Tatort Arbeitsplatz in Zeiten des Hochfahrens

Arbeitgeber, die Schutzpflichten verletzen, können sich auch dann strafbar machen, wenn es zu keiner Infektion kommt.

(Gastbeitrag von Teresa Bogensberger und Philip Marsch | Die Presse | 27.4.2020)

Mit Premium-Abo Artikel lesen auf diepresse.com

Robot-Recruiting: Wie Algorithmen täuschen

Automatisierte Systeme zur Personalauswahl erwecken den Eindruck der Objektivität, sind aber nur so vertrauenswürdig wie ihre Programmierung. Daten- und Arbeitnehmerschutz setzen der digitalen Mitarbeiterkontrolle Grenzen.

(Von Teresa Bogensberger | Die Presse | 29.4.2019)

Bericht bei diepresse.com lesen

Mitarbeiter als Risiko beim Datenschutz

Mitarbeiter als Risiko beim Datenschutz

Hat ein Ex-Mitarbeiter Daten von seinen früheren Firmen-PC heruntergeladen, können sich Risiken nach der DSGVO und der Geheimnisschutz-Richtlinie ergeben.

Ein Mitarbeiter hat berechtigten Zugriff sowohl auf im Unternehmen verarbeitete personenbezogene Daten (Bewerber, Mitarbeiter, Kunden) als auch auf Geschäftsgeheimnisse (Produktentwicklungen, Preiskalkulationen). Er wechselt zu einem Mitbewerber seines Arbeitgebers. Nach seinem Abgang stellt sich heraus, dass er offenbar mit einem unternehmensfremden Datenträger auf seinen Firmencomputer zugegriffen hat. Welche Daten tatsächlich heruntergeladen wurden, ist nicht feststellbar, weil das Unternehmen kein System implementiert hat, das dokumentiert, von wem wann auf welche Daten zugegriffen wird. Nachweisbar sind nur die gehäuften Zugriffe auf seinen Computer kurz vor seinem Abgang. Eine Verwertung personenbezogener Daten und Geschäftsgeheimnisse durch den neuen Arbeitgeber ist nicht nachweisbar.

Was kann man tun, um das Risiko zu minimieren?

Abgesehen von arbeits-, wettbewerbs- und strafrechtlichen Themen können sich daraus auch nach der Datenschutz-Grundverordnung der EU (DSGVO) und der Geheimnisschutz-Richtlinie (EU) 2016/943 Risiken ergeben. In diesem Zusammenhang ist die Problematik dabei nicht wesentlich anders, wenn der Datenzugriff unberechtigt war, während des aufrechten Dienstverhältnisses entdeckt wurde und zur Entlassung geführt hat. Eine Verletzung der Datenschutzbestimmungen und der Regeln zum Schutz von Geschäftsgeheimnissen ist hier ebenfalls bereits erfolgt. Was tun im Fall solcher Rechtsverletzungen und zur Risikominimierung?

Zunächst zur DSGVO: Der Arbeitgeber ist Verantwortlicher nach der DSGVO, die Verarbeitung personenbezogener Daten muss nach den Grundsätzen der Rechtmäßigkeit (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, et cetera) erfolgen. Technische und organisatorische Maßnahmen für die Sicherheit der Datenverarbeitung wurden getroffen, die Mitarbeiter wurden auf das Datengeheimnis verpflichtet, und ein Kontrollsystem wurde eingerichtet. Trotzdem ist zu befürchten, dass eine rechtswidrige Entwendung von Daten passiert ist.

Wie bei Cyberattacken ist auch hier mittlerweile davon auszugehen, dass es sich um eine Art Standardrisiko handelt, bei dessen Eintritt ein gut implementierter Ablauf zur Erfüllung der gesetzlichen Verpflichtungen und Schadensminderung starten sollte. Wichtig ist vor allem, dass die Angelegenheit nicht als „peinlich“ vertuscht wird, sondern wie zum Beispiel bei Arbeitsunfällen eine professionelle und transparente Reaktion des Unternehmens erfolgt.

