellen. (Das könnte beispielsweise ein kleines Fahrradgeschäft mit drei MitarbeiterInnen sein, das in der Kundendatenbank nur Adresse und Telefonnummer von einigen wenigen KundInnen speichert.)
Die Vorabkontrolle durch die Datenschutzbehörde ist nun einer „Datenschutz-Folgenabschätzung“ gewichen, die das Unternehmen bei Datenverarbeitungsvorgängen mit voraussichtlich hohem Risiko durchführen und auf Anfrage der Behörde vorlegen muss. Konkret muss eine solche Prüfung durchgeführt werden für neue Technologien
mit hohem Risiko für die Freiheitsrechte der Betroffenen (zB Monitoring von Gesundheitsdaten),
für umfangreiche Verarbeitungsvorgänge für eine große Zahl von Betroffenen (zB Tracking im Verkehr),
und wenn wesentliche Einzelentscheidungen aufgrund von profiling getroffen werden (zB Kreditscoring) oder bei biometrischen Datenverarbeitungen.
Die Datenschutzbehörde (zukünftig Aufsichtsbehörde) wird eine Liste der Datenverarbeitungsvorgänge erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist und diese Liste veröffentlichen.
Bei Verletzungen des DSG 2000 hat ein/e Betroffene/r Anspruch auf Unterlassung und Beseitigung des rechtswidrigen Zustands. Zusätzlich besteht folgendes Sanktionensystem:
Betroffene können Schadenersatzansprüche geltend machen: Es ist der erlittene (materielle) Schaden zu ersetzen, für „besonders schwerwiegende Datenverstöße“ kann auch eine angemessene Entschädigung für die erlittene Kränkung (dh immaterieller Schadenersatz) gefordert werden;
bei Datenverwendung in Gewinn- und Schädigungsabsicht ist eine Freiheitsstrafe bis zu einem Jahr vorgesehen;
die Verwaltungsstrafbestimmung des § 52 DSG 2000 sieht Geldstrafen bis zu drei unterschiedlichen Strafhöhen (€ 25.000,-, € 10.000,-, € 500,-) vor: je nachdem, ob bereits eine Verletzung von Rechten tatsächlich stattgefunden hat (zB vorsätzliche Verletzung des Datengeheimnisses) oder Unterlassungen begangen wurden, die eine Gefährdung der Rechte der Betroffenen zur Folge haben (zB Verletzung der Meldepflicht, Datenübermittlung ohne Genehmigung) oder Daten nicht fristgerecht beauskunftet, richtiggestellt oder gelöscht wurden.
Die Neugestaltung und massive Erhöhung des potentiellen Strafrahmens hat wesentlich dazu251beigetragen, dass die DS-GVO derzeit so breite (auch mediale) Beachtung findet. Unternehmen aller Branchen sind auf den Plan gerufen und versuchen, sich auf die DS-GVO vorzubereiten.
Warum? Weil (angelehnt an das europäische Wettbewerbsrecht) nun bis zu 4 % des weltweiten Umsatzes als Sanktion verhängt werden können.
Bis zu 20 Mio € oder 4 % des weltweiten Umsatzes drohen bei Verstößen gegen Grundprinzipien der DS-GVO (zB Verletzung des Widerrufsrechts, Verletzung des Prinzips der Rechenschaftspflicht, Verletzung des Auskunftsrechts, Übermittlung in Drittländer ohne ausreichenden Schutz, Nicht-Befolgung von Auflagen der Behörde, etc).
Bis zu 10 Mio € oder 2 % des weltweiten Umsatzes drohen bei Verstößen gegen Verfahrensregeln der DS-GVO (zB wenn keine Konsultation der Aufsichtsbehörde bei Risiko-Folgenabschätzung erfolgt, Meldung von Verletzungen der DS-GVO unterlassen wurde, datenschutzfreundliche Voreinstellungen fehlen, etc).
Die konkrete Höhe der Geldbuße (Strafe) richtet sich nach der Schwere und Dauer des Vergehens, den durch das Unternehmen getroffenen Sicherheitsmaßnahmen, der Anzahl der Betroffenen, der Häufigkeit des Vergehens, der Kooperation mit der Aufsichtsbehörde und Ähnlichem. Eine Strafe muss wirksam, verhältnismäßig und abschreckend sein.
Verhängt wird die Strafe nun europaweit von der jeweils national zuständigen Aufsichtsbehörde.
Das österreichische DSG 2000 sieht keine/n verpflichtende/n betriebliche/n Datenschutzbeauftragte/n vor. Die freiwillige Einrichtung ist möglich. Zur Wahrung des Datenschutzes sind die Datenschutzbehörde und der Datenschutzrat berufen sowie die zuständigen Gerichte und der/die BundeskanzlerIn.
Die Pflichten des Datenschutzes werden den AuftraggeberInnen der Datenverarbeitung auferlegt; in der Regel muss in den Unternehmen die Geschäftsführung für die Einhaltung des DSG 2000 gerade stehen.
In Deutschland hat ein/e Datenschutzbeauftragte/r allerdings lange Tradition. Er/sie wird im deutschen Bundesdatenschutzgesetz als „Beauftragter für den Datenschutz“ bezeichnet und ist idR ab zehn Beschäftigten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten tätig sind, verpflichtend einzurichten. Diese/r Beauftragte für den Datenschutz ist weisungsfrei und direkt der Geschäftsleitung unterstellt, er/sie hat einen besonderen Kündigungsschutz und der/die AG hat ihn/sie mit Geld und Zeit bei seiner/ihrer Fortbildung zu unterstützen; in Zweifelsfällen kann er/sie die Datenschutzaufsichtsbehörden hinzuzuziehen. In kleineren und mittleren Unternehmen in Deutschland ist es auch üblich, den/die Datenschutzbeauftragte/n aus Kosten- und Risikogründen extern zu vergeben. Zunehmend werden auch in Österreich – vor allem in größeren Unternehmen – freiwillig betriebliche Datenschutzbeauftragte bestellt.
