Direkt zum Inhalt

Datenschutz neu – was müssen Arbeitgeber beachten?

15.02.2018

Unternehmen müssen bei der Verwendung von personenbezogenen Daten bereits jetzt viele Auflagen berücksichtigen. Durch die EU-Datenschutz-Grundverordnung („DSGVO“) wird diese Situation noch verschärft. Ein Gastkommentar von Mag. Philip Verdino, LL.M., Partner der SOT Libertas Intercount Steuerberatung und Wirtschaftsprüfung Gesellschaft m.b.H.

Nach derzeitiger Rechtslage muss grundsätzlich jede Datenanwendung bei der Datenschutzbehörde gemeldet werden. Die DSGVO sieht hingegen das Führen eines Verfahrensverzeichnisses vor, in welchem sämtliche Verarbeitungstätigkeiten unter Angabe von Mindestinhalten (vergleichbar den DVR-Meldungen derzeit) anzuführen sind. Neu ist beispielsweise die Angabe der Speicherdauer, die von der Art der Daten und dem konkreten Verwendungszweck abhängt und mit gesetzlichen Verjährungs-, Aufbewahrungs- und sonstigen Fristen begründet werden kann. So verjähren Entgeltforderungen grundsätzlich nach drei Jahren, der Anspruch auf Ausstellung eines Dienstzeugnisses verjährt hingegen erst nach Ablauf von 30 Jahren. Wie lange dürfen dann Daten von Bewerbern oder auch ehemaligen Mitarbeitern aufbewahrt werden? Sobald deren Verarbeitungszweck erfüllt ist, müssen alle personenbezogenen Daten gelöscht werden. Zugleich hat die Datenverarbeitung an sich für die betroffene Person transparent, also nachvollziehbar, zu sein. Dabei stehen den betroffenen Bewerbern oder Mitarbeitern umfassende Auskunftsrechte, das Recht auf Berichtigung, auf Löschung, auf „Vergessenwerden“ ihrer Daten, das Recht auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit, eine Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung sowie das Widerspruchsrecht, zu. 

Erleichterungen gibt es für Unternehmen, die weniger als 250 Arbeitnehmer beschäftigen. Diese müssen nicht verpflichtend ein Verfahrensverzeichnis führen, es sei denn, bei der vorgenommen Verarbeitung besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es werden besondere Datenkategorien verarbeitet. Bisher verpflichtete das österreichische Datenschutzgesetz Unternehmen, Betroffene umgehend zu informieren, wenn ein Datenmissbrauch erfolgt ist und diesen dadurch ein Schaden droht. Nach der DSGVO muss zusätzlich binnen maximal 72 Stunden an die zuständige Aufsichtsbehörde Meldung erstattet werden. Es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen.

Die Benennung eines Datenschutzbeauftragten erfolgte bislang für die Mehrzahl der Unternehmen freiwillig. Nach der DSGVO ist dies nun verpflichtend, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder in der umfangreichen Verarbeitung besonderer Kategorien von sensiblen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten. Der Datenschutzbeauftragte hat unter anderem die Verantwortlichen und Beschäftigten über ihre Pflichten zu beraten, die Einhaltung der DSGVO zu überwachen, bei der Datenschutz-Folgenabschätzung zu beraten und ihre Durchführung zu überwachen, sowie die Zusammenarbeit mit der Aufsichtsbehörde zu koordinieren. Er darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Weiters darf er vom Arbeitgeber wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Allerdings ist darin kein genereller Kündigungsschutz zu sehen.

Das derzeitige Datenschutzgesetz Österreich sieht keine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung vor. Hier bringt die DSGVO für das Datenschutzrecht etwas Neues: Bei bestimmten Verarbeitungsarten, insbesondere bei Verwendung neuer Technologien, bei denen ein hohes Risiko besteht, in die Rechte natürlicher Personen einzugreifen (beispielsweise Profiling), ist eine Datenschutz-Folgenabschätzung durchzuführen.

Das EU Datenschutzrecht dient nur dem Schutz personenbezogener Daten natürlicher Personen. Österreich muss daher bis 18. Juni 2018 eine weitere Richtlinie der EU in nationales Recht übernehmen, die auch Geschäfts- und Betriebsgeheimnisse (diese sind meist Gesellschaften zuzuordnen) schützt, damit diese Sicherheitslücke geschlossen wird.

 

Werbung
Werbung