Wie schon im HRweb-Beitrag „Datenschutz Österreich – Schutz von Arbeitnehmerdaten“ erwähnt, wurde im april2016 auf EU-Ebene die Datenschutz-Grundverordnung (DS-GVO) beschlossen. Die Datenschutz-Grundverordnung ist ab 25mai2018 in allen Mitgliedstaaten anwendbar. Nachstehender Artikel gibt einen Überblick über die wichtigsten Änderungen, für die sich Unternehmen im Bereich Mitarbeiterdatenverwaltung rüsten müssen.
Wozu die Datenschutz-Grundverordnung?
Zweck der DS-GVO ist die Harmonisierung des Datenschutzes in der EU und die Wahrung des Rechts auf Schutz personenbezogener Daten. Auf die Staatsangehörigkeit oder den Aufenthaltsort soll es nicht ankommen.
Der Langtitel der DS-GVO lautet „Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“. Die „Vorgängerbestimmung“ der Datenschutz-Grundverordnung, die Richtlinie 95/46/EG, wurde in den einzelnen Mitgliedstaaten unterschiedlich umgesetzt, sodass kein einheitliches Schutzniveau in Europa gewährleistet war. Durch rasche technologische Entwicklungen und vermehrte grenzüberschreitende Zusammenarbeit, mit der auch ein steigender Datenaustausch einhergeht, erachtete es die EU als notwendig, ein Rechtsinstrument zu schaffen, das ein einheitliches, hohes Schutzniveau herstellt.
Anwendungsbereich der Datenschutz-Grundverordnung
Anders als derzeit im Datenschutzgesetz Österreich ist die Verordnung auf die Verarbeitung personenbezogener Daten juristischer Personen nicht anwendbar. Es bleibt abzuwarten, ob der nationale Gesetzgeber den Datenschutz Österreich dennoch auch weiterhin für Daten juristischer Personen aufrechterhält.
Zur Vermeidung von Umgehungen ist sowohl die automatisierte Verarbeitung als auch die manuelle Verarbeitung von der DS-GVO umfasst.
Räumlich findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten, wenn diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, oder wenn die Datenverarbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen steht oder das Verhalten von Personen innerhalb der EU beobachtet wird. Der Anwendungsbereich ist umfassend. Es kommt beispielsweise nicht darauf an, ob die Verarbeitung der Daten in der EU stattfindet.
Neue Begriffe für den Datenschutz Österreich
Die DS-GVO unterscheidet zwischen „Verantwortlichen“ und „Auftragsverarbeitern“:
„Verantwortlicher“ ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der „Verantwortliche“ ist also vergleichbar mit dem „Auftraggeber“ im Datenschutzgesetz Österreich (z.B. Arbeitgeber).
„Auftragsverarbeiter“ ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der „Auftragsverarbeiter“ ist damit vergleichbar mit dem „Dienstleister“ im Datenschutzgesetz Österreich.
Verpflichtender Datenschutzbeauftragter
Im Datenschutz Österreich ist die Benennung eines Datenschutzbeauftragten bislang für die Mehrzahl der Unternehmen freiwillig. Viele Unternehmen haben auf freiwilliger Basis einen Datenschutzbeauftragten bestellt, was im Rahmen eines wirksamen Compliance-System eine wichtige Maßnahme ist.
Nach der DS-GVO besteht eine Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit (i) in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder (ii) in der umfangreichen Verarbeitung besonderer Kategorien von sensiblen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Die Hauptaufgaben des Datenschutzbeauftragten umfassen unter anderem die Beratung des Verantwortlichen/des Auftragsverarbeiters und der Beschäftigten über ihre Pflichten, die Überwachung der Einhaltung der Datenschutz-Grundverordnung, die Beratung bei der Datenschutz-Folgenabschätzung und die Überwachung ihrer Durchführung, sowie die Zusammenarbeit mit der Aufsichtsbehörde.
Verpflichtendes Verfahrensverzeichnis
Nach derzeitiger Rechtslage im Datenschutzgesetz Österreich muss grundsätzlich jede Datenanwendung bei der Datenschutzbehörde gemeldet werden. Die DS-GVO sieht ein anderes Konzept vor, und zwar das Führen eines Verfahrensverzeichnisses. In diesem Verfahrensverzeichnis sind sämtliche Verarbeitungstätigkeiten anzuführen. Die DS-GVO sieht auch gewisse Mindestinhalte vor. Diese Mindestinhalte sind ähnlich dem Inhalt der nach dem Datenschutzgesetz Österreich erforderlichen DVR-Meldungen. Neu ist aber beispielsweise die Angabe der Speicherdauer.
