Die Tage bis zur unmittelbaren Geltung der Europäischen Datenschutzgrundverordnung (DSGVO) sind gezählt. Rechtsanwältin Anna Mertinz gibt konkrete Tipps.
»Es wird schon niemand gestraft werden«. Diese Einstellung sollten Sie in Bezug auf Datenschutz besser nicht haben. Das aktuell geltende Datenschutzrecht (Datenschutzgesetz 2000) sieht Geldstrafen zwischen 500,– und 25.000,– Euro vor. Angesichts der Rechtslage ab 25. Mai 2018 klingen die derzeitigen Strafdrohungen fast harmlos. Denn die ab Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) sieht bei Datenschutzverstößen Geldbußen von bis zu 20 Millionen Euro bzw. im Fall von Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Adressaten der Geldbußen sind primär die Daten verarbeitenden Unternehmen. Es ist aber nach der DSGVO sowohl eine Haftung der juristischen Person als auch der zur Vertretung nach außen Berufenen bzw. bestellten verantwortlichen Beauftragten vorgesehen.
Tipp: Datenschutz-Compliance muss Chefsache sein. Es müssen rechtzeitig Maßnahmen umgesetzt werden, um sowohl das Unternehmen als auch die zur Vertretung befugten Personen zu schützen.
Zudem muss in Zukunft vermehrt mit Kontrollen durch die Datenschutzbehörde (DSB) gerechnet werden. Die DSB sollte daher – ebenso wie das Arbeitsinspektorat, die Gebietskrankenkasse oder andere Stellen – in den Blumenstrauß an möglichen Besuchern aufgenommen werden.
Tipp: Informieren und schulen Sie Ihre Mitarbeiter, was im Falle einer Kontrolle durch die Datenschutzbehörde oder in deren Auftrag tätigen Personen zu tun ist. Gute Vorbereitung ist die halbe Miete – das gilt auch hier.
Die Grundsätze des Datenschutzes
Die Verpflichtung, bei der Datenverarbeitung personenbezogene Daten zu schützen, ist nichts Neues. Noch vor einiger Zeit war Datenschutz in Österreich jedoch selten auf der Agenda der Geschäftsführung. Durch die horrenden Strafdrohungen der DSGVO rückt Datenschutz nun immer mehr in den Fokus. Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Um die Maßnahmen, die Unternehmen treffen müssen, besser zu verstehen, ist es wichtig, sich die Grundsätze des Datenschutzes zu verinnerlichen und deren Einhaltung bei jeder Datenverarbeitung, etwa bei der Einführung eines neuen HR-Tools, zu beachten. Es geht dabei insbesondere um folgende Grundsätze: Integrität und Vertraulichkeit von Datenverarbeitungen, Speicherbegrenzung (Daten sind zu löschen, wenn ihre Verarbeitung nicht mehr erforderlich ist), Richtigkeit von Daten (Daten sind aktuell zu halten), Rechtmäßigkeit der Datenverarbeitung (es braucht eine zulässige Rechtfertigungsgrundlage für die Verarbeitung), Transparenz (Betroffene haben Rechte und denen muss entsprochen werden), Datenminimierung (es dürfen nur jene Daten verwendet werden, die erforderlich sind und nur solange sie erforderlich sind) und Zweckbindung (Daten dürfen nur für einen bestimmten Zweck und nicht beliebig verarbeitet werden). Über all diesen Grundsätzen steht die sogenannte Rechenschaftspflicht: Das Unternehmen, das personenbezogene Daten verarbeitet, muss über die Einhaltung aller Grundsätze Rechenschaft ablegen, also deren Einhaltung nachweisen können.
Der Begriff der Datenverarbeitung ist weit. Datenschutz ist quasi bei jeder Handhabung von Daten zu beachten, also vor allem beim Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten und Übermitteln von Daten. Auch das bloße »Besitzen« von Daten im physischen oder digitalen Personalakt ist bereits eine Datenanwendung.
Ungewollte Datenflut
Nehmen Sie die letzte Bewerbung, die Sie erhalten haben, zur Hand. Wie viele personenbezogene Daten haben Sie darin abseits von Name, Geburtsdatum und Ausbildung des Bewerbers auf einen Schlag erhalten? Bestimmt viele, sofern Sie das Bewerbermanagement nicht über limitierte Eingabemasken mit begrenzen Abfragen regeln. In Bewerbungsunterlagen sind zudem auch oft sensible Daten wie das Religionsbekenntnis enthalten. Mit Bewerberdaten ist ebenso sorgsam umzugehen wie mit Mitarbeiterdaten. Der Bewerber muss darauf vertrauen können, dass seine personenbezogenen Daten nicht ohne seine Zustimmung weitergeben oder veröffentlicht werden und auch nicht für andere Zwecke als die konkrete Bewerbung weitergegeben werden.
