Der Countdown bis zum 25mai2018 und damit der Geltung des neuen Datenschutzrechts läuft. Bis dahin gibt es für Unternehmen viel zu tun, um vor Verstößen und Strafen gegen das Datenschutzrecht gewappnet zu sein. Im Beitrag „Datenschutzrecht Österreich Neu ist da – Datenschutz Anpassungsgesetz 2018 beschlossen“ konnten Sie sich bereits über einige bevorstehende Änderungen im Datenschutzrecht informieren. Nachstehend lesen Sie über weitere interessante Neuerungen im Datenschutz. Sie erfahren auch über ein kürzlich ergangenes, spannendes Urteil des Europäischen Gerichtshofs für Menschenrechte betreffend die Kontrolle von Arbeitnehmern am Arbeitsplatz.
HRweb-Artikel zum Thema Datenschutz aus rechtlicher Sicht:
- Datenschutzrecht Österreich Neu ist da – Datenschutz Anpassungsgesetz 2018 beschlossen
- Datenschutzgesetz – Datenschutz Grundverordnung ab 25.5.2018: Datenpannen und Datenklau vermeiden
- Achtung: Datenschutz! | Wenn Unternehmen ihre Mitarbeiter kontrollieren (möchten)
- Datenschutz-Grundverordnung | Must Know für HR
- Datenschutz Österreich – Schutz von Arbeitnehmerdaten
- Neuigkeiten Datenschutz Österreich | Einsicht in Email-Account zulässig?
- Schutz von Geschäftsgeheimnissen und Datenschutz bei Bewerbungsgesprächen
- Daten“schutz“ – Österreich bildet keine Ausnahme!
Wen treffen Strafen wegen Verstößen gegen das Datenschutzrecht?
Das aktuell geltende Datenschutzrecht (Datenschutzgesetz 2000) sieht Geldstrafen zwischen 500 und 25.000 Euro bei datenschutzrechtlichen Verwaltungsübertretungen vor. Zuständig für die Verhängung der Strafen sowie für die Bemessung der Strafen sind nach derzeit geltender Rechtslage die Bezirksverwaltungsbehörden. Adressaten der Geldstrafen sind die zur Vertretung nach außen berufenen Personen, also im Fall einer Gesellschaft mit beschränkter Haftung (alle) Geschäftsführer. Falls die Geschäftsführer für den Bereich des Datenschutzrechts verantwortliche Beauftragte wirksam bestellt haben, haften diese.
Die derzeit geltenden Verwaltungsstrafen im Bereich Datenschutz Österreich sind gegenüber den ab Mai 2018 drohenden Strafen fast vernachlässigbar. Denn die ab Mai 2018 geltende Datenschutz-Grundverordnung (DSG-VO) sieht bei Datenschutzverstößen Geldbußen von bis zu 20 Millionen Euro bzw. im Fall von Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor.
Gegen wen diese neuen Geldbußen verhängt werden, ist im Gegensatz zur geltenden Rechtslage nicht ganz klar – Adressaten der Geldbußen werden insbesondere der „Verantwortliche“ und der „Auftragsverarbeiter“, also das Daten verarbeitende Unternehmen sein. Gemäß dem ab Mai 2018 geltenden nationalen Datenschutzgesetz ist sowohl eine Haftung der juristischen Person als auch der zur Vertretung nach außen Berufenen bzw. bestellten verantwortlichen Beauftragten vorgesehen.
Juristische Personen können wegen Verstößen gegen Bestimmungen der DSG-VO und des neuen Datenschutzrechts auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch Personen, die Teil eines Organs der juristischen Person sind und in eine Führungsposition innehaben, die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat.
Wenn für einen Verstoß bereits eine Geldbuße gegen die juristische Person verhängt wird und keine besonders verschärfenden Umstände vorliegen sollen aber nicht parallel die juristische Person und die handelnden Personen bestraft werden.
Wie die Verhängung von Geldbußen nach dem Datenschutzrecht Österreich neu in der Praxis ab Mai 2018 aussehen wird, ist noch ungewiss. Es ist auch nicht auszuschließen, dass die „Parallelbestrafungsmöglichkeit“ im Datenschutzgesetz neu wegen Verfassungswidrigkeit aufgehoben wird.
Tipp: Unternehmen sollten angesichts der hohen Strafdrohungen und der Parallelbestrafungsmöglichkeit rechtzeitig Maßnahmen treffen, um sowohl das Unternehmen als auch die zur Vertretung befugten Einzelpersonen zu schützen.
Update zur Bestellung von Datenschutzbeauftragten
Im derzeit geltenden Datenschutzgesetz Österreich ist die Benennung eines Datenschutzbeauftragten nicht verpflichtend vorgesehen. Nach der DSG-VO wird in gewissen Fällen eine Verpflichtung zur Benennung eines Datenschutzbeauftragten bestehen, nämlich, wenn die Kerntätigkeit des Unternehmens (i) in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder (ii) in der umfangreichen Verarbeitung besonderer Kategorien von sensiblen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Der Datenschutzbeauftragte hat primär beratende und unterstützende Verantwortlichkeiten. Seine Aufgaben umfassen beispielsweise:
- Beratung des Verantwortlichen bzw. des Auftragsverarbeiters und der Beschäftigten betreffend ihre Pflichten nach der DSG-VO sowie nach sonstigen Datenschutzvorschriften der EU bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung der DSG-VO, anderer Datenschutzvorschriften der EU bzw. der Mitgliedstaaten sowie der unternehmensinternen Strategien für den Schutz personenbezogener Daten. Dies umfasst auch die Zuweisung von Zuständigkeiten, die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und die diesbezüglichen Überprüfungen;
- Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde.
