Aktuelles zum Datenschutzrecht


 

Beispiel für Datenverarbeitung im Beschäftigungskontext (03.07.2017):

Wer kennt das nicht?

Geburtstagslisten auf dem Schwarzen Brett im Buffet

Hochzeitsgratulation in der Betriebszeitung

Foto des Neugeborenen der Kollegin im Intranet

 

 

Nahezu in jeder Organisation sind Geburtstagslisten beliebt; oft gibt es mehrere Version dieser netten Möglichkeit, über die persönlichen Verhältnisse der anderen MitarbeiterInnen informiert zu werden. Auch die „Information“ – z.B. durch den Betriebsrat in periodisch erscheinenden Zeitungen oder Newslettern – darüber, dass ein Mitarbeiter oder eine Mitarbeiterin geheiratet, ein Baby bekommen hat oder über andere Ereignisse im Privatleben ist in vielen Organisationen gang und gäbe.   

 

Manchmal werden die Listen oder Informationen am Schwarzen Brett ausgehängt oder im Intranet veröffentlicht, um allen die Kenntnisnahme zu ermöglichen. Es kommt auch vor, dass die Listen zentral von der Personalabteilung oder vom Sekretariat ohne Wissen der betroffenen MitarbeiterInnen erstellt werden.

 

 

 

Erhebung und Verwendung von personenbezogenen MitarbeiterInnendaten

 

Aus datenschutzrechtlicher Sicht stellt die Erhebung von personenbezogenen Daten und Verwendung dieser „Geburtstagslisten“ oder Informationen über andere persönliche Verhältnisse eine Verwendung von Daten von MitarbeiterInnen dar.

 

 

 

Datenübermittlung vom Verantwortlichen an andere Empfänger

 

Werden diese Listen so verwendet, z.B. ausgehängt, dass diese auch von Personen außerhalb der eigenen Organisation gesehen werden können, dann kommt es zu einer Datenübermittlung und zwar sogar an einen unbestimmten Personenkreis.

 

 

 

Anwendung der gesetzlichen Reglungen bei der Beurteilung der Zulässigkeit

 

Zweck der Datenverarbeitung

 

Der Zweck der Geburtstagsliste oder einer sonstigen derartigen Liste ist, dass die MitarbeiterInnen im Unternehmen über den Geburtstag und andere private Ereignisse ihrer Kolleginnen und Kollegen informiert werden. Es stellt sich daher die Frage, ob dies ein legitimer Zweck bei der Verarbeitung von personenbezogenen Daten im Beschäftigungskontext sein kann.

 

ErwG 155 DSGVO sowie Art 88 DSGVO beziehen sich auf Datenverarbeitung im Beschäftigungskontext  beschreiben u.a. die Zwecke der Verarbeitung von Daten im Beschäftigungskontext u.a. wie folgt:

 

·         Einstellung & Erfüllung des Arbeitsvertrags

 

·         Erfüllung von durch Rechtsvorschriften oder Kollektivvereinbarungen festgelegten Pflichten

 

·         Managements, der Planung und der Organisation der Arbeit

 

·         Gleichheit und Diversität am Arbeitsplatz

 

·         Gesundheit und Sicherheit am Arbeitsplatz

 

·         Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen

 

·         Beendigung des Beschäftigungsverhältnisses.

 

In diese Kategorien der von der DSGVO vorgesehenen Zwecke der Datenverarbeitung im Beschäftigungskontext wird eine „Geburtstagsliste“ oder sonstige Information über private Ereignisse der MitarbeiterInnen wohl nicht fallen, sodass diese Listen wohl nicht der notwendigen angemessenen Zweckdefinition iSd DSGVO entsprechen werden, und derartige Listen keine Datenverarbeitung von Beschäftigungsdaten nach Treu und Glauben darstellen.

 

 

 

Grundlage für die Rechtmäßigkeit iSd Art. 6 (1) lit a bis f DSGVO

 

Wenn man davon ausgeht, dass die Verwendung derartiger Geburtstagslisten in die angemessene Datenverarbeitung aufgrund eines möglichen notwendigen Zusammenhangs mit dem Arbeitsverhältnis fallen könnte, ist (überdies) eine Grundlage für die Rechtmäßigkeit für die Verarbeitung zu finden, wobei hier die Möglichkeiten des Art 6 (1) lit a bis f DSGVO genutzt werden könnten.  

 

Einen Möglichkeit für die Rechtmäßigkeit könnte die Einwilligung der MitarbeiterInnen gem. Art. 6 (1) lit a DSGVO in die Verwendung der Geburtstagsliste bieten. In diesem Zusammenhang ist darauf hinzuweisen, dass auch die Art. 29 Datenschutzgruppe davon ausgeht, dass die Freiwilligkeit, die für die Einwilligung gefordert wird (siehe ErwG 32, 42, 43 und Art. 4 Z 11, Art. 7 (4) DSGVO) im Arbeitsverhältnis nur sehr schwer erzielt werden kann.   