Dies bedeutet, dass im Bewerbungsprozess nur jene personenbezogenen Daten verarbeitet werden dürfen, die für die Bewerbung auch tatsächlich benötigt werden.
Tipp: Hinterfragen Sie kritisch, welche Daten Sie im Rahmen der Bewerbung zulässigerweise erheben dürfen. Die Sozialversicherungsnummer oder Hobbys des Bewerbers werden beispielsweise wohl nicht dazuzählen. Daten, die für die Bewerbung nicht unbedingt erforderlich sind, sollten nicht gespeichert oder sonst verarbeitet werden, es sei denn, es liegt eine wirksame Einwilligung des Bewerbers vor. Seien Sie auch sparsam mit der Weiterleitung oder Aufbewahrung von Bewerbungen.
Bedenken Sie zudem: Abgelehnte Bewerber können daher von ihrem Recht auf Auskunft oder Löschung Gebrauch machen. Die Frist für die Behandlung von Betroffenenrechten beträgt nur einen Monat. Es muss daher durch Prozesse sichergestellt werden, dass Anfragen von Betroffenen professionell und rechtzeitig bearbeitet werden.
Wie Sie bereits wissen, bedarf jede Datenverarbeitung einer zulässigen Rechtsgrundlage. Ein Beispiel für eine solche Rechtsgrundlage ist die Zustimmung der betroffenen Person. Die »Zustimmung« wurde durch die DSGVO in »Einwilligung« umgetauft. An eine wirksame Zustimmung sind strenge Vorgaben geknüpft. Bisher erteilte Zustimmungen können weiter verwendet werden, sofern sie den Vorgaben der DSGVO entsprechen. Es muss aber stets im Einzelfall geprüft werden, ob bereits erteilte Zustimmungen tatsächlich den Vorgaben der DSGVO entsprechen. Besonders im Zusammenhang mit Bewerber- und Mitarbeiterdaten sind Einwilligungen oft nicht wirksam. Zudem kann eine Einwilligung von der betroffenen Person grundsätzlich jederzeit widerrufen werden. Dann ist die weitere Verwendung der Daten unzulässig, wenn keine andere Rechtsgrundlage vorliegt.
Tipp: Verlassen Sie sich nicht auf die Wirksamkeit eventuell in der Vergangenheit eingeholter datenschutzrechtlicher Zustimmungen.
Die Gefahr lauert im Archiv
Personenbezogene Daten dürfen nicht unbegrenzt aufgehoben werden. Wie lange genau personenbezogene Daten aufbewahrt werden dürfen, sagt das Datenschutzrecht aber nicht. Vielmehr sind personenbezogene Daten dann zu löschen, wenn es keine Rechtsgrundlage mehr für die Aufbewahrung gibt. Es muss daher je Dokumenten- und Datenart ermittelt werden, wie lange die Speicherung erfolgen muss und darf. Daten, die für die Überprüfung von finanziellen Ansprüchen eines Arbeitnehmers aus dem Arbeitsverhältnis notwendig sind, sollten in der Regel drei Jahre nach Entstehen der Ansprüche aufbewahrt werden. Sofern diese Daten für die Abgabenerhebung von Bedeutung sind, sind sie sieben Jahre ab Ende jenes Jahres, in dem sie entstanden sind und gegebenenfalls länger, wenn sie in einem anhängigen Verfahren relevant sind, aufzubewahren. Bei Bewerberdaten ist beispielsweise die Klagefrist nach dem Gleichbehandlungsgesetz und dem Behinderteneinstellungsgesetz von sechs Monaten relevant. Danach wird eine Speicherung der Bewerberdaten nur mehr mit Einwilligung zulässig sein.
Tipp: Prüfen Sie, ob Sie für das Evidenthalten von Bewerberdaten oder das Erfassen in einem Bewerberpool eine wirksame Einwilligung des Bewerbers haben. Regeln Sie weiters in einer Datenaufbewahrungs-Richtlinie, wie lange welche Daten aufbewahrt werden.
Mythos Konzernprivileg
Daten von Bewerbern, Mitarbeitern, Kunden, Lieferanten und anderen Personen dürfen nicht ohne Weiteres zwischen verschiedenen Konzernunternehmen oder Niederlassungen hin- und hergeschickt werden. Konzernverbundene Mutter-, Tochter- und sonst »verwandte« Unternehmen sind datenschutzrechtlich »Dritte«. Die Weitergabe von personenbezogenen Daten innerhalb eines Konzerns ist daher nicht ohne Weiteres zulässig, auch nicht innerhalb Österreichs und schon gar nicht in Drittländer. Zudem müssen die entsprechenden technischen und organisatorischen Maßnahmen getroffen werden, um personenbezogene Daten bei der Übermittlung im Konzern zu schützen.