Durch eine Entwendung von personenbezogenen Daten fällt die Rechtmäßigkeit der Verarbeitung weg, und es ist von einer Datenschutzverletzung auszugehen. Somit sind die Melde- und Benachrichtigungspflichten gemäß der DSGVO und dem österreichischen Datenschutzgesetz (DSG) einzuhalten. Die Datenschutzbehörde ist unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden der Verletzung zu verständigen, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Vom Bestehen eines solchen Risikos muss wohl im Zweifel ausgegangen werden. Verzögerungen bei der Meldung sind zu begründen. Die Meldung hat die Fakten der Verletzung, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu enthalten.

Grundsätzlich sind auch die von der Verletzung betroffenen Personen unverzüglich zu benachrichtigen. Es sei denn, der Arbeitgeber hat als Verantwortlicher geeignete technische und organisatorische Sicherheitsvorkehrungen implementiert, die wie zum Beispiel durch eine Verschlüsselung den Zugang zu den personenbezogenen Daten unmöglich machen, oder nachfolgende risikominimierende Maßnahmen getroffen. Wenn die Benachrichtigung der betroffenen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, kann stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen.

Verstöße gegen die DSGVO und das DSG können nicht nur zu Geldbußen führen, sondern berechtigen auch die Personen, deren Rechte auf Datenschutz verletzt wurden, grundsätzlich zu Ersatzansprüchen aus materiellen und immateriellen Schäden gegen den Arbeitgeber als Verantwortlichen. Eine Haftungsbefreiung tritt nur dann ein, wenn der Nachweis gelingt, dass der Arbeitgeber in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden entstanden ist. Das zeigt deutlich, wie wichtig technische und organisatorische Sicherheitsmaßnahmen und ein Maßnahmenplan für den Fall eines „Datenschutzunfalls“ sind, um Benachrichtigungspflichten und Schadenersatzansprüche aus Datenschutzverletzungen durch Mitarbeiter möglichst zu minimieren.

Zu den Geschäftsgeheimnissen: Die Geheimnisschutz-Richtlinie gilt in Österreich seit 9. Juni 2018 mangels Umsetzung direkt. Die Regierungsvorlage zur Umsetzung im Gesetz gegen den unlauteren Wettbewerb wird derzeit im Wirtschaftsausschuss des Parlaments behandelt und soll vor allem begriffliche Klarstellungen und auch eine Verbesserung des verfahrensrechtlichen Schutzes bringen.

Dem Arbeitgeber stehen bei der Entwendung von Geschäftsgeheimnissen zivil-, arbeits- und strafrechtliche Rechtsbehelfe zur Verfügung. Über eine einstweilige Verfügung kann die Unterlassung der Nutzung der entwendeten Geschäftsgeheimnisse erreicht werden. Eine rasche Beweissicherung läuft am besten über ein strafrechtliches Ermittlungsverfahren, erfordert aber Anhaltspunkte für den Verdacht der Weitergabe an Dritte zu Zwecken des Wettbewerbs beziehungsweise zur Verwertung.

Wenn wie im hier geschilderten Fall weder der Inhalt der entwendeten Daten noch die Verwertung durch den neuen Arbeitgeber oder sonstige Dritte zumindest bescheinigt werden können, fehlen die Grundlagen für die genannten Rechtsbehelfe einschließlich der für einen Schadenersatzanspruch notwendigen Nachweisbarkeit eines Schadens. Somit bleibt arbeitsrechtlich nur die Geltendmachung einer Vertragsstrafe, falls eine solche im Zusammenhang mit einer Konkurrenzklausel nach Vertragsende vereinbart wurde. Bei einer Konkurrenzklausel ohne Vertragsstrafe kann der Arbeitgeber die Erfüllung der Konkurrenzklausel durch ein Beschäftigungsverbot beim Mitbewerber verlangen.