Ein/e betriebliche/r Datenschutzbeauftragte/r muss gemäß der DS-GVO vom/von der Verantwortlichen bestellt werden, wenn
es sich um eine öffentliche Stelle, eine Behörde, ein Amt handelt;
die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung ist;
die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten besteht (besondere Kategorien sind: rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person).
Es reicht aus, eine/n betriebliche/n Datenschutzbeauftragte/n an der Hauptniederlassung des Konzerns in Europa zu bestellen – vorausgesetzt er/sie kann dort seine/ihre konzernweiten Aufgaben erfüllen (was in der Praxis vermutlich bereits an Sprachbarrieren scheitern wird).
Verantwortliche können darüber hinaus natürlich jederzeit freiwillig eine/n Datenschutzbeauftragte/n benennen, was zahlreiche Betriebe bereits tun.
Die für die betriebliche Ebene wichtigsten Aufgaben des/der Datenschutzbeauftragten bestehen darin:
die Betroffenen zu schulen, zu unterrichten und ihnen Auskunft zu erteilen;
das Einhalten des Datenschutzrechtes zu überwachen;
die Verantwortlichen/die Unternehmensführung zu unterstützen;
der höchsten Managementebene zu berichten;
mit der Behörde zusammenzuarbeiten, insb im252Zusammenhang mit der Datenschutz-Folgenabschätzung.
Der/die Datenschutzbeauftragte benötigt berufliche Qualifikation und Fachwissen in Datenschutzrecht und Praxis. Datenschutzbeauftragte arbeiten betriebsintern oder extern, aber jedenfalls vollständig unabhängig vom/von der Verantwortlichen.
In Österreich besteht derzeit kein eigenes Beschäftigtendatenschutzgesetz. Auch das DSG 2000 enthält keine eigenen zentralen Regelungen zum Beschäftigtendatenschutz.
Dh aber nicht, dass die AN innerhalb ihrer Arbeitsverhältnisse derzeit rechtlos sind: Es gelten generell die Vorschriften des DSG 2000 (zB die allgemeinen Grundätze der Datenverarbeitung, die Zulässigkeit einer konkreten Datenverwendung, die Rechte der Betroffenen, weitere datenschutzrechtlichen Verpflichtungen des/der AuftraggeberIn, wie Datensicherheitsmaßnahmen, Geheimnisschutz) selbstverständlich auch im Beschäftigtenverhältnis.
Es gibt einzelne wenige spezifische Regelungen des DSG 2000, die auf das Arbeitsverhältnis Bezug nehmen:
In § 9 Z 11 wird dezidiert darauf hingewiesen, dass „
die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse unberührt bleiben
“, dh, die Mitwirkungsrechte des BR werden durch das DSG 2000 nicht beschnitten.In § 50a Abs 5 ist die Unzulässigkeit einer Videoüberwachung zum Zweck der MitarbeiterInnenkontrolle an Arbeitsstätten festgeschrieben.
Im Zusammenhang mit Datensicherheitsmaßnahmen nach § 14 dürfen Protokoll- und Dokumentationsdaten nicht zum Zwecke der MitarbeiterInnenkontrolle weiterverwendet werden.
Hervorzuheben sind weiters die Regelungen zum Beschäftigtendatenschutz in arbeitsrechtlichen Vorschriften, wie etwa die Mitwirkungsbefugnisse des BR nach dem ArbVG (§§ 89 ff ArbVG) oder § 10 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG), der den Einsatz von Kontrollmaßnahmen, die die Menschenwürde berühren, in betriebsratslosen Betrieben an die Zustimmung des/der AN bindet.
In Art 88 der DS-GVO ist nun die Datenverarbeitung im Beschäftigungskontext erstmalig europaweit geregelt. Allerdings muss man zugeben, dass dies auf einem eher allgemeinen Niveau geschieht.
Sollen personenbezogene Daten der Beschäftigten im Arbeitsverhältnis Verwendung finden, müssen sie für „die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses maßgebend sein“. Es handelt sich also um eine Konkretisierung der beiden Datenschutzprinzipien der Rechtmäßigkeit und der Zweckmäßigkeit, wonach Daten nur auf Basis einer rechtlichen Grundlage verwendet werden dürfen und immer einem rechtmäßigen Zweck dienen müssen.
Um den europaweit doch sehr unterschiedlichen Regelungen in den industriellen Beziehungen Rechnung zu tragen, wurden nationale Öffnungsklauseln für Kollektivvereinbarungen oder eigene nationale Rechtsvorschriften eingeführt. Im Erwägungsgrund 155 ist die Möglichkeit festgeschrieben, dass Kollektivverträge und Betriebsvereinbarungen beschlossenen werden können, um den betrieblichen Datenschutz zu regeln.
Derartige kollektive Rechtsvorschriften können sich beziehen auf:
Einstellung,
Erfüllung des Arbeitsvertrags,
Planung und Organisation der Arbeit,
Pflichten des Managements,
Gleichheit und Diversität am Arbeitsplatz,
Gesundheit und Sicherheit am Arbeitsplatz,
Schutz des Eigentums der AG/der KundInnen,
Beendigung des Beschäftigungsverhältnisses.
Der europäische Gesetzgeber weist also ausdrücklich auf die Möglichkeit hin, kollektive Rechtsakte zu setzen. Abzuwarten bleibt, was der nationale Gesetzgeber im betrieblichen Datenschutz spezifizieren bzw dezidiert hervorheben wird.253