Die Datenkategorie „Strafregisterbescheinigung“ und die Datenschutzgrundverordnung

Gemäß Art 10 DSGVO handelt es sich bei einer Strafregisterbescheinigung oder Ähnlichem um personenbezogene Daten, die nur unter besonderen Voraussetzungen vom Arbeitgeber verarbeitet werden dürfen.

Art 10 DSGVO spricht insbes. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.

Für derartige Datenkategorien, deren Verarbeitung ein erhebliches Risiko für die Grundrechte und Grundfreiheiten der Betroffenen darstellen, gilt es erhöhte Sorgfaltspflichten einzuhalten.

Art 10 DSGVO enthält eine sog. Öffnungsklausel, die es den Mitgliedstaaten ermöglicht, eine eigene nationale gesetzliche Regelung zu treffen. Österreich hat diese Möglichkeit genutzt.  

Die Regelung in Österreich

Österreich hat für die Verarbeitung dieser Daten ein nationales Gesetz verabschiedet und somit die Öffnungsklausel des Art 10 DSGVO genutzt.

Im § 4 Abs 3 DSG ist (seit 25.05.2018) Folgendes zu finden:

„Die Verarbeitung von personenbezogenen Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen ist unter Einhaltung der Vorgaben der DSGVO zulässig, wenn

1.     eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung solcher Daten besteht oder

2.     sich sonst die Zulässigkeit der Verarbeitung dieser Daten aus gesetzlichen Sorgfaltspflichten ergibt oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich ist, und die Art und Weise, in der die Datenverarbeitung vorgenommen wird, die Wahrung der Interessen der betroffenen Person nach der DSGVO und diesem Bundesgesetz gewährleistet.“

Dieser Paragraph betrifft sowohl öffentliche, als auch private Einrichtungen. Im öffentlichen Bereich findet man eine gesetzliche Verpflichtung zum Beispiel im Strafregistergesetz.

§ 4 Abs 3 Ziffer 2 DSG richtet sich vor allem an private Unternehmen und Einrichtungen. Aufgrund gesetzlicher Sorgfaltspflichten dürfen zum Beispiel Rechtsanwälte derartige personenbezogene Daten verarbeiten, da dies in den Berufsregeln enthalten ist.

Verarbeitung zur Wahrung von berechtigten Interessen

Zur Wahrung der Interessen der Verantwortlichen oder eines Dritten können Unternehmen Daten iSd Art 10 DSGVO – somit auch Strafregisterauskünfte von Bewerbern oder Mitarbeitern – verarbeiten.

Es muss daher ein besonderes Interesse des Arbeitgebers vorhanden sein, das die Verarbeitung dieser personenbezogenen Daten rechtfertigt („berechtigtes Interesse iSd Art 6 Abs 1 lit f DSGVO iVm § 4 Abs 3 DSG“).

Dem Arbeitgeber wird ermöglicht, die Vertrauenswürdigkeit seiner zukünftigen Beschäftigten zu prüfen, wenn diese z.B. im Finanzbereich (zB nur bei der Verwaltung von Kunden- oder Lieferantegeldern), im Bewachungssektor und in der Forschung (Geheimhaltung) tätig sind oder bei denen die Tätigkeit derart gefahrengeneigt ist, dass eine Überprüfung notwendig erscheint

In diesen Bereichen, von denen es noch einige mehr gibt, liegt ein berechtigtes Interesse vor, die Vertrauenswürdigkeit von Bewerbern und MitarbeiterInnen zu überprüfen, um sich zum Beispiel vor dem potenziellen Verlust von Forschungsvorsprüngen oder auch vor Veruntreuung zu schützen.

Art und Weise der Verarbeitung dieser Daten

Entscheidet sich der Arbeitgeber, diese personenbezogenen Daten zu verarbeiten, muss er sich an die Regelungen der DSGVO halten, und die Interessen der Betroffenen (Bewerber, MitarbeiterInnen) wahren, und auch den Informationspflichten nach Art 13 DSGVO nachkommen. Die Daten müssen vertraulich behandelt werden und sollten nur einem möglichst kleinen Personenkreis im Unternehmen Verfügung gestellt werden, der im Rahmen der Personalverwaltung und des Entscheidungsprozesses notwendigerweise diese besonderen Daten einsehen muss. Die Löschung der Daten muss erfolgen, wenn der Zweck erfüllt ist. Im Rahmen der technischen und organisatorischen Maßnahmen erscheint eine besondere Sorgfalt bei der Aufbewahrung mit besonderem Zugangsschutz und besonderer Protokollierung der Zugriffe notwendig.

Eine Möglichkeit wäre zB dass das Unternehmen diese Daten nur zur Einsicht übernimmt, und dokumentiert, dass die Strafregisterbescheinigung eingesehen wurde, und retourniert wurde und daher diese personenbezogenen Daten im Unternehmen nicht zur Gänze verarbeitet.

•  Aufnahme der Strafregisterdaten zum definierten Zweck ins Verzeichnis von Verarbeitungstätigkeiten
• Festlegung der notwendigen Löschfrist
• Information gem. Art 13 DSGVO an die Bewerber und MitarbeiterInnen
• Darstellung des berechtigten Interesses in der Datenschutzinformation
• Hinweis auf das Bestehen eines Widerspruchsrechtes (das bei Verarbeitung von personenbezogenen Daten aufgrund des berechtigtem Interesses gem. Art 6 Abs 1 lit f DSGVO immer gegeben ist)
•  besondere TOMs für diese Verarbeitungstätigkeit

Michael Stephan Schweiger, 
zertifizierter Datenschutzbeauftragter