Compliance

Anmerkungen

[1]

Bundesgesetz gegen Kartelle und andere Wettbewerbsbeschränkungen (Kartellgesetz 2005 – KartG 2005), BGBl I Nr. 61/2005.

[2]

Bundesgesetz über die Einrichtung einer Bundeswettbewerbsbehörde (Wettbewerbsgesetz – WettbG), BGBl I Nr. 62/2002.

[3]

Kartell- und Wettbewerbsrechts-Änderungsgesetz 2012 (KaWeRÄG 2012), BGBl I Nr. 13/2013.

[4]

Napokoj/Ablasser-Neuhuber/Neumayr Risikominierung durch Corporate Compliance, 2010, Rn. 368.

[5]

Der österreichische Zusammenschlussbegriff unterscheidet sich nach wie vor von jenem der FKVO (Art. 3). So ist etwa der Erwerb von 25 % der Anteile unabhängig von einem Kontrollerwerb anzumelden. Somit werden auch wettbewerbspolitisch unbedenkliche Vorgänge der österreichischen Zusammenschlusskontrolle unterworfen.

[6]

Traugott Compliance Praxis 1/2012, 9 ff.

[7]

Http://ec.europa.eu/competition/antitrust/compliance/index_en.html.

[8]

Barbist Compliance Praxis 1/2012, 7 ff.

[9]

Www.iccgermany.de/fileadmin/user_upload/Content/Wettbewerb/ICC_Compliance_Toolkit_final.pdf.

[10]

Www.bwb.gv.at/Documents/Brosch%C3%BCre%20-%20Kartellrecht%20und%20Compliance.pdf.

[11]

Urlesberger/Haid ecolex 2007, 363.

2. Kapitel Grundlagen für Compliance › B. Österreich › VIII. Datenschutzrechtliche Compliance

VIII. Datenschutzrechtliche Compliance

180

Nach einigen Missbrauchsfällen betreffend personenbezogener Daten sowohl in Österreich als auch in Deutschland ist das Thema Compliance im Datenschutz für Unternehmen von immer größerer Bedeutung geworden. Auf eine Beachtung der gesetzlichen Bestimmungen wird daher zumeist bereits von der Geschäftsleitung großer Wert gelegt.

181

Die gesetzliche Grundlage für den Datenschutz findet sich in Österreich im Datenschutzgesetz 2000 (DSG)[1], welches die Richtlinie 95/46/EG[2] in nationales Recht umsetzt. Seit seinem Inkrafttreten am 1.1.2000 wurde es mittlerweile neun Mal novelliert. Das DSG 2000 enthält zum einen das im Verfassungsrang stehende subjektive Recht auf Geheimhaltung von personenbezogenen Daten und regelt zum anderen die Rechtmäßigkeitsanforderungen an die Verwendung von Daten.

182

Am 25.5.2018 tritt die auf EU-Ebene beschlossene Datenschutz-Grundverordnung[3] (DS-GVO) in Kraft und wird ab diesem Zeitpunkt in allen Mitgliedstaaten unmittelbar anwendbar sein. Die DS-GVO enthält eine große Anzahl neuartiger Regelungen, Strukturen und Mechanismen, auf die sich sowohl die Datenverwender als auch die Betroffenen einstellen müssen. Durch die DS-GVO ist ab 2018 verpflichtend ein Datenschutzbeauftragter zu bestellen, wenn die Datenverarbeitung durch eine öffentliche Einrichtung erfolgt, oder die Kerntätigkeit des Auftraggebers oder Dienstleisters in Datenverarbeitung besteht, die aufgrund ihres Wesens, ihres Umfangs oder Zwecks eine regelmäßige und systematische Beobachtung von Betroffenen in großem Umfang erfordert, oder die Kernaktivität des Auftraggebers oder Dienstleisters in der Verarbeitung von sensiblen Daten oder strafrechtlich relevanten Daten in großem Umfang besteht. Die Aufgaben des Datenschutzbeauftragten sind die Beratung des Verantwortlichen (Arbeitgeber), des Auftragsverarbeiters (Dienstleister) und der Beschäftigten hinsichtlich ihrer Pflichten sowie die Überwachung der Einhaltung der DS-GVO.Durch die DS-GVO erhöhen sich zudem die Strafen bei Verstößen gegen das Datenschutzrecht. Die Strafen sind nach der DS-GVO in zwei Stufen eingeteilt, einerseits bis 10 Mio. EUR oder 2 % des konzernweiten Umsatzes, andererseits bis 20 Mio. EUR oder 4 % des konzernweiten Umsatzes. Es bedarf daher keiner weiteren Ausführungen mehr, dass datenschutzrechtliche Compliance-Regelungen zur Risikovermeidung unerlässlich sein werden.