 

Die anderen Gründe, z.B. Vertragserfüllung, lebenswichtige Interessen der betroffenen Person, Erfüllung einer Rechtspflicht, Erfüllung einer Aufgabe im öffentlichen Interesse oder überwiegend berechtigtes Interesse des Verantwortlichen oder eines Dritten werden für die Realisierung des konkreten Zweckes dieser Listen nicht in Frage kommen.

 

Das Bayerische Landesamt für Datenschutzaufsicht beurteilte derartige Geburtstagslisten (siehe auch 2. Tätigkeitsbericht im Jahr 2014) als unzulässig.

 

 

 

Wie könnte es dennoch gehen, diese Listen zu verwenden?

 

Freiwillige Einwilligung – wie kann diese Vorgabe umgesetzt werden?

 

Ein „workaround“ wäre wohl, dass von der Organisation eine nicht vorausgefüllte Geburtstagsliste oder Zustimmungserklärung zur Bekanntgabe von privaten Ereignissen mit beispielhafter Anführung der Ereignisse (Hochzeit, Geburt eines Kindes …) zur Verfügung gestellt wird. Diese Information bei der Datenerhebung müsste mit einem Hinweis auf die Freiwilligkeit der Zustimmung versehen werden, und es sollte sichergestellt werden, dass die MitarbeiterInnen frei und ohne Sanktionen befürchten zu müssen, entscheiden können, ob sie möchten, dass die konkreten personenbezogenenn Daten im Unternehmen für den konkreten Zweck verwendet (und insbes. anderen MitarbeiterInnen zugänglich gemacht) werden.

 

Die MitarbeiterInnen, die zustimmen möchten, dass ihre Daten verwendet werden, können die Daten eintragen. Es wäre damit sichergestellt, dass eine freiwillige Einwilligung in die Verwendung des personenbezogenen Datums „Geburtstag“ oder der anderen Ereignisse im Privatleben der MitarbeiterInnen durch die natürlichen Personen erfolgt.

 

 

 

Informierte Einwilligung – wie kann das erfolgen?

 

Den MitarbeiterInnen muss auch die Möglichkeit gegeben werden, dass sie sich wieder von der Liste entfernen (lassen) (Widerrufsmöglichkeit) und sie müssen iSd Art. 13 DSGVO u.a. auch über die konkrete Verwendung der Daten (Zweck) informiert werden, und zwar bei der Datenerhebung.

 

Art. 13 DSGVO schreibt vor, dass bei der Erhebung der Daten (dh bei der Eintragung in die „Geburtstagsliste“ oder „Liste privater Ereignisse“ die betroffenen Personen über folgende Sachverhalte zu informieren sind, sofern sie über diese Informationen nicht schon verfügen (Art 13 (4) DSGVO), damit die betroffene Person eine informierte Einwilligung erteilen kann:

 

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personen­bezogenen Daten;
  5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  7. wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  8. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  9. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

 

 

 

Wenn Sie noch Fragen zu Verwendung derartiger „Geburtstagslisten“ oder „Listen über Jubiläen und private Ereignisse“ haben, kontaktieren Sie uns; wir beraten Sie gerne bei Fragen des Datenschutz- und Informationstechnologierechts.

 

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.



unzulässige Videoüberwachung: € 1.000,-- Schadenersatz pro Person?

 

 In einer Entscheidung des Europäischen Gerichtshofes für Menschenrechte (EGMR) - rechts am Bild zu sehen - vom 28.11.2017 wurde zwei Universitätsprofessoren (als Angestellte der Universität) je EUR 1.000,-- an (immateriellem) Schadenersatz für eine unzulässige Videoaufnahme zugesprochen.

 

 

 Die Universität von Montenegro hat (bereits am Frühjahr 2011) u.a. in sieben Amphitheatern (Auditorien) und vor dem Rektorzimmer Videoüberwachungsanlagen installiert und auch die Lehrenden darüber informiert. Im März 2011 haben sich zwei Professoren bei der zuständigen Datenschutzbehörde (Agencija za zaštitu ličnih podataka) beschwert. Sie brachten vor, dass die Räume außerhalb der Vorlesungszeiten zugesperrt seien, und es keine Sicherheitsbedenken gäbe, sodass die Videoüberwachung nicht das gelindeste Mittel sei. Sie forderten die Entfernung der Kameras und die Löschung der Daten.

 

In den Verfahren im Montenegro (bei der Datenschutzbehörde und auch in zivilgerichtlichen Verfahren) hatten die beiden Professoren keinen Erfolg.