Erleichterungen gibt es für Unternehmen, die weniger als 250 Arbeitnehmer beschäftigen. Solche Unternehmen müssen nicht verpflichtend ein Verfahrensverzeichnis führen, es sei denn, bei der vorgenommenen Verarbeitung besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es werden besondere Datenkategorien verarbeitet.
Verpflichtende Datenschutz-Folgenabschätzung
Das Datenschutzgesetz Österreich sieht derzeit keine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung vor. Hier bringt die DS-GVO für das Datenschutzrecht Österreich etwas Neues: Bei bestimmten Verarbeitungsarten, insbesondere bei Verwendung neuer Technologien, bei denen ein hohes Risiko besteht, in die Rechte natürlicher Personen einzugreifen (beispielsweise Profiling), ist eine Datenschutz-Folgenabschätzung durchzuführen.
Die DS-GVO sieht vor, dass die nationalen Aufsichtsbehörden eine Liste mit jenen Verarbeitungsvorgängen veröffentlichen, für die eine Folgenabschätzung durchzuführen ist.
Die Folgenabschätzung hat gewisse Mindestinhalte zu umfassen, beispielsweise eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.
Melde- und Dokumentationspflichten bei Datenschutzverletzungen
Ein typischer Missbrauchsfall kann vorliegen, wenn ein Arbeitnehmer irrtümlich falsche Anhänge an Dritte schickt und dieser die Daten wiederum anderen Dritten zuspielt. Um dies zu verhindern, sollten technische Vorkehrungen getroffen werden. Auf „Datenkrisen“ sollten Arbeitgeber vorbereitet sein, denn der Ernstfall tritt meist ungewollt und plötzlich ein.
Das Datenschutzgesetz Österreich verpflichtet Unternehmen, Betroffene umgehend zu informieren, wenn ein Datenmissbrauch erfolgt ist und den Betroffenen ein Schaden droht. Nach der DS-GVO muss der Verantwortliche ab Mai 2018 zusätzlich binnen maximal 72 Stunden an die zuständige Aufsichtsbehörde Meldung erstatten (es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen).
Daneben bestehen Dokumentationspflichten. Die Dokumentation muss der Aufsichtsbehörde eine Überprüfung der Einhaltung der Meldepflicht ermöglichen. Sie muss unter anderem die Verletzungen, Auswirkungen und ergriffenen Abhilfemaßnahmen umfassen.
Verschärfungen bei Übermittlung an Drittstaaten und grenzüberschreitender Datenverarbeitung
Eine Übermittlung von Daten an Drittstaaten ist in Zukunft nur zulässig, wenn die Europäische Kommission einen sogenannten Angemessenheitsbeschluss gefasst hat, wonach in dem betreffenden Gebiet ein angemessenes Datenschutzniveau gewährleistet ist.
Liegt kein Angemessenheitsbeschluss vor, muss der Mangel an Datenschutz durch geeignete Garantien ausgeglichen werden (z.B. verbindliche interne Datenschutzvorschriften, Standarddatenschutzklauseln, genehmigte Vertragsklauseln, etc).
Es wird teuer – verschärfte Strafbestimmungen
Die Verwaltungsstrafdrohungen des Datenschutzgesetzes Österreich sind bisher – je nach Verstoß – mit EUR 10.000 bzw. EUR 25.000 begrenzt. Das wird sich durch die DS-GVO drastisch ändern: Verstöße gegen die Bestimmungen der DS-GVO sind mit Strafen bis zu 20 Millionen Euro oder bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert, und zwar je nachdem, welcher Betrag höher ist.
Umsetzung im Datenschutz Österreich?
Die DS-GVO ist ab 25. Mai 2018 grundsätzlich unmittelbar anwendbar. Die Verordnung sieht aber sogenannte „Öffnungsklauseln“ vor, die den nationalen Gesetzgebern Konkretisierungen und Spezifizierungen ermöglichen und auch die Aufrechterhaltung oder Schaffung von Sondervorschriften zulassen. Ob und welche Gesetzesänderungen im Datenschutzgesetz Österreich erfolgen, ist noch offen. Das Datenschutzgesetz Österreich ist in manchen Aspekten strenger und in manchen weniger streng als die DS-GVO.
Fazit
Es bleibt spannend im Datenschutz Österreich. Datenschutz-Compliance muss fixer Bestandteil der Personaladministration sein. Evaluieren Sie den Status Quo Ihrer Datenschutz-Compliance und bereiten Sie sich in rechtlicher, organisatorischer und technischer Sicht rechtzeitig auf die neuen Pflichten nach der DS-GVO vor.
Datenschutz-Grundverordnung | Must Know für HR