183

Zudem sollen die generellen Meldeverpflichtungen durch die DS-GVO entfallen, da diese zu kostspielig und bürokratisch seien. Stattdessen soll eine Risikoabschätzung des AG erfolgen und „geeignete Maßnahmen“ getroffen werden. Sollte ein hohes Risiko eingeschätzt werden, so ist eine Folgenabschätzung durchzuführen. Im konkreten ist die Folgenabschätzung durchzuführen bei systematischen und extensiven automationsunterstützten Auswertungen von personenbezogenen Aspekten, z.B.: Profiling, sowie bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten iSd Art 9 Abs 1 DSGVO systematischen Überwachungen von öffentlich zugänglichen Orten.

184

Die Verordnung sieht 69 „Öffnungsklauseln“ vor, die den nationalen Gesetzgebern Konkretisierungen und Spezifizierungen ermöglichen und auch die Aufrechterhaltung oder Schaffung von Sondervorschriften zulassen. Zu einer gänzlichen Vereinheitlichung des Datenschutzes wird es daher nicht kommen. Ob und welche Gesetzesänderungen im Datenschutzgesetz Österreich erfolgen, ist noch offen. Das Datenschutzgesetz in Österreich ist derzeit in manchen Aspekten strenger und in manchen weniger streng als die DS-GVO. Die nachfolgende Darstellung bezieht sich jedenfalls nur auf die Rechtslage bis zum Inkrafttreten der DS-GVO.

1. Grundrecht auf Datenschutz

185

§ 1 DSG 2000 normiert ein Grundrecht auf Datenschutz, das in umfangreichen einfachgesetzlichen Bestimmungen (§§ 4–64) ausgeführt wird. Das Grundrecht auf Datenschutz ist mit unmittelbarer Drittwirkung ausgestattet und bewirkt einen Anspruch auf Geheimhaltung personenbezogener Daten. Darunter sind der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. Allerdings gibt es ein Recht auf Datenschutz nur dann, wenn ein schutzwürdiges Geheimhaltungsinteresse besteht. Jene Fälle, in denen es kein schutzwürdiges Geheimhaltungsinteresse gibt, werden ausdrücklich aufgeführt.

186

Voraussetzung für das Bestehen des Grundrechts ist es, dass es sich bei den Daten überhaupt um personenbezogene Daten handelt, die auf eine in ihrer Identität bestimmte (oder zumindest bestimmbare) Person zurückgeführt werden können und dass diese Daten weiter geheim gehalten werden können, was dann grundsätzlich unmöglich sein wird, wenn sie allgemein zugänglich sind. An personenbezogenen Daten besteht ein schutzwürdiges Geheimhaltungsinteresse, wobei das Grundrecht nicht absolut gilt, sondern durch bestimmte, zulässige Eingriffe beschränkt werden darf. Wichtiger Grund für eine zulässige Ausnahme vom Geheimhaltungsschutz ist zunächst die Zustimmung des Betroffenen zur Verwendung seiner Daten, womit anerkannt wird, dass in erster Linie der Betroffene selbst über das Schicksal der ihn betreffenden Daten zu entscheiden hat. Weitere Gründe für zulässige Eingriffe können sich aus den besonderen Interessen des Betroffenen selbst (lebenswichtiges Interesse des Betroffenen) oder aus den überwiegenden Interessen Anderer ergeben.

187

Die Verpflichtung zur Geheimhaltung schutzwürdiger personenbezogener Daten besteht unabhängig von der Form ihrer Verarbeitung, betrifft also z.B. auch „manuelle“ Daten (Notizen auf einem Zettel, Aktenteile und dergleichen) im herkömmlichen Sinn.

188

Das Grundrecht steht jedermann zu, wobei Betroffener sowohl eine natürliche als auch eine juristische Person oder Personengemeinschaft sein kann. Als höchstpersönliches Recht steht dieses Grundrecht nur lebenden Personen zu.

2. Allgemeine Grundsätze und die Zulässigkeit der Verwendung von Daten

189

§ 6 DSG definiert die allgemeinen Grundsätze für die Verwendung von Daten. Demnach dürfen Daten nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden. Weitere Grundsätze sind etwa die Zweckbindung und die Verpflichtung für den Auftraggeber, für die Richtigkeit, allenfalls auch die Aktualisierung der Daten, zu sorgen. Daten dürfen nur solange aufbewahrt werden, wie dies für die Zwecke, für die sie ermittelt wurden, erforderlich ist.

190

Die allgemeine Zulässigkeit der Datenverwendung ist an zwei Bedingungen geknüpft: Einerseits muss eine rechtliche Befugnis des Auftraggebers zur Verwendung dieser Daten (die etwa durch Gewerbeschein, Eintragung in die Ärzteliste und dergleichen dokumentiert sein kann) gegeben sein. Andererseits dürfen die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden, wobei die §§ 8 und 9 DSG 2000 für sensible und nicht-sensible Daten näher präzisieren, in welchen Fällen dies gewährleistet ist.

