Loading
loading..
infoletter

 

Unser Infoletter erscheint in regelmäßigen Abständen und informiert Sie mit wesentlichen Inhalten über aktuelle Entwicklungen und Neuigkeiten, in den herausfordernden Bereichen DSGVO, e-privacy und NIS.

 

1. Aufbewahrung von Daten zwecks Abwehr von Rechtsansprüchen: Entscheidung der DSB bezüglich Bewerberdaten

Die Datenschutzbehörde musste sich jüngst mit der Frage der Speicherung von Bewerberdaten auseinandersetzen: Im zugrundeliegenden Fall stellte ein ehemaliger Bewerber einen Antrag auf Löschung aus der Bewerberdatenbank. Dieser Antrag wurde vom Verantwortlichen (spätere Beschwerdegegnerin) mit der Begründung abgelehnt, dass aufgrund des Gleichbehandlungsgesetzes eine Löschung erst nach 7 Monaten erfolgen kann.

Weiters wurde mitgeteilt, dass die betroffenen Daten nicht für etwaige Stellenbesetzungen in herangezogen werden würden. Der ehemalige Bewerber brachte daraufhin Beschwerde bei der Datenschutzbehörde ein.

Am 27.08. entschied diese, dass die Aufbewahrung von Bewerberdaten für einen Zeitraum von 7 Monaten zu Beweiszwecken in einem etwaigen Gerichtsverfahren wegen Verstoß gegen das Gleichbehandlungsgebotes gerechtfertigt ist.

Die vorliegende Entscheidung ist aus mehreren Gründen von besonderem Interesse:

 

a) Zulässigkeit der Überschreitung der Frist von 6 Monaten

Vorab ist anzumerken, dass die Bestimmung (§ 26 GlBG) auf welche sich der Verantwortliche berufen hat eine Frist von 6 Monaten  nennt. Innerhalb dieser Frist kann ein abgelehnter Bewerber eine Klage wegen Diskriminierung einbringen. In praktischer Hinsicht ist es aber sinnvoll hier eine Frist von 7 Monaten anzusetzen. Dies deshalb, da es aus Sicht des Bewerbers (Klägers) nur darauf ankommt wann die Klage bei Gericht eingebracht wird. Für den Verantwortlichen hingegen ist maßgeblich wann dieser die Klage zugestellt bekommt. Da die Klage auch am letzten Tag der Frist eingebracht werden kann, besteht ein nicht unerhebliches Risiko, dass die Zustellung an den Verantwortlichen erst nach dieser Frist erfolgt.

Das Speichern von Bewerberdaten für 6 Monate wäre insofern zwar juristisch völlig korrekt, in praktischer Hinsicht aber eher nutzlos.

Es ist daher umso erfreulicher, dass die DSB diese Ansicht teilt und in der Entscheidung ausführt, dass der zusätzliche Zeitraum angemessen und nicht unverhältnismäßig ist. Eine derartige Nachfrist macht auch in anderen Bereichen Sinn (zB Garantie und Gewährleistung oder im Bereich der BAO), da auch hier nicht ausgeschlossen werden kann, dass am letzten Tag der Frist eine Klage eingebracht wird oder die Behörde ein Schriftstück versendet.

An dieser Stelle ist anzumerken, dass die Speicherung nach § 26 GlBG für 6 bzw. 7 Monate nur der Abwehr etwaiger Klagen dient. Nicht davon erfasst ist die Evidenzhaltung, da dies einen anderen Zweck darstellt. Die Vermittlung eines anderen Stellenangebotes bedarf einer anderen Rechtsgrundlage, wobei hier nur die Einwilligung des Bewerbers in Betracht kommt. Wird ohne einer solchen dem Bewerber ungefragt eine andere Stellenausschreibung angeboten mag dies im Einzelfall (zB wenn ein vorgereihter Bewerber kurzfristig absagt oder während dem Probemonat kündigt) zielführend sein es verstößt aber gegen den Datenschutz.

 

b) Kriterien für „Verteidigung von Rechtsansprüchen“ als Rechtsgrundlage der Datenverarbeitung

Im gegenständlichen Fall erfolgte die Verweigerung der Löschung beim Verantwortlichen gemäß Artikel 17 Abs 3 lit e DSGVO aufgrund der Verteidigung gegen (unberechtigte) Rechtsansprüche. In jüngster Vergangenheit stellte die Behörde fest, dass hier die bloß abstrakte Möglichkeit nicht ausreicht. In der gegenständlichen Entscheidung schließlich stellt die Behörde klar, dass „der Verantwortliche darlegen (muss), welche konkreten zukünftigen Verfahren auf welcher Grundlage anhängig gemacht werden könnten und inwiefern durch derartige Verfahren zum Zeitpunkt der Entscheidung der Datenschutzbehörde eine Notwendigkeit zur weiteren Speicherung der personenbezogenen Daten begründet wird.

