Seit 25mai2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedsstaaten, so auch in Österreich. Kurz vor Geltungsbeginn wurde auf nationaler Ebene in Österreich das Datenschutz-Deregulierungs-Gesetz 2018. [Bundesgesetz, mit dem das Datenschutzgesetz geändert wird. (Datenschutz-Deregulierungs-Gesetz 2018), BGBl. I Nr. 24/2018] (im Folgenden „DDG 2018“) beschlossen, das laut Medienberichten Erleichterungen für Unternehmen bringt. Diese Medienberichte sind mit Vorsicht zu genießen – Lesen Sie in diesem Fachbeitrag, warum.
Datenschutz | Status Quo
Viele Unternehmen haben die internen Umsetzungsprojekte abgeschlossen. Bei vielen Unternehmen läuft die Umsetzung der Maßnahmen zur DSGVO-Compliance noch weiter und das ist auch gut so. Datenschutz-Compliance ist ein kontinuierlicher Prozess. Der 25mai2018 war das „due date“. Wie erwartet ist jedoch am „DSGVO-Freitag“ unmittelbar nichts passiert. Wenig überraschend standen keine Mitarbeiter der Datenschutzbehörde vor den Pforten der österreichischen Unternehmen, um Kontrollen durchzuführen. Dies bedeutet aber keineswegs, dass solche Kontrollen nicht zu einem späteren Zeitpunkt durchgeführt werden. Was bereits spürbar ist, ist die vermehrte Geltendmachung von Betroffenenrechten. Unternehmen sollten gut vorbereitet sein, wie sie mit Anfragen von Kunden, Mitarbeitern, Bewerbern und anderen Personengruppen umgehen, die ihre Rechte aus dem Datenschutz geltend machen.
Der Mythos um die Erleichterungen durch das Datenschutz-Deregulierungs-Gesetz
Über das Datenschutz-Deregulierungs-Gesetz 2018. [Bundesgesetz, mit dem das Datenschutzgesetz geändert wird (Datenschutz-Deregulierungs-Gesetz 2018), BGBl. I Nr. 24/2018] (im Folgenden „DDG 2018“) wurde in den Medien zum Teil euphorisch berichtet. Doch die Gerüchte, dass das DDG 2018 Klarstellungen und Entlastungen für Unternehmen schafft, sind, nüchtern juristisch betrachtet, nicht so weitgehend wie zum Teil vermittelt.
Keine Strafen?
In den Medien wurde die Regelung des § 11 DSG neu („Verwarnung durch die Datenschutzbehörde“) zum Teil als massive Entlastung für Unternehmer und Aushöhlung des Schutzniveaus der DSGVO vermittelt. § 11 DSG neu gibt der Datenschutzbehörde Richtlinien zur Ausübung ihrer Befugnisse und hält sich im Rahmen der Vorgaben der DSGVO. Ein nationales Gesetz kann die Vorgaben der DSGVO nicht verwässern. Nach der DSGVO müssen Aufsichtsbehörden (in Österreich ist dies eben die Datenschutzbehörde) bei der Verhängung von Geldbußen die Verhältnismäßigkeit wahren. Neben der Verhängung von Geldbußen (Art 83 DSGVO) haben die Behörden noch viele weitere Maßnahmenbefugnisse (Art 58 DSGVO). Eine hiervon ist eben die Verwarnung.
Die Regelung des § 11 DSG neu bedeutet nicht, dass die Datenschutzbehörde keine Strafen verhängen wird. Durch diese Regelung wird die Datenschutzbehörde lediglich angehalten, das Abwägungskriterium „erstmaliger Verstoß“ besonders zu berücksichtigen.
Daher: Die Datenschutzbehörde kann Geldbußen bei Verstößen gegen die DSGVO verhängen. Daran ändert das DDG 2018 nichts. Auf Kontrollen durch die Datenschutzbehörde sollte man vorbereitet sein. Es ist aber damit zu rechnen, dass die Datenschutzbehörde bei einem erstmaligen Verstoß, der weder der Art, Schwere oder Dauer nach schwerwiegend war, keine oder zumindest keine hohen Strafen verhängt, sondern zunächst verwarnt.
Kein Recht auf Auskunft bei Gefährdung von Geschäfts- und Betriebsgeheimnissen
Das Recht auf Auskunft gemäß Art 15 DSGVO ist eines der zentralen Betroffenenrechte nach dem Katalog der Art 12-22 DSGVO. Danach hat eine betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, (u.a.) welche Daten über sie verarbeitet werden. Dieses Betroffenenrecht bedeutet für Unternehmen einen hohen administrativen Aufwand. Es ist daher wichtig, dass Unternehmen sich und ihre Mitarbeiter auf den Umgang mit Betroffenenrechten vorbereiten. Klare Handlungsanweisungen und Schulungsmaßnahmen sind Teil eines professionellen Datenschutz-Compliance-Systems.
Das DDG 2018 nimmt eine Konkretisierung vor: Im Sinne des Schutzes von Geschäfts- und Betriebsgeheimnissen ist eine Beschränkung des Auskunftsrechts erlaubt. Geschäfts- und Betriebsgeheimnisse selbst als auch andere Daten können von der Auskunft ausgenommen werden, wenn eine Auskunft über diese Daten ein Geschäfts- und Betriebsgeheimnis gefährden würde.
Hinweis: Stellen Sie sicher, dass im Unternehmen ein Prozess für die Bearbeitung von datenschutzrechtlichen Anfragen von Betroffenen besteht und Mitarbeiter dahingehend geschult sind.
