Judith Morgenstern ist Expertin für Arbeitsrecht in der Kanzlei MOSATI Rechtsanwälte, www.mosati.at. - © Privat
Judith Morgenstern ist Expertin für Arbeitsrecht in der Kanzlei MOSATI Rechtsanwälte, www.mosati.at. - © Privat

Das Datenschutzrecht wird mit der neuen EU-Datenschutz-Verordnung einen wesentlich höheren Stellenwert in der betrieblichen Praxis bekommen müssen. Dies, da nun Geldbußen von bis zu 4 Prozent des weltweiten Jahresumsatzes des Betriebes des vorangegangenen Geschäftsjahres vorgesehen sind.

Nach dem Willen des europäischen Gesetzgebers muss die zuständige Aufsichtsbehörde sicherstellen, dass durch die Verhängung der Geldstrafen Datenschutzverstöße in jedem Einzelfall "wirksam, verhältnismäßig und abschreckend sind". Völlig neu ist die vorgesehene Regelung, dass zukünftig alle Personen (zum Beispiel Kunden und Mitarbeiter), die sich durch ein Unternehmen in ihren Datenschutzrechten verletzt fühlen, nicht mehr den tatsächlich eingetretenen Schaden nachweisen müssen, sondern auch einen Anspruch auf Ersatz des "immateriellen" Schadens haben. Dies ist nach derzeit geltender österreichischer Rechtslage selten, so beispielsweise im Reiserecht für "entgangene Urlaubsfreuden".

Zukünftig besteht keine Pflicht mehr, Datenanwendungen zu melden beziehungsweise genehmigen zu lassen. Diese zukünftige fehlende Registrierungspflicht in einem öffentlichen Register entbindet die Unternehmen jedoch nicht von der Pflicht, ein Verzeichnis aller im Unternehmen verarbeiteten Daten zu führen. Dieses Verzeichnis hat den Zweck der Datenverarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger der Daten, allfällige Übermittlungen, Fristen für die Löschung sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit zu enthalten. Diese Verzeichnispflicht trifft grundsätzlich nur Unternehmen ab 250 Mitarbeitern. Werden auch "sensible" Daten erfasst (z.B. Religionsbekenntnis), ist das Verzeichnis unabhängig von der Mitarbeiteranzahl zu erstellen. Wird ein derartiges Verzeichnis nicht geführt, stellt dies eine verwaltungsstrafbare Datenschutzverletzung dar und ist mit einer Geldbuße von bis zu 2Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zu bestrafen. Der bereits bisher häufig anzutreffende Irrtum, dass bei der Verwendung von "Standard-Software" keine Melde- bzw. Verzeichnispflicht besteht, wird nun mit erheblichen Geldstrafen sanktioniert.

Für Arbeitnehmerdaten können durch Gesetz, Kollektivvertrag oder Betriebsvereinbarungen Spezialvorschriften für bestimmte Zwecke (z.B. Einstellung von Arbeitnehmern, Planung und Organisation der Arbeit) vorgesehen werden. Hier bleibt abzuwarten, ob und wie diese Umsetzung konkret erfolgen wird. Der in der Datenschutz-Grundverordnung vorgesehene Mindeststandard wird aber jedenfalls nicht unterschritten werden dürfen.

Die Verordnung steht unmittelbar vor der Beschlussfassung auf europäischer Ebene und wird dann zwei Jahre später in den Mitgliedsstaaten unmittelbar anwendbar sein. Angesichts der in der Praxis schwer zu koordinierenden Zusammenarbeit zwischen der IT-Abteilung, Rechtsabteilung und/oder Personalabteilung insbesondere zur Erstellung des vorgeschriebenen Verzeichnisses sollten sich Unternehmen umgehend mit der Umsetzung beschäftigen, um "compliant" zu sein und Strafen zu vermeiden.