12. Dezember 2017 · HR · von

Datenschutz-Grundverordnung: Das müssen Arbeitgeber wissen

Datenschutz-Grundverordnung  ein sperriges Wort für etwas, das im Mai 2018 auf Unternehmen zukommt. Von der Initiativbewerbung bis zum Umgang mit Bewerberdaten: Was ändert sich mit der neuen DS-GVO und worauf müssen Arbeitgeber achten? Inklusive Checkliste zur ersten Orientierung.

Die neue Datenschutz-Grundverordnung kommt

Die neue Datenschutz-Grundverordnung naht mit großen Schritten ganz genau: Am 25. Mai 2018 tritt sie in Kraft. Wer sich noch nicht damit auseinandergesetzt hat, sollte das als Arbeitgeber schnell tun. Wir haben bei Rechtsanwalt Peter Schöppl nachgefragt: Was kommt auf Unternehmen zu und welche Schritte werden notwendig?

Welches Ziel hat die Einführung im Mai 2018, kurz: Wozu dient die neue Datenschutz-Grundverordnung überhaupt?

Schöppl: Ziel der Datenschutz-Grundverordnung ist eine Vereinheitlichung des Rechtsschutzes zugunsten der betroffenen Personen in Europa. Die Verordnung dient dem Schutze der natürlichen Personen bei der Verarbeitung von personenbezogenen Daten und dem freien Datenverkehr. Dieses Ziel wird dadurch erreicht, dass die bisherige Richtlinie aus dem Jahr 1995 durch eine für alle EU-Staaten einheitliche Verordnung ersetzt wird. Trotzdem gibt es in der Verordnung eine Vielzahl sogenannter Öffnungsklauseln. Das sind Bereiche, die jeder Staat eigenständig regeln darf, wie beispielsweise das Arbeitsrecht. In Österreich hat sich der Staat unter anderem im Rahmen einer Öffnungsklausel entschieden, dass die sehr hohen Sanktionsmöglichkeiten zwar für Unternehmen gelten, nicht jedoch für die Behörden, obwohl diese auch die Bestimmungen der DS-GVO einzuhalten haben.

Wen wird es betreffen – jeden Arbeitgeber? Und in welchem Ausmaß?

Schöppl: Prinzipiell trifft es alle Unternehmen in Österreich, das sind rund 400.000 Betriebe derzeit. Ausnahmeregelungen zugunsten kleinerer Betriebe gibt es wenige und ob diese für das jeweilige Unternehmen tatsächlich greifen, ist sorgfältig zu prüfen. Ich empfehle daher jedem Unternehmen, sich mit der DS-GVO auseinanderzusetzen, da die Datenschutzbehörde verpflichtet ist, Verstößen nachzugehen. Hierbei sollte auch nicht unterschätzt werden, dass tatsächliche oder vermeintliche Verstöße oftmals von Personen angezeigt werden, denen es nicht nur um den korrekten Umgang mit den eigenen Daten geht.

Braucht es ab Mai verpflichtend einen Datenschutzbeauftragten in jedem Unternehmen? Wer wäre das sinnvollerweise?

Schöppl: Ein Datenschutzbeauftragter ist unter gewissen Voraussetzungen für Unternehmen verpflichtend. Wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler personenbezogene Daten besteht, bspw. Gesundheitsdaten verarbeitet werden oder Monitoring oder Profiling von natürlichen Personen vorgenommen wird, so besteht eine Verpflichtung zur Benennung eines Datenschutzbeauftragten an die Datenschutzbehörde. Hier ist allerdings im Vorfeld – im Zuge der Umsetzung der Bestimmungen der DS-GVO – eine genaue Prüfung im Unternehmen vorzunehmen.

“Guter Datenschutz ist auch eine Visitenkarte nach außen”

Was ist im Zusammenhang mit dem Umgang mit Bewerberdaten zu beachten? Ändert sich etwas für HR-Abteilungen, die z.B. mit Bewerberdatenbanken arbeiten oder Bewerbungen nach Erhalt abspeichern?

Schöppl: Bewerberdaten sind ein sehr heikles Thema und Unternehmen waren schon bisher gehalten, die Daten im nur notwendigen Ausmaß zu verarbeiten. Dies gilt weiterhin in verstärkter Form, sodass Unternehmen vor dem Hintergrund der Datenminimierung Bewerberdaten nur solange speichern dürfen, als der Zweck (Bewerbungsverfahren) es rechtfertigt. Ergänzend steht es aber jedem Unternehmen offen, die Bewerber zu fragen, ob diese möchten, dass die Daten für eine definierte Dauer in Ihrem Unternehmen zum Zwecke künftiger Bewerbungsverfahren weiterhin gespeichert werden. Zu beachten ist, dass diese Einwilligung freiwillig zu erfolgen hat.

Sogenannte Blindbewerbungen (ohne konkrete Stellenanzeige) haben wieder einen anderen Charakter. Da hier auf kein laufendes Bewerbungsverfahren abgezielt wird, ist von einer deutlich längeren Aufbewahrungsfrist, beispielsweise drei Jahre, auszugehen. Der Bewerber möchte ja, dass seine Bewerberdaten dem Unternehmen für längere Zeit zur Verfügung stehen.

Zuletzt sind noch jene Daten von Bewerbern zu berücksichtigen, die zwar abgelehnt wurden, das Unternehmen aber aus rechtlichen Erwägungen die Daten weiterhin aufbewahrt. Abgelehnte Bewerber könnten unter anderem Schadenersatzansprüche nach dem Gleichbehandlungsgesetz aufgrund der Ablehnung wegen Verletzung des Gleichbehandlungsgrundsatzes geltend machen. Bewerbungsdaten sind dann für zumindest 6 Monate aufzubewahren, bis die möglichen Ansprüche verjährt sind.

Wie können bzw. müssen sich österreichische Arbeitgeber auf die kommende Verordnung vorbereiten? Welche Schritte empfehlen Sie?

Schöppl: Jedes Unternehmen sollte als erstes einen kompetenten Verantwortlichen zum Thema Datenschutz nominieren. Dieser hat dann unverzüglich eine Art Roadmap zu erstellen, damit das Unternehmen rechtzeitig bis zum 25. Mai 2018 die Vorgaben der DS-GVO erfüllen kann. Dies sind insbesondere die Erstellung eines Verarbeitungsverzeichnisses, die Umsetzung der Rechte und der notwendigen Datenschutzinformationen an die Betroffenen, technische und organisatorische Maßnahmen betreffend die Datensicherheit und den Datenschutz, sowie die Prüfung, ob ein Datenschutzbeauftragter im Unternehmen notwendig ist. Als Ausgangspunkt stellen wir an dieser Stelle eine Checkliste und erste Informationen zum Thema Datenschutz bereit. Bedenken Sie, dass guter Datenschutz im Unternehmen auch eine Visitenkarte nach außen ist. Viele Unternehmen legen mittlerweile Wert darauf, dass ihre Vertragspartner ebenso einen starken Datenschutz aufweisen und fragen bereits nach, ob es einen Datenschutzverantwortlichen oder Beauftragten gibt.

Martina Kettner

Martina hat zwei Leidenschaften: Schreiben und Fotografieren. Für karriere.at macht sie Ersteres und bloggt am liebsten über alles, was den Arbeitsalltag schöner und Karriereplanung einfacher macht.

Durch die Nutzung unserer Angebote erklärst du dich mit dem Setzen von Cookies einverstanden. Mehr erfahren