3. Die Übermittlung von Daten

191

Im Alltagsleben von großer Bedeutung ist die Übermittlung von personenbezogenen Daten an Dritte oder deren Zugänglichmachung gegenüber Dritten. Voraussetzung für die Zulässigkeit der Übermittlung von Daten ist, dass diese aus einer zulässigen Datenanwendung stammen, der Empfänger seine ausreichende rechtliche Befugnis im Hinblick auf den Übermittlungszweck glaubhaft macht und die schutzwürdigen Geheimhaltungsinteressen des Betroffenen durch den Zweck und den Inhalt der Übermittlung nicht verletzt werden (§ 7 DSG 2000).

192

In international tätigen Konzernen stellt sich häufig die Frage, ob die Übermittlung von personenbezogenen Daten (z.B. Mitarbeiterdaten) an die Konzernmutter zulässig ist oder nicht. Was die Übermittlung dieser Daten an eine Konzernmutter in einem anderen EU-Mitgliedsstaat anbelangt, so anerkennt die Datenschutzbehörde den Konzern als zulässige Organisationsstruktur, so dass jene Datenflüsse, die sich aus der Über- bzw. Unterordnung der einzelnen Konzernfirmen notwendig ergeben, zur Rechtfertigung der Übermittlung geeignet sein können.[4] Was die Übermittlung von personenbezogenen Daten an eine Konzernmutter in einem Drittland betrifft, so ist zu beachten, dass derartige Datenübermittlungen der Genehmigung durch die Datenschutzbehörde bedürfen. In diesem Verfahren wird geprüft, ob im Drittstaat ein angemessener Datenschutz sichergestellt ist und ob die Geheimhaltungsinteressen der Betroffenen auch im Ausland ausreichend gewahrt sind (§ 13 DSG 2000).

4. Exkurs: Videoüberwachung

193

Mit der DSG Novelle 2010[5] wurde im Gesetz mit den §§ 50a ff. ein eigener Abschn. 9a zur Videoüberwachung aufgenommen. Eine entsprechende Regelung war insofern erforderlich, als der Einsatz von Videoüberwachungsanlagen in Betriebsräumlichkeiten sehr häufig stattfindet. Immer wenn bei einer Videoüberwachung Personen zu erkennen sind, handelt es sich dabei um personenbezogene Daten i.S.d. DSG 2000, womit ein Eingriff in das Recht auf Geheimhaltung vorliegt.[6]

194

Geregelt werden im DSG 2000 nunmehr die Voraussetzungen für den zulässigen Einsatz der Videoüberwachung. Demnach muss der Zweck und Inhalt der Datenanwendung von den rechtlichen Befugnissen des Auftraggebers gedeckt sein (§ 7 Abs. 1 DSG), die Grundrechtseinschränkung verhältnismäßig sein (§ 7 Abs. 2 und 3 DSG), die schutzwürdigen Geheimhaltungsinteressen des Betroffenen gewahrt werden (§ 7 Abs. 1 i.V.m. 8 und 9 DSG) und die allgemeinen Datenschutzgrundsätze eingehalten werden (§ 7 Abs. 3 i.V.m. § 6 DSG). Der Auftraggeber hat die Videoüberwachung bei der Datenschutzbehörde vorab nach §§ 17 ff. DSG zu melden. Wurde die Videoüberwachung nicht im Vorhinein von der Datenschutzbehörde genehmigt, droht der Geschäftsleitung eine Verwaltungsstrafe aufgrund der Verletzung des Datenschutzrechts.

5. Heranziehen von Dienstleistern

195

Dem Auftraggeber steht es frei, sich eines Dienstleisters zu bedienen, wenn dieser ausreichend Gewähr für eine rechtmäßige und sichere Datenverwendung bietet. Der Auftraggeber hat mit dem Dienstleister die notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.

196

Die Mindestpflichten des Dienstleisters sind in § 11 DSG 2000 ausgeführt und umfassen etwa das Treffen von Datensicherheitsmaßnahmen sowie die Verpflichtung, weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und die Daten nach Beendigung des Dienstverhältnisses wieder an den Auftraggeber zurückzugeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten. Der Dienstleister hat auch technisch und organisatorisch zu gewährleisten, dass die Rechte des Betroffenen (Auskunftserteilung, Richtigstellung und Löschung) erfüllt werden können. Vereinbarungen zwischen dem Auftraggeber und Dienstleister über die nähere Ausgestaltung dieser Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.

