Im Datenschutzgesetz-Beitrag „Datenschutz Grundverordnung – Know how für HR“ haben wir Sie über die Datenschutz-Grundverordnung (DSG-VO) informiert, die ab 25mai2018 in allen Mitgliedstaaten anwendbar ist. Die DSG-VO sieht sogenannte „Öffnungsklauseln“ vor, die den einzelnen Mitgliedstaaten Konkretisierungen und Spezifizierungen ermöglichen. Von einigen dieser Öffnungsklauseln hat der österreichische Gesetzgeber nun Gebrauch gemacht. Zudem mussten Anpassungen der Terminologie des Datenschutzgesetzes Österreich gemacht werden. Ergebnis ist das Datenschutz Anpassungsgesetz 2018, welches ebenfalls am 25mai2018 in Kraft tritt. Lesen Sie sich nachstehend über einige Neuerungen, die dieses Datenschutzrecht Österreich für die Praxis bringt:
Datenschutzrecht Österreich | Neues Gesetz in altem Mantel?
Am 29.6.2017 beschloss der Nationalrat das österreichische Datenschutzgesetz-Anpassungsgesetz. Mangels Erreichung einer Verfassungsmehrheit wurde anstatt der ursprünglich geplanten Erlassung eines komplett neuen Datenschutzgesetzes Österreich „nur“ das derzeit geltende Datenschutzgesetz (DSG) angepasst.
In Anlehnung an die DSG-VO wurden zahlreiche Begriffe geändert. Beispielsweise ist im neuen Datenschutzrecht nicht mehr von „Auftraggeber“, sondern von „Verantwortlicher“ die Rede. Aus dem „Dienstleister“ wird der „Auftragsverarbeiter“.
Was ist inhaltlich neu? Was wird sich ändern im Datenschutzrecht Österreich? Nachstehend einige Einblicke:
Datenschutz Anpassungsgesetz 2018 | Grundrecht auf Datenschutz „light“
Das Grundrecht auf Datenschutz bleibt bestehen, und zwar entgegen der DSG-VO auch für juristische Personen. Das Datenschutzgesetz Österreich divergiert hier von der DSG-VO. Es ist daher damit zu rechnen, dass das Grundrecht auf Datenschutz für juristische Personen ab Mai 2018 in Österreich eng ausgelegt wird.
Datengeheimnis
Das bisher in § 15 DSG 2000 geregelte Datengeheimnis wird in § 6 DSG neu übernommen. Dies bedeutet unter anderem, dass Mitarbeiter personenbezogene Daten nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln dürfen. Der Verantwortliche und der Auftragsverarbeiter müssen ihre Mitarbeiter dazu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten.
Tipp: Eine dem neuen DSG entsprechende Verpflichtung zur Einhaltung des Datengeheimnisses sollte standardmäßig in den Dienstvertrag aufgenommen werden.
Verfahrensverzeichnis und Folgenabschätzung
Nach der neuen Rechtslage wird es kein Datenverarbeitungsregister (DVR) mehr geben. Stattdessen müssen Unternehmen selbst ein sogenanntes Verfahrensverzeichnis führen, in welchem sämtliche Verarbeitungstätigkeiten anzuführen sind. Für Unternehmen, die weniger als 250 Arbeitnehmer beschäftigen, greift unter Umständen eine Ausnahme.
Tipp: Überprüfen Sie, ob Ihr Unternehmen Verfahrensverzeichnisse führen muss oder von einer Ausnahme Gebrauch machen kann! Falls Verfahrensverzeichnisse zu führen sind, starten Sie mit deren Ausarbeitung!
Ab Mai 2018 wird es auch die derzeit vorgesehene Vorabprüfung durch die Datenschutzbehörde nicht mehr geben. Stattdessen müssen Unternehmen selbst eine Datenschutz-Folgenabschätzung durchführen, wenn die Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das Datenschutzgesetz Österreich regelt nunmehr, dass die Datenschutzbehörde Listen in Form von Verordnungen erlässt. Darin wird festgelegt, für welche Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung durchzuführen ist und für welche nicht.
Tipp: Überprüfen Sie, ob und für welche Datenverarbeitung Ihr Unternehmen eine Datenschutz-Folgenabschätzung durchführen muss und bereiten Sie diese rechtzeitig vor!
Arbeitnehmerdatenverarbeitung
Das Datenschutzrecht Österreich wird betreffend die Verarbeitung personenbezogener Daten im Beschäftigungskontext einen Verweis auf das Arbeitsverfassungsgesetz (ArbVG) enthalten. Die datenschutzrechtlichen Bestimmungen betreffend Mitarbeiterdaten sollen demnach nicht im DSG, sondern im ArbVG enthalten sein. Im Vergleich zum Ministerialentwurf wurde bei dem Verweis auf das ArbVG eine Einschränkung vorgenommen, was dazu führen wird, dass – wie bisher – zusätzlich zum DSG die datenschutzrechtlichen Bestimmungen des ArbVG berücksichtigt werden müssen. Klargestellt wird im DSG auch, dass die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse durch das Datenschutzrecht unberührt bleiben.
Tipp: Der Betriebsrat hat verschiedene Rechte, wenn es um die Verarbeitung von Arbeitnehmerdaten geht. Lesen Sie hierzu im Überblick „Datenschutz Österreich | Schutz von Arbeitnehmerdaten“.