 

Sie wendeten sich an den Europäischen Gerichtshof für Menschenrechte wegen der Verletzung des Art. 8. der EMRK, wobei sie das Argument der Verletzung desselben auch bereits – ohne Erfolg - im Zivilverfahren in Montenegro geltend gemacht hatten.

 

Artikel 8 – Recht auf Achtung des Privat- und Familienlebens

 

(1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.

(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.

 

Die beiden Professoren verlangten auch je EUR 1.000,-- an Schadenersatz (immaterieller Schaden), da Art 48 des montenegrinischen Datenschutzgesetzes den Ersatz des Schadens bei der Verletzung der datenschutzrechtlichen Bestimmungen nach den generellen Regelungen des Schadenersatzrechtes vorsieht.

 

In einer Gesamtschau (insbes. §§ 151, 206 und 207) sieht das Obligationenrecht in Montenegro u.a. vor, dass jedermann, der Angst, physische Schmerz oder seelische Schmerzen als Folge der Beeinträchtigung seines/ihres Ansehen oder der Verletzung ihrer Integrität, Freiheit oder von Persönlichkeitsrechten berechtigt ist, eine Unterlassung zu fordern, finanziellen Ersatz oder auch andere Formen von Wiedergutmachung von Schmerzensgeld zu fordern.

 

Der Gerichtshof sprach den beiden Professoren, die in ihren Persönlichkeits- bzw. Freiheitsrechten durch die unzulässige Videoüberwachung verletzt wurden, je EUR 1.000,-- an Schmerzensgeld bzw. Ersatz für die erlittene Beeinträchtigung zu.

 

Die Datenschutzgrundverordnung sieht in Art 82 Abs 1 DSGVO ausdrücklich den Ersatz des immateriellen Schadens vor:

 

Artikel 82

Haftung und Recht auf Schadenersatz

(1)   Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

 

ErwG 85 bezieht sich u.a. auch auf den Schaden, der durch eine Datenschutzverletzung eintreten kann:

 

Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. ()

 

 

Der ErwG 146 bezieht sich explizit auf die Bestimmung zu Haftung und Schadenersatz, und es ist auch ein Hinweis auf die Verschiebung der Beweislast darin enthalten. Der Verantwortliche oder Auftragsverarbeiter hat zu beweisen hat, dass ihn an der Verletzung der Datenschutzvorschriften kein Verschulden trifft:

 

Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. () Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. ()

 

Das (neue) österreichische Datenschutzgesetz, welches am 25.05.2018 gleichzeitig mit der DSGVO in Kraft tritt, beinhaltet ebenfalls eine Bestimmung zum Schadenersatz unter explizitem Hinweis auf den Ersatz des immateriellen Schadens:

 

Haftung und Recht auf Schadenersatz

§ 29. (1) Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art. 82 DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.

(2) Für Klagen auf Schadenersatz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.

 

In beiden Normen ist ein ausdrücklicher Hinweis auf den immateriellen Schaden enthalten. Es ist daher das „Schmerzensgeld“ oder die Beeinträchtigung, die durch eine Verletzung des Datenschutzes für die betroffenen Personen (natürliche Personen im Geltungsbereich der DSGVO bzw. auch juristischer Personen, die im Geltungsbereich des DSG bleiben, wenn es nicht mehr vor Inkrafttreten geändert wird) entsteht, jedenfalls (ab 25.05.2018) zu ersetzen.

 

Der EGMR geht offensichtlich davon aus, dass schon bei der unzulässigen Videoüberwachung durch einen Arbeitgeber (in begrenztem Umfang, nämlich im Hörsaal, bei einer Aufbewahrung von einem Jahr – ohne Offenlegung an dritte Personen – eine Beeinträchtigung des Rechtes auf Geheimhaltung der personenbezogenen Daten (Verlust der Vertraulichkeit) gegeben ist, und dies einen Ersatzbetrag von EUR 1.000,-- rechtfertigt.

 

Dieser Betrag kann daher ein Ansatzpunkt sein, wenn über die Frage der Höhe des eingetretenen immateriellen Schadens diskutiert wird.

VfGH berät über "hohe" Verwaltungsstrafen. Auch nach DSG/DSGVO werden die hohen Geldbußen von der DSB verhängt

 

Das Bundesverwaltungsgericht (BVwG) hat im Jahr 2016 einen Antrag an den Verfassungsgerichtshof (VfGH) gerichtet, da es Bedenken hegt, dass "hohe" Verwaltungsstrafen nicht von einer Verwaltungsbehörde verhängt werden dürfen.

 

"Hohe" Strafen haben in Österreich Gerichte zu verhängen (siehe insbes. Art 91 B-VG). 

 

Der Verfassungsgerichtshof wird vermutlich im Dezember 2017 darüber entscheiden

 

 

mehr lesen