Links: Entscheidung der Datenschutzbehörde

  Ausführliche rechtliche Beurteilung

 

2. AMS soll Arbeitssuchende via Algorithmus vermitteln - Praxisbeispiel für Profiling und automatisierte Entscheidungen gemäß Artikel 22 DSGVO?

Vor Kurzem wurde von Seiten der Regierung angekündigt, dass in Zukunft ein algorithmisches Empfehlungssystem zur Arbeitsplatzvermittlung verwendet werden soll. Hierzu werden – sehr grob zusammengefasst – verschiedene Daten der Arbeitssuchenden wie etwa Alter, die Nationalität und der Wohnsitz verarbeitet. Darauf aufbauend wird von der Software eine Einstufung hinsichtlich der Arbeitsmarktchance vorgenommen.

Vor dem Hintergrund der DSGVO findet hier ein Profiling statt, da (personenbezogene) Daten automatisiert verarbeitet werden um bestimmte persönliche Aspekte (wie etwa Arbeitsleistung, wirtschaftliche Lage, Gesundheit, …) zu bewerten.

Entgegen landläufiger Meinung ist Profiling durch die DSGVO nicht verboten, sondern grundsätzlich zulässig. Was unter der DSGVO hingegen verpönt ist, ist die automatisierte (Rechtswirkung entfaltende) Entscheidung.

Ein Beispiel hierfür ist etwa ein gänzlich automatisierte Entscheidung über einen Kreditantrag. Derartige Konstrukte sind nach der DSGVO nur in einem eng gesteckten Rahmen zulässig, da man entweder eine ausdrückliche Einwilligung des Betroffenen benötigt und man in gesteigertem Ausmaß Sicherheitsvorkehrungen zum Schutz der Betroffenen treffen muss.

An genau diesem Entscheidungscharakter mangelt es aber am geplanten System: So soll laut Angaben des AMS-Chef selbst das System bloß Empfehlungen geben. Die letzte Entscheidung werde aber stets von einem (menschlichen) AMS-Berater getroffen. Insofern ist das geplante System des AMS in datenschutzrechtlicher Hinsicht eher als unbedenklich zu werten.

Links: Interview AMS-Chef (Standard)

  Interview AMS-Chef (futurezone)

  Kritischer Beitrag v. Netzpolitik

 

3. Kontroverse um datenschutzrechtliche Zulässigkeit von Klingelschildern

In den vergangenen Wochen wurde die Frage, ob die Nennung von Namen auf Klingelschildern mit der DSGVO vereinbar sei, umfangreich diskutiert. Auslösend war die Beschwerde eines Wiener Gemeindebaumieters woraufhin der Vermieter (die „Wiener Wohnen“) kurzerhand beschloss alle 220.000 Klingelschilder zu entfernen bzw. durch Nummern zu ersetzen.

Angeregt durch eine Stellungnahme der ARGE Daten, dass sämtliche Mieter deren Namen auf Klingelschildern genannt werden, auf Unterlassung bzw. Schadenersatz klagen sollten, wurde hier in kürzester Zeit eine bundesweite Diskussion angefacht, welche auch nach Deutschland überschwappte.

In rechtlicher Hinsicht ist diese Diskussion weitgehend unberechtigt ist: Einerseits ist durchaus vertretbar, dass berechtigte Interessen von Dritten (Auffindbarkeit für Paket-/Postzusteller, Erreichbarkeit für Rettungsdienste usw…) die standardmäßige Nennung von Namen rechtfertigen und man auf Wunsch des Mieters eine anonyme Bezeichnung (zB Top Nr 123) anbringt. Andererseits stellt sich auch die Frage ob die DSGVO im Bereich der Klingelschilder überhaupt zur Anwendung kommt, da Klingelschilder regelmäßig kein strukturiertes Dateisystem sind. Letzteren Standpunkt teilt auch die EU-Kommission, welche inzwischen bestätigte, dass die DSGVO Klingelschilder nicht regle.

Links: Pressemitteilung APA

  Bericht (Salzburger Nachrichten)

  Bericht (Presse)

  Ausführliche rechtliche Analyse