6. Whistleblower-Hotlines

197

Eine Whistleblower-Hotline ermöglicht einem Mitarbeiter in einem Unternehmen über eine Telefon- oder webbasierte Hotline Missstände und Malversationen im Unternehmen unmittelbar der Geschäftsleitung bekannt zu geben. Da diese Meldungen im Normalfall personenbezogene Daten betreffen, ist die Zulässigkeit der Ermittlung, Sammlung und Verarbeitung von Whistleblower-Daten nach dem DSG 2000 zu beurteilen. Whistleblower-Hotlines sind daher genehmigungspflichtig. Bisher hat die Datenschutzbehörde einige Whistleblowing-Systeme genehmigt. In einer ersten wichtigen (Einzelfall-)Entscheidung[7] hat die Datenschutzbehörde auf Antrag eines Unternehmens folgende Auflagen für unternehmensinterne Whistleblowing Verfahren festgelegt:

7. Datengeheimnis

198

Auftraggeber und Dienstleister – einschließlich ihrer Mitarbeiter – sind zur Geheimhaltung von Daten, die ihnen auf Grund ihrer berufsmäßigen Beschäftigung bekannt geworden sind, verpflichtet (Datengeheimnis, § 15 DSG 2000).

8. Publizität der Datenanwendungen

199

Wenn ein Auftraggeber personenbezogene Daten automatisiert oder in manuellen Dateien verarbeitet (z.B. Personalverwaltung, Kundenverkehr), so ist er grundsätzlich verpflichtet, bei der Datenschutzbehörde vor Aufnahme einer Datenverarbeitung eine Meldung zum Zweck der Registrierung im Datenverarbeitungsregister einzubringen, sofern nicht ausnahmsweise eine Meldepflicht entfällt (Standardanwendungen). Diese Meldung an das Datenverarbeitungsregister hat seit 1.9.2012 online zu erfolgen. Allgemeine Informationen und öffentlich zugängliche Registerdaten können somit seit 1.9.2012 öffentlich eingesehen werden.

200

Datenanwendungen, die sensible Daten oder strafrechtlich relevante Daten enthalten oder die die Auskunftserteilung über die Kreditwürdigkeit des Betroffenen zum Zweck haben, oder die in Form eines „Informationsverbundsystems“ durchgeführt werden sollen, dürfen erst nach ihrer Prüfung durch die Datenschutzbehörde aufgenommen werden. Manuelle Dateien sind nur dann meldepflichtig, wenn ihr Inhalt der Vorabkontrolle unterliegt.

201

Mit der Standard- und Musterverordnung 2004[8] wurde eine Vereinfachung der Meldungen geschaffen. Demnach wird zwischen Standardanwendungen, die meldefrei sind, und Musteranwendungen, die einer vereinfachten Meldepflicht unterliegen, differenziert. Unter Standardanwendungen sind „bestimmte Typen von Datenanwendungen und Übermittlungen“ zu verstehen, „die von einer großen Zahl von Auftraggebern in gleichartiger Weise vorgenommen werden, wobei angesichts des Verwendungszwecks und der verarbeiteten Datenarten die Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist“. Als solche Standardanwendungen werden z.B. Personalverwaltungen, Melderegister, die Kfz-Zulassung durch Behörden oder auch die Patientenverwaltung und Honorarabrechnung normiert. Als „Musteranwendungen“ wurden die Personentransport- und Hotelreservierung, Zutrittskontrollsysteme und die Kfz-Zulassung durch beliehene Unternehmen normiert.

9. Informations- und Offenlegungspflicht des Auftraggebers

202

§ 24 DSG 2000 normierte eine grundsätzliche Informationspflicht des Auftraggebers: Der Auftraggeber einer Datenanwendung hat aus Anlass der Ermittlung von Daten die Betroffenen in geeigneter Weise über den Zweck der Datenanwendung, für die die Daten ermittelt werden und über Namen und Adresse des Auftraggebers zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen. Gem. § 23 DSG 2000 haben Auftraggeber einer Standardanwendung jedermann auf Antrag mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen. Damit soll eine gewisse Kompensation dafür geschaffen werden, dass die Standardanwendungen auf Grund deren Meldefreiheit nicht im Datenverarbeitungsregister einsichtig sind.

10. Datensicherungsmaßnahmen

203

Gemäß § 14 DSG 2000 müssen zur Sicherstellung der Datensicherheit Maßnahmen getroffen werden, die geeignet sind, den Schutz der Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust sowie vor Verhinderung eines Zugriffs auf die Daten durch Unbefugte zu gewährleisten. Die Maßnahmen müssen nach der Art der verwendeten Daten und nach dem Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und die wirtschaftliche Vertretbarkeit angemessen sein. Daher sind entsprechend dieser gesetzlichen Anforderung technische, organisatorische und personelle Datensicherungsmaßnahmen zu treffen.[9] Die folgenden Maßnahmen sind von Gesetzes wegen zu beachten:

204

Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.