Die DSG-VO legt fest, dass die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln nur unter behördlicher Aufsicht vorgenommen werden darf. Im neuen Datenschutzgesetz Österreich wird unter Bezug auf eine Öffnungsklausel vorgesehen, dass die Verarbeitung von strafrechtlich relevanten personenbezogenen Daten unter Einhaltung der Vorgaben der DSG-VO zulässig ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. Dies wird Auswirkungen für Videoüberwachung, Whistleblowing-Hotlines oder die Unternehmenspraxis, Strafregisterauszüge zu verlangen, haben.
Zustimmungserklärungen
Bisher erteilte Zustimmungen können weiter verwendet werden, sofern sie den Vorgaben der DSG-VO entsprechen. Das bedeutet, dass bereits vor 25.5.2018 erteilte Zustimmungserklärungen, die den Anforderungen des DSG 2000 entsprachen, voraussichtlich auch nach der neuen Rechtslage gültig sein werden. Da aber auf die Vorgaben der DSG-VO verwiesen wird, besteht keine absolute Rechtssicherheit. Es muss stets im Einzelfall geprüft werden, ob bereits erteilte Zustimmungen tatsächlich den Vorgaben der DSG-VO entsprechen. Die Altersgrenze für die Einwilligung in Angebote von Diensten der Informationsgesellschaft, die einem Kind direkt gemacht werden (zB Apps), wird durch das neue Datenschutzrecht auf 14 Jahre gesenkt (die DSG-VO sieht als Altersgrenze die Vollendung des 16. Lebensjahres vor).
Tipp: Überprüfen Sie, ob Sie von Mitarbeitern, Lieferanten, Kunden und Geschäftspartnern wirksame Zustimmungserklärungen zu den Datenverarbeitungen haben.
Videoüberwachung
Derzeit sieht das DSG Sonderregelungen zu Videoüberwachung vor. Diese Regelungen werden angepasst und sind nach der neuen Rechtslage im Abschnitt über die Bildverarbeitung enthalten.
Nach der neuen Bestimmung sollen auch bloße Aufzeichnungen erfasst sein, die zwar ein bestimmtes Objekt oder eine bestimmte Person darstellen, aber nicht auf eine „Überwachung“ abzielen. Bildaufnahmen sind nach dem Datenschutzrecht neu nur unter engen Voraussetzungen zulässig, etwa wenn sie im lebenswichtigen Interesse einer Person erforderlich sind, wenn die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.
Datenschutzbesetz: Geldbußen
Die DSG-VO sieht hohe Geldbußen bei Verstößen gegen die DSG-VO vor, nämlich bis zu EUR 20.000.000,– oder bis zur 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Das Datenschutzgesetz Österreich sieht Verwaltungsstrafen von bis zu EUR 50.000,– vor.
Das Datenschutz Österreich legt Bedingungen für die Verhängung von Geldbußen fest:
Geldbußen kann man gegen eine juristische Person verhängen, wenn eine natürliche Person in einer Führungsposition Verstöße verursacht. Darüber hinaus können juristische Personen wegen Verstößen gegen Bestimmungen der DSG-VO und des DSG verantwortlich gemacht werden. Und zwar, wenn mangelnde Überwachung oder Kontrolle durch eine Person in Führungsposition die Begehung dieser Verstöße ermöglicht hat. Auch die Bestrafung von verantwortlichen Beauftragten gemäß § 9 Verwaltungsstrafgesetz (VStG) sieht das DSG neu vor. Wobei verantwortliche Beauftragte nicht zu bestrafen sind, wenn für denselben Verstoß eine Geldbuße gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.
Zwischenfazit
Nachdem nun auch das nationale Datenschutz Anpassungsgesetz beschlossen ist, ist es höchste Zeit, die erforderlichen Schritte zu setzen, um ab Mai 2018 mit der neuen Rechtslage „compliant“ zu sein.
Abgesehen von den hier erwähnten neuen nationalen Änderungen, betrifft dies insbesondere die Verpflichtung zur Bestellung eines Datenschutzbeauftragten, das Treffen von Vorkehrungen für den Fall von Datenmissbrauch und von Maßnahmen zur Wahrung von Betroffenenrechten sowie die Prüfung der Konformität von Verträgen mit der DSG-VO und dem DSG.
.
Kommentare:
[Kommentare zum Arbeitsrechts-Thema Datenschutzrecht Österreich, Datenschutz Anpassungsgesetz 2018]:
Wir freuen uns über Ihre Kommentare, sofern sie auch für andere Leser interessant sind (Erfahrungen, Meinungen, zusätzliche Informationen, etc.)
Wir bitten um Verständnis, dass die Arbeitsrechts-Autorin hier KEINE Rechtsberatung gibt, das ist nicht der Sinn des Kommentar-Feldes. Für Rechtsberatungen steht Ihnen unsere Arbeitsrechts-Autorin Dr. Anna Mertinz gerne kostenpflichtig zur Verfügung: Anna.Mertinz@KWR.at, www.KWR.at
Datenschutzrecht Österreich Neu ist da – Datenschutz Anpassungsgesetz 2018 beschlossen