Datenschutz und Betriebsrat
Die Rechte des Betriebsrates im Zusammenhang mit der Verwendung von Mitarbeiterdaten sorgen in Unternehmen oft für Auseinandersetzungen zwischen Betriebsinhaber und Belegschaftsvertretung. Die Rechte des Betriebsrates sind nicht in der DSGVO, sondern im Arbeitsverfassungsgesetz geregelt (schon bisher). Der Betriebsrat hat unter anderem ein Recht auf Information darüber, welche Arten von personenbezogenen Arbeitnehmerdaten automationsunterstützt aufgezeichnet und welche Verarbeitungen und Übermittlungen gemacht werden. Dem Betriebsrat ist weiters – aber nur auf Verlangen – die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung zu ermöglichen. Der Betriebsrat kann beispielsweise Einsicht in das Programm, in die Programmdokumentation oder die Systembeschreibung verlangen. Zur Einsicht in die Daten einzelner Arbeitnehmer ist aber mit wenigen Ausnahmen die Zustimmung des jeweiligen Arbeitnehmers erforderlich. Ein Arbeitgeber darf daher dem Betriebsrat nicht ohne Weiteres die gesamte Personalakte eines Mitarbeiters geben, ohne vorher die Zustimmung des betroffenen Mitarbeiters eingeholt zu haben. Einige Datenverwendungen im Bereich Personaladministration sind darüber hinaus zustimmungspflichtig, beispielsweise Zeiterfassungssysteme, elektronische Telefonkontrollsysteme, Whistleblowing-Hotlines, Einführung von Systemen zur Beurteilung von Arbeitnehmern, Videoüberwachungen am Arbeitsplatz oder biometrische Zugangskontrollen zum Arbeitsplatz durch Finger-Scanning.
Tipp: Überprüfen Sie, welche Rechte des Betriebsrates bestehen und wann Sie den Betriebsrat in welcher Form einbinden müssen oder sollten.
Datenschutz ist keine Einbahnstraße
Ein Arbeitgeber muss die personenbezogenen Daten seiner Mitarbeiter schützen. Aber auch Mitarbeiter haben Pflichten im Zusammenhang mit Datenschutz. Sie sind zum Schutz all jener personenbezogenen Daten verpflichtet, die ihnen im Rahmen ihres Arbeitsverhältnisses bekannt werden. Dies betrifft insbesondere Daten von Kollegen, Kunden, Dienstleistern, Beratern oder Geschäfts- und Betriebsgeheimnisse des Arbeitgebers.
Arbeitgeber müssen ihre Mitarbeiter – sowohl nach der geltenden als auch nach der neuen Rechtslage – unter anderem dazu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses einzuhalten.
Tipp: Eine den gesetzlichen Vorgaben entsprechende Verpflichtung zur Einhaltung des Datengeheimnisses sollte standardmäßig von allen Mitarbeitern unterzeichnet werden. Zudem sind Schulungen der Mitarbeiter wichtig. Sensibilisieren Sie Ihre Mitarbeiter auf das Thema Datenschutz und Schutz von Geschäfts- und Betriebsgeheimnissen!
Es ist 5 vor 12
Sofern Ihr Unternehmen nicht ohnedies bereits mit Hochdruck daran arbeitet, Datenschutz-compliant zu werden oder zu bleiben, ist es höchste Zeit, die entsprechenden Maßnahmen zu setzen. Es muss – auch vor Geltung der Datenschutz-Grundverordnung ab Mai 2018 – ein internes Datenschutz-Kontrollsystem eingerichtet und umgesetzt sein.
Neben den oben geschilderten Maßnahmen gibt es noch zahlreiche weitere Verpflichtungen für Unternehmen, deren Einhaltung bis zum 25. Mai 2018 sichergestellt werden muss. Dies betrifft beispielsweise das Führen eines Verfahrensverzeichnisses, eventuell die Bestellung eines Datenschutzbeauftragten sowie das Treffen von Vorkehrungen für den Fall eines Datenmissbrauchs und von Maßnahmen zur Wahrung von Betroffenenrechten.
Tipp: Erheben Sie zunächst den Ist-Stand und analysieren Sie, welche datenschutzrechtlichen Risiken und welche »offenen Flanken« Ihr Unternehmen im Bereich Datenschutz hat. Datenschutz geht nicht »nebenbei«. Setzen Sie ein Projektteam auf, eventuell unter Beziehung von Beratern aus dem Bereich Recht und IT, und definieren Sie Maßnahmen, Verantwortlichkeiten und Zeitschienen. Jede Maßnahme, die Sie setzen, kann ein wichtiger Baustein Ihrer Datenschutz-Compliance sein!