Eine verwaltungsstrafrechtliche Verantwortung des Datenschutzbeauftragten ist nicht vorgesehen. Ihn treffen daher die oben genannten Geldbußen nicht unmittelbar. Der Datenschutzbeauftragte ist nicht automatisch auch verantwortlicher Beauftragter nach dem Verwaltungsstrafgesetz. Die Bestellung eines Datenschutzbeauftragten auch zum verantwortlichen Beauftragten für den Bereich Datenschutz ist auch nicht ratsam, da dies dazu führen würde, dass sich ein und dieselbe Person selbst überwachen und beraten müsste, was zu einem Interessenkonflikt führen würde.
Wenn ein Unternehmen nach sorgfältiger Überprüfung zum Schluss kommt, dass die Bestellung eines Datenschutzbeauftragten nicht zwingend erforderlich ist, so sollten die dahinterstehenden Überlegungen und Argumente dokumentiert werden. Zudem kann auch die freiwillige Bestellung eines Datenschutzbeauftragten sinnvoll sein.
Tipp: Jedes Unternehmen muss prüfen, ob eine verpflichtende Bestellung eines Datenschutzbeauftragten vorzunehmen ist. Auch wenn keine verpflichtende Bestellung erforderlich ist, kann die freiwillige Bestellung einer Datenschutzansprechperson sinnvoll sein. Die Letztverantwortung für die Einhaltung des Datenschutzrechts liegt ebenso wenig wie die Haftung für Geldbußen beim Datenschutzbeauftragten, sondern bei den zur Vertretung nach außen Berufenen Personen bzw. dem wirksam bestellten verantwortlichen Beauftragten und/oder beim Unternehmen.
Update zur Kontrolle von Arbeitnehmern am Arbeitsplatz
Im HRweb-Beitrag „Neuigkeiten Datenschutz Österreich | Einsicht in Email-Account zulässig?“ wurde die überraschende Entscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR) in der Sache Barbulescu v. Romania (application no. 61496/08) erläutert.
Kurz zur Erinnerung: Der EGMR entschied im Jänner 2016 zugunsten eines Arbeitgebers und gab einem Arbeitgeber Recht, der einen Yahoo-Messenger-Account eines Arbeitnehmers ohne vorherige Information überwachte und das Dienstverhältnis dann wegen privater Chats in der Arbeitszeit beendete. Hintergrund des Falles war, dass der Arbeitnehmer den Messenger privat verwendete, obwohl die Privatnutzung verboten war. Da der Arbeitgeber Verdacht hegte, überwachte er den Account. Der EGMR entschied, dass es nicht unrechtmäßig sei, dass ein Arbeitgeber überprüfen möchte, ob seine Arbeitnehmer ihre dienstlichen Aufgaben während der Arbeitszeit verrichten. Auch die Beendigung des Dienstverhältnisses wurde als rechtmäßig angesehen.
Gegen diese Entscheidung des EGMR legte der betroffene Arbeitnehmer Rechtsmittel ein. Der Fall wurde sodann der großen Kammer des EGMR vorgelegt. Die große Kammer gab dem Arbeitnehmer recht: Das zuständige nationale Gericht habe nicht festgestellt, ob der Arbeitnehmer vorab wusste, dass und in welchem Umfang seine Kommunikation über den Messenger überwacht werden könnte. Es hätte vom nationalen Gericht festgestellt werden müssen, welche Rechtfertigungsgründe für die Überwachung vorlagen, ob Maßnahmen möglich gewesen wären, die einen geringeren Eingriff in das Recht auf Privatleben und das Recht auf Achtung des Briefverkehrs gewesen wären und ob die Kommunikation ohne Zustimmung des Arbeitnehmers eingesehen werden durfte. Aus diesen Überlegungen kam der EGMR zum Schluss, dass die Interessen des Arbeitnehmers nicht ausreichend berücksichtigt worden seien und eine Verletzung des Artikels 8 der Europäischen Menschenrechtskonvention vorliegt.
Tipp: Die Entscheidung der großen Kammer bestätigt, dass Arbeitgeber im Zusammenhang mit der Kontrolle von Emails, Social Media, Chatprogrammen und ähnlichem sehr sensibel umgehen müssen und eine solche Überwachung nur unter engen Voraussetzungen möglich ist.
Datenschutzrecht Österreich Neu – Es bleibt spannend
Diese und viele andere spannende Fragen werden sich ab Mai 2018 für Unternehmen, Betroffene und die zuständigen Behörden stellen. Wir werden Sie weiter über das Datenschutzrecht Österreich neu und die für Unternehmen zu treffenden Maßnahmen informieren und empfehlen allen, die es noch nicht getan haben: Machen Sie sich und Ihr Unternehmen fit für das neue Datenschutzrecht!
Kommentare:
Wir freuen uns über Ihre Kommentare, sofern sie auch für andere Leser interessant sind (Erfahrungen, Meinungen, zusätzliche Informationen, etc.)
Wir bitten um Verständnis, dass hier KEINE Rechtsberatung gegeben werden kann, das ist nicht der Sinn des Kommentar-Feldes. Für Rechtsberatungen steht Ihnen unsere Arbeitsrechts-Autorin Dr. Anna Mertinz gerne kostenpflichtig zur Verfügung: Anna.Mertinz@KWR.at
Datenschutzrecht Österreich Neu – ein Update