Ein positives Betriebsklima kann helfen

Wesentlich ist, dass „angemessene Geheimhaltungsmaßnahmen“ nachweisbar zum Schutz der Geschäftsgeheimnisse implementiert wurden, da sonst gemäß der Definition in der Richtlinie mangels Vorliegen eines Geschäftsgeheimnisses kein Schutz gegeben ist. Zu solchen Maßnahmen gehören unter anderen vertragliche Verpflichtungen zur Geheimhaltung und Einhaltung von Unternehmensrichtlinien zum Geheimnisschutz, Regeln zu Erteilung und Entzug von Zugriffsberechtigungen sowie die vertragliche Zustimmung zur Dokumentation der Zugriffe und deren Kontrolle.

Erfahrungsgemäß helfen neben den genannten Maßnahmen auch ein positives Betriebsklima und eine die Mitarbeiter wertschätzende Unternehmenskultur, die zu einer Identifizierung der Mitarbeiter mit dem Unternehmen beiträgt. Dann ist auch die Versuchung geringer, dem Arbeitgeber zu schaden, um sich selbst zu nützen.

 

https://www.wienerzeitung.at/themen_channel/recht/recht/1011895_Mitarbeiter-als-Risiko-beim-Datenschutz.html

Wenn Roboter Menschen anstellen

Wenn Roboter Menschen anstellen

Die Novelle zum Arbeitszeitgesetz ist seit 1. September 2018 in Kraft, die Umsetzung in der Praxis sollte daher für eine optimale Personalplanung genutzt werden. Die Anhebung der Arbeitszeithöchstgrenzen auf zwölf Stunden pro Tag und 60 Stunden pro Woche erfordert vor allem Anpassungen bei bestehenden Gleitzeitvereinbarungen sowie All-in-Verträgen und hat Auswirkungen auf die Überstundenauszahlung. Eine transparente Arbeitszeiterfassung und korrekte Überstundenabrechnung samt Deckungsprüfung bei Überstundenpauschalen ist auch im Zusammenhang mit den aus Lohndumping drohenden Verwaltungsstrafen unabdingbar.

In den Medien wurden die Konsequenzen der Novelle auf die Entlohnung von Überstunden und das grundlose Ablehnungsrecht breit diskutiert. Etwas untergegangen ist aber, dass neben der ersten und zweiten nunmehr eine „dritte Führungsebene“ geschaffen wurde, die ebenfalls vom Arbeitszeitgesetz ausgenommen wird.

 

Keine klare Definition der „dritten Führungsebene“

Zu dieser „dritten Führungsebene“ zählen neben nahen Angehörigen in Einzelunternehmen auch sonstige Arbeitnehmer, denen jeweils maßgebliche selbständige Entscheidungsbefugnis übertragen ist. Und zwar dann, wenn deren gesamte Arbeitszeit aufgrund der besonderen Merkmale der Tätigkeit nicht gemessen oder im Voraus festgelegt wird, oder von den Arbeitnehmern selbst hinsichtlich Dauer und Lage festgelegt werden kann. Das ist leider keine klare Definition der Voraussetzungen für die Einordnung in die „dritte Führungsebene“.

Daher ist zumindest der Versuch einer vertraglichen Klarstellung empfehlenswert, bevor eine solche über die Rechtsprechung erfolgt ist. Ob ein Arbeitnehmer dem Arbeitszeitgesetz unterliegt oder nicht, hat schließlich weitreichende Konsequenzen, die bei angestellten Geschäftsführern angemessen sind, aber nicht unbedingt bei jedem Abteilungsleiter.

