3 Jahre DSGVO – und immer noch beschäftigt sie uns

Schon 3 Jahre ist es her, dass uns die DSGVO als Unternehmer vielleicht ein bisschen in Angst und Schrecken versetzt hat. Bereits in unserer Jahresbilanz (Kolumne in E&W 5/2019) habe ich resümiert, dass „nichts so heiß gegessen wie gekocht“ wird.

Die Bereiche, wo uns die DSGVO allerdings interessiert, sind vielleicht umfangreicher geworden bzw haben sich auch im Wandel der – wenn auch kurzen – Zeit verändert. Denn Corona macht es möglich, das Home-Office und Teleworking für viele auf der Tagesordnung stand bzw steht, datenschutzrechtliche Gedanken dazu habe ich in der Kolumne in E&W 10/2020 festgehalten. Quasi über Nacht wurden auch Mitarbeiter vermehrt mit der Thematik des Datenschutzes konfrontiert. Arbeitgebern ist zu empfehlen, entsprechende Datenschutzrichtlinien für Mitarbeiter einzuführen, nicht nur wegen Corona.

Die aktuelle Situation lässt die Datenschutz-Grundverordnung aber auch im Bereich Gesundheitsdaten „interessanter“ werden. In dem Zusammenhang ist zu berücksichtigen, dass auch physische Unterlagen (zB Fragebögen, ob Corona überstanden wurde, eine Impfung vorliegt oÄ) und mündlich erhobene Daten in den datenschutzrechtlichen Anwendungsbereich fallen. Arbeitgeber müssen ganz besonders vorsichtig sein, welche Daten sie verarbeiten dürfen und wie sie die Verarbeitung auch von Gesundheitsdaten rechtfertigen können, zB mit den in der DSGVO vorgesehenen Zwecken der Gesundheitsvorsorge, der Erfüllung arbeits- und sozialrechtlicher Pflichten oder aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. Eine juristische Abwägung ist diesbezüglich empfehlenswert. Die Übermittlung von Informationen über konkrete Infektionsfälle an die Gesundheitsbehörden durch den Arbeitgeber ist aber auch schon nach der DSGVO zulässig.

Zudem ist zu beachten, dass die Datenschutzbehörden trotz Krise aktiv sind. Sie gehen anonymen Anzeigen auch während der Krisenzeit nach, verhängen Geldstrafen, dies nicht nur in Österreich, sondern auch in den EU-Mitgliedstaaten. Im Frühjahr 2020 verhängte die niederländische Datenschutzbehörde eine äußerst hohe Geldstrafe für ein Unternehmen, das von seinen Mitarbeitern verlangte, die Fingerabdrücke zur Anwesenheitskontrolle einzuscannen. Die Strafe betrug € 725.000,00. Diese Verwendung von biometrischen Daten entspricht laut der niederländischen Datenschutzbehörde nicht einer Ausnahme nach der DSGVO. In Österreich hat übrigens der OGH bereits 2006 entschieden, dass eine Zeiterfassung auf diese Art jedenfalls überschießend ist; ein Krankenhaus musste die installierte Technik wieder deaktivieren.

Sieht man zurück: Was hat uns die DSGVO gebracht? Mit Sicherheit mehr Aufwand in den Unternehmen, ein größeres Datenbewusstsein und viele Diskussionen, nicht nur im arbeitsrechtlichen Bereich, sondern generell, wo wir vielleicht zu viele Daten sammeln oder schneller löschen sollten. Wer sich absichern will, sorgt insbesondere dafür, dass er seine Kunden informiert (Datenschutzerklärung), ein Verarbeitungsverzeichnis aufsetzt und mit jenen Dienstleistern, mit denen er Daten austauscht, Auftragsverarbeiter-Verträge abschließt. Wer Daten benutzen will, die nicht für die Durchführung eines Auftrages notwendig sind (Newsletter-Versand) muss sich Einwilligungserklärungen organisieren.

Wer bislang noch nicht mit dem Thema Datenschutz konfrontiert wurde, sollte sich nicht allzu sehr in Sicherheit wiegen. Ehemalige Mitarbeiter, Mitbewerber oder sonstige Personen, die einem nicht gutgesinnt sind, können das Thema Datenschutz rasch dazu verwenden, einem Probleme zu bereiten und vor allem Aufwand, sowohl zeitlicher als auch finanzieller Art, zu produzieren.

Es stellt sich also abschließend die Frage, wo die Reise hingeht. Beachtet man die derzeitige Corona-Situation ist es aus meiner Sicht spannend, dass das Thema Datenschutz nur peripher diskutiert wird. Bei all den Einschnitten und Ideen, die zur Bekämpfung der Pandemie aufgebracht werden, verhallt die Kritik der Datenschützer doch recht ungehört. Wer hätte sich das im Jahr 2018 gedacht?