Jens Winter ist Partner bei CMS Reich-Rohrwig Hainz. Er berät Unternehmen vor allem in Fragen des individuellen und kollektiven Arbeitsrechts, des Datenschutzrechts sowie des Betriebspensionsrechts.
Jens Winter ist Partner bei CMS Reich-Rohrwig Hainz. Er berät Unternehmen vor allem in Fragen des individuellen und kollektiven Arbeitsrechts, des Datenschutzrechts sowie des Betriebspensionsrechts.

Die Datenschutz-Grundverordnung der EU (DSGVO) ist im Anrollen und bringt für Unternehmen und damit auch Arbeitgeber einen Paradigmenwechsel. Am Donnerstag hat im Zuge dessen in Österreich der Nationalrat die Novellierung des Datenschutzgesetzes beschlossen. Bei der Konkretisierung der DSGVO wurden nämlich nationale Spielräume gelassen. Zustimmung kam nur von der Koalition. Die Opposition beklagte vor allem die überstürzte Vorgangsweise.

Ersetzt wird insbesondere die Meldung von Datenanwendungen beim behördlichen Datenverarbeitungsregister. Verantwortliche (bisher "Auftraggeber"), aber auch Auftragsverarbeiter (bislang "Dienstleister") müssen künftig selbst Verfahrensverzeichnisse erstellen, die auf Anfrage der Behörde vorzulegen sind. Weiters haben Verantwortliche bei der Datenverarbeitung künftig - abhängig von Natur, Umfang, Kontext und Risiken und der verfügbaren Technologien und Implementierungskosten - geeignete technische und organisatorische Maßnahmen (etwa Pseudonymisierung) zu ergreifen, damit die Rechte der betroffenen Personen umfassend geschützt werden ("privacy by design/privacy by default").

Dominik Stella ist bei CMS Reich-Rohrwig Hainz als Associate im Bereich Arbeitsrechttätig. Davor arbeitete er als Universitätsassistent am Institut für Arbeits- und Sozialrecht der Universität Wien.

Dominik Stella ist bei CMS Reich-Rohrwig Hainz als Associate im Bereich Arbeitsrechttätig. Davor arbeitete er als Universitätsassistent am Institut für Arbeits- und Sozialrecht der Universität Wien.

Datenschutz-Folgenabschätzung

Neu ist auch, dass Unternehmer bei Verarbeitungsvorgängen, die etwa bei Verwendung neuer Technologien voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen zur Folge haben, eine Pflicht zur Datenschutz-Folgenabschätzung trifft. Bestimmte Unternehmen, insbesondere öffentliche Stellen, werden zudem verpflichtend einen Datenschutzbeauftragten bestellen müssen. Dieser ist bei Erfüllung seiner Aufgaben weisungsfrei.

Berühren Kontrollmaßnahmen die Menschenwürde wie bei digitalen Telefonanlagen, ist eine Betriebsvereinbarung abzuschließen. - © Fotolia
Berühren Kontrollmaßnahmen die Menschenwürde wie bei digitalen Telefonanlagen, ist eine Betriebsvereinbarung abzuschließen. - © Fotolia

Verstößt ein Unternehmen gegen diese Pflichten, sind empfindliche Verwaltungsstrafen vorgesehen. Liegt der Strafrahmen derzeit bei maximal 25.000 Euro, sieht die DSGVO bis zu 20 Millionen Euro oder, falls höher, 4 Prozent des (weltweiten) Konzernumsatzes vor. Unternehmen stehen somit vor zahlreichen Neuerungen, deren Nichtbeachtung oder nicht rechtzeitige Umsetzung im Einzelfall teure Folgen nach sich ziehen können.

Im Nationalrat war eine - zuletzt im Verfassungsausschuss weitgehend überarbeitete - Regierungsvorlage für ein Datenschutz-Anpassungsgesetz 2018 eingebracht worden, die die unmittelbar anwendbare DSGVO in nationales Recht "einbetten" soll. Weite Teile des bisherigen Datenschutzgesetzes 2000 (DSG 2000) und viele darauf beruhende Verordnungen sollen außer Kraft treten. Die Novelle des Datenschutzgesetzes sieht keine materiell eigenständigen Bestimmungen zum Arbeitsrecht respektive ein Beschäftigungsdatenschutzrecht vor. Paragraph 11 hält lediglich fest, dass das Arbeitsverfassungsgesetz (ArbVG), soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO ist und die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse unberührt bleiben. Dieses "Unberührtbleiben" ist nichts Neues. Nach gefestigter Rechtsprechung erfolgte durch das Datenschutzrecht schon bisher kein Eingriff in die Mitwirkungsrechte der Belegschaft, das heißt, die Befugnisse des Betriebsrats nach dem ArbVG wurden durch das DSG 2000 nicht beschnitten.