Arbeitgeber müssen ihre Unternehmen für die mit Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung datenschutzfit machen. Andernfalls drohen hohe Strafen.
Schon bisher hatte Österreich mit dem DSG 2000 eine umfassende gesetzliche Grundlage in Sachen Datenschutz. Ab 25. Mai 2018 werden Arbeitgeber als Verantwortliche im Bereich Datenschutz in allen Belangen die neue, in Österreich unmittelbar geltende EU-DSGVO zu befolgen haben. Diese erfasst alle personenbezogenen Daten, also alle Informationen, die eine natürliche Person identifizierbar machen, wie z. B. Vor- und Nachname, Geburtstag, Einkommen, Sozialversicherungsnummer, Kontonummer, Religion etc. Die DSGVO regelt, was bei der ganz oder teilweise automatisierten sowie bei der nicht-automatisierten Verarbeitung solcher Daten, die in einer Datei gespeichert werden sollen, künftig beachtet werden muss. Gerade in der Personalverwaltung kommt eine Verarbeitung und Speicherung personenbezogener Daten ständig vor, etwa im Zuge der Lohnverrechnung.
Das neue DSG als Ausführungsgesetz
Auch wenn die DSGVO mit Inkrafttreten unmittelbare Geltung in den EU-Staaten erlangt, bedarf es zu ihrer Durchführung in Österreich in verschiedenen Bereichen ergänzender innerstaatlicher Regelungen, die sich im neuen Datenschutz-Anpassungsgesetz 2018 (»DSG«) finden. Auch das DSG wird mit 25. Mai 2018 in Kraft treten. Das DSG 2000 wird gleichzeitig samt den darauf beruhenden Verordnungen aufgehoben werden. Die DSGVO lässt einige Spielräume (sogenannte Öffnungsklauseln) zur Festsetzung ergänzender nationaler Regelungen des Datenschutzes offen. Gerade im Arbeitsrecht hat der österreichische Gesetzgeber von den Öffnungsklauseln aber nur sehr eingeschränkt Gebrauch gemacht. Jene Klarstellungen, die sich viele im Zusammenhang mit den anstehenden Praxisfragen vom DSG erwartet hatten, sind daher ausgeblieben und werden sich erst durch die Behördenpraxis ergeben.
Verzeichnis für Verarbeitungstätigkeiten
Die DSGVO bringt diverse neue Regelungen für Arbeitgeber. Dass die Auftraggeber einer Datenverarbeitung künftig »Verantwortliche« und die Dienstleister »Auftragsverarbeiter« heißen werden, ist dabei nur eine der formalen Änderungen, die neben gravierenden inhaltlichen Änderungen erfolgen werden. Nach der derzeit geltenden Rechtslage muss der Arbeitgeber die Vornahme von Datenanwendungen vorab zum Datenverarbeitungsregister (DVR) melden, sofern keine Ausnahme von der Meldepflicht erfüllt ist (wie dies für veröffentlichte Daten, wie Bilanzdaten und für Datenanwendungen, die einer Standardanwendung entsprechen, der Fall ist). Die DSGVO schafft diese Meldepflicht ebenso wie das Erfordernis einer DVR-Nummer ab. An die Stelle der Meldung tritt künftig die Verpflichtung des Arbeitgebers (Verantwortlichen) zur Führung eines internen Verzeichnisses von Datenverarbeitungstätigkeiten. Mit diesem Verzeichnis muss der Verantwortliche jederzeit nachweisen können, dass die Verarbeitung der Daten rechtmäßig erfolgt. Das Verzeichnis hat z. B. auch Informationen über eine allfällige Übermittlung von Daten in ein Drittland (etwa die USA) zu enthalten. Eine Erleichterung besteht künftig für Unternehmen mit weniger als 250 Mitarbeitern – sie müssen nur bei Vorliegen bestimmter, aus Datenschutzsicht besonders kritischer Situationen (z. B. bei Verarbeitung von Daten über strafrechtliche Verurteilungen) ein Verzeichnis führen. Datenverarbeitungen, die ein erhöhtes Datenschutzrisiko beinhalten (so z. B. die Verarbeitung sensibler Daten betreffend Religionszugehörigkeit oder der Einsatz von Videoüberwachung) sind künftig vorab in einem internen Verfahren – der sogenannten Datenschutz-Folgenabschätzung – auf ihre möglichen Auswirkungen für die Betroffenen zu überprüfen. Die österreichische Datenschutzbehörde wird in diesem Zusammenhang voraussichtlich eine Liste mit Verarbeitungsvorgängen veröffentlichen, für die jedenfalls keine Datenschutzfolgeabschätzung durchzuführen ist. Angesichts dieser Vorgaben haben Arbeitgeber sohin entsprechende organisatorische und rechtliche Vorkehrungen zu treffen, um gesetzeskonform zu agieren.