Einschränkung der Doppelbestrafungsmöglichkeit
Das nationale Datenschutz-Anpassungsgesetz sah zunächst vor, dass die Datenschutzbehörde für ein- und dieselbe Übertretung sowohl über die juristische Person als auch über deren verwaltungsstrafrechtlich Verantwortlichen (≠ Datenschutzbeauftragter!) eine Verwaltungsstrafe verhängen kann, wenn besondere Umstände dafürsprechen. Durch die Änderung dieser Bestimmung im DDG 2018 wurde klargestellt, dass es nicht zu einer Doppelbestrafung kommen kann:
Ein verwaltungsstrafrechtlich Verantwortlicher (in der Regel: Geschäftsführer) kann also nicht zugleich für eine Datenschutzverletzung der juristischen Person zur Verantwortung gezogen werden, wenn über die juristische Person (in der Regel: GmbH) bereits eine Geldbuße verhängt wurde.
Aber: Es bleibt dabei: Datenschutzverletzungen sind keine Kavaliersdelikte, weder aus Sicht des Unternehmens noch aus Sicht der Mitarbeiter. Es drohen Geldbußen und andere Nachteile
Keine Sammelklagen auf Schadenersatz durch NGOs
Die DSGVO sieht vor, dass betroffene Personen Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht beauftragen können, in ihrem Namen eine Beschwerde bei der Aufsichtsbehörde einzubringen. Im nationalen Recht ist zu regeln, ob diese auch vertretungsweise Schadenersatz geltend machen können. Der österreichische Gesetzgeber hat sich für ein „nein“ entschieden. Solche Organisationen können daher keine Sammelklagen auf Schadenersatz machen. Betroffene können sich aber zum Beispiel bei Schadenersatzforderungen auch durch Anwälte vertreten lassen.
Neues zur Zulässigkeit von Bildaufnahmen über sensible Daten bzgl. DSGVO
12 Abs 4 DSG sieht die Unzulässigkeit von bestimmten Bildaufnahmen vor. Darunter fällt auch, wenn die Auswertung der Bildaufnahmen anhand von sensiblen Daten als Auswahlkriterien zustande kommt. Eine solche Auswertung ist nach den jüngsten Neuerungen jedoch künftig mit ausdrücklicher Einwilligung der betroffenen Person möglich.
Ein praktischer Anwendungsfall könnten z.B. Zutrittskontrollen auf der Basis eines Abgleichs biometrischer Bilddaten sein [Abänderungsantrag (gescanntes Original), AA-10 XXVI. GP]. Aber Achtung: An wirksame Einwilligungserklärungen sind strenge Voraussetzungen geknüpft (insbesondere: ausdrücklich, freiwillig, für den jeweiligen bestimmten Fall und in informierter Weise). Im Einzelfall ist daher zu prüfen, ob eine eingeholte Einwilligung nach DSGVO-konform ist. Zudem soll der Hinweis nicht unterbleiben, dass eine Einwilligung jederzeit widerruflich und daher eine „schwache“ Rechtsgrundlage für die Datenverarbeitung ist.
Für die Unternehmenspraxis gilt weiterhin, dass bei Bildaufnahmen besondere Vorkehrungen zu treffen sind. Auch Bildaufnahmen von natürlichen Personen unterliegen dem Datenschutzregime. Bei der Verarbeitung von Bildaufnahmen müssen daher die Grundsätze des Datenschutzes eingehalten werden, eine Rechtsgrundlage vorliegen, die Verarbeitung im Verfahrensverzeichnis abgebildet werden etc.
Neues zum Datenschutz für juristische Personen
Ob nach dem österreichischen Datenschutzrecht weiterhin auch die Daten juristischer Personen geschützt werden müssen, ist nach wie vor nicht 100% geklärt. Die DSGVO hat jedoch ausdrücklich „nur“ den Schutz personenbezogener Daten natürlicher Personen (Menschen) im Auge. Das Geldbußen-Regime der DGSVO gilt daher „nur“ in Bezug auf den Schutz von Daten natürlicher Personen gilt.
Aber Achtung: Zumeist werden auch in der Zusammenarbeit mit juristischen Personen Daten natürlicher Personen (zB deren Mitarbeiter) verarbeitet, die von der DSGVO umfasst sind und geschützt werden müssen. Es darf auch nicht vergessen werden, dass auch Unternehmer natürliche Personen sein können, insbesondere Einzelunternehmer.
DSGVO | Ausblick
Das österreichische DDG 2018 kann die Vorgaben der DSGVO nicht einschränken und die Befugnisse der Datenschutzbehörde nicht abändern. Zwar brachte das DDG 2018 Klarstellungen und einigen Entlastungen für Unternehmen, die Pflichten zur Umsetzung und Einhaltung der Vorgaben der DSGVO und die Geldbußen bei Verstößen bleiben davon aber unberührt.
Unternehmen sollten daher weiterhin an Datenschutz-Compliance arbeiten, um auf Kontrollen, Verfahren, Betroffenenrechte, Datenpannen und Anfragen vorbereitet zu sein. Das umfasst unter anderem, geeignete technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten zu treffen, ein Verfahrensverzeichnis zu führen, ein Löschkonzept zu erstellen, den umfangreichen Informationspflichten nachzukommen, sofern erforderlich eine Datenschutzfolgenabschätzung durchzuführen u.v.m.
Datenschutz Österreich (DSGVO) – Der Countdown ist abgelaufen