Zu beachten sind in der Praxis auch die nachstehenden Entscheidungen des Europäischen Gerichtshofs (EuGH) und des österreichischen Obersten Gerichtshofs (OGH). Der EuGH hat in zwei aktuellen Entscheidungen (C-619/16 und C-684/16) ausgesprochen, dass es unionsrechtswidrig ist, wenn ein Arbeitnehmer die ihm zustehenden Urlaubstage und damit auch seinen Anspruch auf eine finanzielle Abgeltung nicht verbrauchten Urlaubs schon allein deshalb verliert, weil er keinen Urlaub beantragt hat. Gemäß dem österreichischen Urlaubsgesetz verjährt der Urlaubsanspruch nach Ablauf von zwei Jahren ab dem Ende des Urlaubsjahres, in dem er entstanden ist.

https://www.wienerzeitung.at/themen_channel/recht/recht/1009337_Wenn-Roboter-Menschen-anstellen.html

Neues Instrument zur Absicherung von Gütezeichen

Neues Instrument zur Absicherung von Gütezeichen

 

Urteile stärken Interesse an Gewährleistungsmarken

Wien – Im Rahmen der Modernisierung des Markenrechts wurden in Österreich mit 1. 9. 2017 und in der Europäischen Union mit 1. 10. 2017 Gewährleistungsmarken eingeführt. Ziel dieser neuen Markenform ist es, Konsumenten mit registrierten Gütezeichen gesicherte Informationen über die Einhaltung bestimmter Qualitätsstandards bereitzustellen. Davor hatte die Wirtschaft in diesem Bereich versucht, sich mit Verbands- oder Individualmarken zu behelfen. Zunächst war das Interesse am neuen Instrument eher schwach, auch weil der konkrete Anwendungsbereich nicht klar genug erschien. Doch zwei höchstgerichtliche Entscheidungen zur Marke „Steirisches Kürbiskernöl“ haben dies schlagartig verändert.

In Löschungsgefahr

Ausgehend von den Entscheidungen des Obersten Gerichtshofs (29. 5. 2018, 4 Ob 237/17g) und des Europäischen Gerichtshofs (7. 6. 2018, T-72/17) wird die Nutzung einer Individualmarke als Gütezeichen durch eine Vielzahl von Produzenten nicht mehr als „ernsthafte markengemäße Benutzung“ anerkannt.

Das wird damit begründet, dass die Nutzung einer Individual- oder Verbandsmarke als bloße Gewährleistung einer bestimmten Produktqualität eben nicht ihre Hauptfunktion als Ursprungsgarantie für die Herkunft aus einem einzigen Unternehmen erfüllt. Solche Marken laufen nun Gefahr, gelöscht zu werden. Es ist mit weiteren Löschungsentscheidungen zu rechnen. Hier kann die Gewährleistungsmarke nun Abhilfe schaffen. Die Voraussetzungen für eine Anmeldung sind, dass der Anmelder keine gewerbliche Tätigkeit ausübt, die Waren oder Dienstleistungen umfasst, für die die angemeldete Marke als Gütezeichen benutzt werden soll. Eine Markensatzung muss gewisse Mindesterfordernisse als Berechtigung für die Nutzung der Marke festlegen. Damit werden das Material, die Herstellungsmethode der Waren oder die Erbringung der Dienstleistungen, die Qualität, die Genauigkeit oder andere Eigenschaften gewährleistet, um eine klare Unterscheidung zu anderen Waren oder Dienstleistungen zu ermöglichen.

Kein Herkunftshinweis

Interessenvereinigungen und Zertifizierungsstellen als Inhaber von Verbands- oder Individualmarken, die deren Mitglieder zwar als Gütezeichen, aber nicht als Herkunftshinweis für ein bestimmtes Unternehmen nutzen, sollten daher so rasch wie möglich entsprechende Gewährleistungsmarken anmelden. Diese sind das neue Instrument zur richtigen Vermarktung von wertvoller Qualitätssicherung über Gütezeichen. Das ist umso wichtiger, als Konsumenten beim heutigen Überangebot an Waren und den vielfältig übertriebenen Werbeankündigungen verlässliche und transparente Informationen über die Produktqualität brauchen. Auf diesem Weg können auch minderwertige Produkte, die über keine klaren und transparenten Gütezeichen verfügen, vom Markt verdrängt werden.

https://derstandard.at/2000087016903/Neues-Instrument-zur-Absicherung-von-Guetezeichen