Rechtsfragen aus der Beratungspraxis
Dieses Mal von Dr. Albert Laimighofer zum Thema Datenschutz im Zuge der Datenverarbeitung in Unternehmen.
Unternehmen verarbeiten eine Vielzahl von Daten ihrer Lieferanten, Dienstleister, Kunden und Mitarbeiter, wobei häufig ein zentrales Datenverarbeitungssystem verwendet wird, auf welches viele Personen zugreifen. Unter den zahlreichen datenschutzrechtlichen Aspekten, die hiervon berührt sind, sind die folgenden besonders hervorzuheben:
Externe Zugriffsberechtigte
Haben Personen außerhalb des Unternehmens Zugriff auf personenbezogene Daten, sind diese in der Regel als Auftragsverarbeiter zu qualifizieren. Auftragsverarbeiter sind auch solche Zugriffsberechtigte, deren Tätigkeit keine eigentliche Nutzung oder inhaltliche Bearbeitung der Daten umfasst, beispielsweise auch EDV-Dienstleister.
Mit sämtlichen Auftragsverarbeitern sind Auftragsverarbeitervereinbarungen abzuschließen. Dies gilt nicht nur für völlig fremde, sondern etwa auch für konzernverwandte Unternehmen. In diesen sind neben Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen festzulegen. Die DSGVO legt dazu in ihrem Artikel 28 bestimmte Mindestinhalte fest.
Verarbeiten Personen außerhalb des Unternehmens Daten des Unternehmens auch zu eigenen Zwecken (und nicht nur im Rahmen ihrer Leistungserbringung an das Unternehmen), so handelt es sich bei ihnen um „gemeinsame Verantwortliche“. Mit ihnen muss in transparenter Form festgelegt werden, wer welche datenschutzrechtlichen Verpflichtungen erfüllt, insbesondere was die Wahrung der Betroffenenrechte und die Erfüllung datenschutzrechtlicher Informationspflichten angeht. Es kann auch eine gemeinsame Anlaufstelle für betroffene Personen angegeben werden.
Es ist darauf zu achten, dass nur solche Personen außerhalb der Gesellschaft Zugriff auf Daten haben, die dazu berechtigt sind und mit denen entsprechende Vereinbarungen bestehen. Hat eine Person zulässigerweise Zugriff auf Daten, muss dies noch lange nicht für alle Daten gelten, die das Unternehmen vorhält. So muss ein externer oder konzernverwandter Personalverrechner zwar Zugriff auf Mitarbeiterdaten haben, darf aber in dieser Funktion dennoch keinen Zugriff auf Kundendaten erhalten.
Obwohl die DSGVO selbst nur Daten natürlicher Personen betrifft, schützt das Datengeheimnis nach dem österreichischen DSG auch Daten juristischer Personen. Dementsprechend sind auch solche Daten vor einem unberechtigten Zugriff Dritter zu schützen.
Interne Zugriffsrechte, technische und organisatorische Maßnahmen
Auch innerhalb des Unternehmens ist es notwendig, Zugriffsrechte einzuschränken. Mitarbeiter, deren Tätigkeiten keinen Zugriff auf bestimmte personenbezogene Daten erfordern, dürfen auf diese auch nicht zugreifen können. Auswertungen von Daten, welche keine unmittelbare Zuordnung zu konkreten Personen erfordern, haben unter entsprechender Anonymisierung und Pseudonymisierung zu erfolgen.
Die sichere und datenschutzkonforme Verarbeitung ist (sofern zumutbar und technisch möglich) „durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ sicherzustellen. Es muss also im Rahmen der zumutbaren technischen Möglichkeiten (wobei eine technische Möglichkeit nicht gleich unzumutbar ist, nur weil sie Geld kostet) sichergestellt werden, dass keine unzulässigen Verarbeitungen stattfinden und keine unbefugten Personen zugreifen.
Rechtmäßigkeit der Verarbeitung
Generell dürfen nur solche Datenverarbeitungen vorgenommen werden, für die es einen Rechtsgrund gibt. In Unternehmen liegt der Rechtsgrund häufig darin, dass die Verarbeitung zur Vertragserfüllung (oder für vorvertragliche Maßnahmen) notwendig ist. Denkbar ist aber auch, dass eine Einwilligung der betroffenen Personen besteht, die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zum Schutz lebenswichtiger Interessen der betroffenen Person oder Dritter erforderlich ist. Es kann auch vorkommen, dass Datenverarbeitungen notwendig sind, um im öffentlichen Interesse liegende Aufgaben zu erfüllen. Wenn keiner dieser Rechtsgründe vorliegt, kann die Verarbeitung immer noch rechtmäßig sein, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und eine Interessenabwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person zugunsten dieser berechtigten Interessen ausgeht. Schlussendlich kann eine Verarbeitung, auf welche keine der genannten Rechtsgründe zutrifft, durch Einwilligung der betroffenen Person legitimiert werden.
Achtung bei der Einholung von Einwilligungen: Eine „Pauschalermächtigung“ ist nicht wirksam. Die Einwilligung hat vielmehr konkret bestimmte Zwecke anzugeben, zu welchen die Verarbeitung erfolgen darf. Auch muss bei der Einholung einer Einwilligung sichergestellt werden, dass diese nicht nur scheinbar, sondern tatsächlich freiwillig erfolgt. Werden etwa Leistungen von der Einwilligung zu Verarbeitungen abhängig gemacht, ist die erforderliche Freiwilligkeit nicht anzunehmen. Auch ist es nicht unbedingt ratsam, „vorsichtshalber“ Einwilligungen einzuholen, anstatt zu klären, ob ein sonstiger Rechtsgrund für die Verarbeitung besteht. Die betroffene Person kann ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Informationspflichten gegenüber betroffenen Personen
Gegenüber natürlichen Personen, deren Daten verarbeitet werden, bestehen umfangreiche Informationspflichten. Neben Auskünften zum Verantwortlichen, zur Verarbeitung und deren Rechtsgrundlage müssen betroffene Personen insbesondere auf ihre durchaus umfangreichen Rechte nach der DSGVO hingewiesen werden. Üblicherweise erfolgt dies durch eine Datenschutzerklärung, welche der betroffenen Person bei der Erhebung der Daten zur Verfügung zu stehen hat.
Verarbeitungsverzeichnis
Zu achten ist weiters darauf, dass über die im Unternehmen erfolgenden Datenverarbeitungen sowie etwaige externe Empfänger von Daten ein Verarbeitungsverzeichnis zu führen ist.
Zur Person:
Dr. Albert Laimighofer ist Rechtsanwalt mit einem Tätigkeitsschwerpunkt im Datenschutzrecht und Partner der BEURLE Rechtsanwälte GmbH & Co KG in Linz.
Aus dem Magazin forum.ksv - Ausgabe 04/2024.