Stärkung von Betroffenenrechten
Durch die DSGVO kommt es zudem auch zu einer Erweiterung der Betroffenenrechte, deren wesentlicher Kern mehr Transparenz- und Informationsverpflichtungen sind. Betroffene Personen müssen darüber informiert werden, dass ihre (personenbezogenen) Daten erhoben und verwendet werden. Sofern keine andere Rechtsgrundlage für die Verarbeitung besteht, muss weiterhin die Einwilligung der Betroffenen eingeholt werden. Dazu müssen klare, leicht verständliche Informationen über die (geplante) Verarbeitung erteilt werden. Vor allem im Arbeitsverhältnis muss angesichts möglicher Abhängigkeiten wie bisher darauf geachtet werden, dass die Einwilligung zur Datenverarbeitung ohne Zwang (»verdünnte Willensfreiheit«) erfolgt. Die von einer Datenverarbeitung betroffenen Arbeitnehmer sind zudem über ihr Recht zum jederzeitigen Widerspruch gegen eine Datenverarbeitung zu informieren. Umfassender geregelt wurde im DSG und der DSGVO auch das Recht der Betroffenen auf Einschränkung der Verarbeitung sowie auf Löschung von Daten (also ein »Recht auf Vergessenwerden«).
Fokus auf Schulung der Mitarbeiter
Arbeitgeber haben für den Fall, dass ihre Mitarbeiter künftig personenbezogene Daten übermitteln, laut DSG besondere Bestimmungen zu beachten: Demnach dürfen die Mitarbeiter solche Daten nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln, was auch vertraglich festgehalten werden muss (soweit sich nicht bereits eine Verpflichtung zur Übermittlung aus dem Gesetz ergibt). Darüber hinaus sind die Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. Das DSG normiert diesbezüglich auch ausdrücklich, dass einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur unzulässigen Datenübermittlung kein Nachteil erwachsen darf (z. B. Entlassung).
Der Datenschutzbeauftragte
In der Praxis stellen sich derzeit viele Unternehmen die Frage, ob sie einen durch das DSGVO als interne Beratungs- und Kontrollstelle vorgesehenen Datenschutzbeauftragten einrichten müssen. Dieser soll z. B. die Einhaltung der DSGVO im Unternehmen überwachen, den Arbeitgeber unterrichten, beraten und als Schnittstelle zur Datenschutzbehörde fungieren. Der Datenschutzbeauftragte muss umfassende rechtliche, technische und organisatorische Kenntnisse mitbringen, um bestellt werden zu können (was erst im Rahmen einer Kontrolle des Unternehmens näher geprüft wird). Die Bestellung eines Datenschutzbeauftragten ist u. a. dann verpflichtend, wenn es aufgrund der Kerntätigkeit des Unternehmens zur systematischen Beobachtung von betroffenen Personen kommt (z. B. in Banken oder Versicherungen). Sie ist jedoch auch ohne Verpflichtung ratsam, weil damit mögliche Problemfelder bereits im Vorfeld erkannt und das DSGVO-konforme Handeln gefördert werden können.
Schwerwiegende Sanktionen bei Verstößen
Während das Thema Datenschutz in vielen heimischen Unternehmen bislang eher stiefmütterlich behandelt wurde, avancierte es seit Bekanntwerden der laut DSGVO vorgesehenen Sanktionen zur »causa prima« mancher Compliance-Abteilungen: Verstöße können nämlich künftig mit existenzbedrohenden Strafen geahndet werden. Während derzeit im DSG 2000 bei Verstößen Geldstrafen bis maximal 25.000,– € vorgesehen sind, betragen die Geldstrafen laut der DSGVO bis zu 20 Millionen € oder 4 % des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Für Datenschutzvergehen, die nicht bereits in der DSGVO geregelt sind, sieht das DSG ergänzende Strafen von bis zu 50.000,– € vor.
Auch fahrlässiges Verhalten ist strafbar
Dabei handelt es sich stets um Maximalstrafen, die nur in besonders schwerwiegenden Fällen ausgesprochen werden. Die Höhe der künftigen Strafen zeigt allerdings, dass bei Verstößen mit einer ganz massiven Verschärfung zu rechnen ist. Für die Verhängung der Strafen ist in Österreich die Datenschutzbehörde zuständig, die bei geringfügigen Verstößen auch weiterhin Verwarnungen aussprechen kann. Der für die Verarbeitung der Daten Verantwortliche sowie der Auftragsverarbeiter sind künftig persönlich für die Einhaltung der Bestimmungen des DSG/der DSGVO verantwortlich. Geldbußen können nach dem DSG auch über juristische Personen verhängt werden, wenn eine entsprechende Zurechenbarkeit gegeben ist (z. B. Überwachungs- und Kontrollversagen, Verstoß durch die Führungskraft). Ist ein verantwortlich Beauftragter gemäß § 9 VStG bestellt, so ist dieser zu bestrafen, soweit ihm ein persönlicher Vorwurf zu machen ist. (Davon ist der bereits erwähnte Datenschutzbeauftragte zu unterscheiden, der nicht Adressat der Geldbußen nach der DSGVO ist). Unternehmen sollten sich in den knapp 9 Monaten bis zum Inkrafttreten des neuen Datenschutzregimes daher intensiv mit dessen Anforderungen auseinandersetzen und als ersten Schritt eine umfassende (auch rechtliche) Analyse der eigenen Datenanwendungen vornehmen, um am 25. Mai 2018 »datenschutzfit« zu sein.