HRweb | Die erfrischende Plattform für Human Resources

Datenschutz Österreich – Schutz von Arbeitnehmerdaten

Haben Sie schon einmal überlegt, welche Daten von (potentiellen, bestehenden und ehemaligen) Mitarbeitern im Rahmen der Personaladministration gespeichert oder verarbeitet werden? – Es sind in der Regel sehr viele. Die aus der Praxis nicht mehr wegzudenkende Verwendung von Personaladministrationsprogrammen, die Umstellung auf elektronische Personalakten und Industrie 4.0 bringen weitere datenschutzrechtliche Aspekte mit sich.

Da es sich bei den im Rahmen der Personaladministration verwendeten Daten meist um personenbezogene Daten handelt, müssen Arbeitgeber Maßnahmen zum Schutz dieser Daten ergreifen. Datenschutz Österreich spielt in der Arbeitswelt eine immer bedeutendere Rolle. Arbeitgeber haben das Datenschutzgesetz Österreich zu beachten.

Nachstehend ein erster Überblick über die zahlreichen Pflichten, die Arbeitgeber im Zusammenhang mit dem Schutz von Arbeitnehmerdaten einhalten müssen.

Datenschutz ist ein Grundrecht

Gemäß dem Datenschutzgesetz Österreich hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Datenschutzgesetz Österreich sieht umfassende Regelungen über Datensicherheitsmaßnahmen, Meldepflichten, Genehmigungspflichten, Rechte der Betroffenen und Strafbestimmungen vor. Nicht zuletzt aufgrund der drohenden Strafen und negativen Konsequenzen sollte Datenschutz-Compliance fixer und ernstgenommener Bestandteil des Personalmanagements sein.

Datenschutz Österreich – Grundbegriffe

Der Begriff „Daten“ im Datenschutzrecht Österreich ist ein extrem weiter Begriff. Beispielsweise sind auch Kontonummer, Geschlecht, Familienstand, Intelligenzquotient, Bildaufzeichnungen oder Soft Skills „Daten“ im Sinne des Datenschutzgesetzes Österreich. Das Datenschutzgesetz Österreich sieht zudem besondere Beschränkungen für die Verwendung sensibler Daten vor. Sensible Daten sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben. Arbeitgeber denken oft, dass sie solche Daten ohnedies nicht verwenden. Das täuscht, da sich regelmäßig auch abgesehen von Krankenstandsdaten weitere sensible Daten im Personalakt „verstecken“.

Wichtig zu wissen ist auch, dass nicht erst das Verarbeiten von Daten dem Datenschutzgesetz Österreich unterliegt. Unter den Begriff „Datenverwendung“ fällt jede Art der Handhabung von Daten, also vor allem das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten und auch das Übermitteln von Daten.

Einer der zentralen Grundsätze des Datenschutzes Österreich ist jener der Datensparsamkeit. Arbeitgeber sind verpflichtet, bei der Verwendung von Daten zu überprüfen, ob diese tatsächlich erforderlich ist. Dabei stehen Arbeitgeber oft vor schwierigen Abwägungsfragen – so kann die Verwendung von Krankheitsdaten zum Zweck der Einführung von Maßnahmen zur Gesundheitsprävention riskant und im Widerspruch zum Datenschutzrecht Österreich sein.

Datenschutzbehörde und Datenverarbeitungsregister

Die für Österreich zuständige Datenaufsichtsbehörde ist die Datenschutzbehörde (früher: Datenschutzkommission). Jede Datenanwendung muss vom Auftraggeber (im Arbeitsverhältnis ist dies in der Regel der Arbeitgeber) beim Datenverarbeitungsregister über DVR-online gemeldet werden. Typische Beispiele für Datenanwendungen im Bereich Personaladministration sind elektronische Personalakten, Personalstammdatenverwaltungssysteme, Systeme für die automationsunterstützte Erfassung, Verarbeitung, Verwaltung und Übermittlung von Mitarbeiterdaten zur Personaladministration, Systeme zur Mitarbeiterbeurteilung oder Performance Management.

Ausnahmen von der Meldepflicht sind in der Standard- und Muster-Verordnung 2004 (StMV 2004) geregelt. Im Bereich der Personaladministration besonders relevant ist die Standardanwendung SA002 „Personaldatenverarbeitung für privatrechtliche Dienstverhältnisse“.

Für manche Datenanwendungen ist aber andererseits zusätzlich eine Vorabkontrolle (z.B. bei Verwendung sensibler Daten) oder sogar eine Genehmigung (z.B. bei Whistleblowing Hotlines oder gewisse Formen der Datenübermittlungen an Drittstaaten) der Datenschutzbehörde erforderlich. Diese Verfahren sind administrativ aufwändig, weshalb ausreichend Vorlaufzeit eingeplant werden sollte.

Datenschutz bei Verwendung externer Dienstleister

Nahezu kein Unternehmen führt die gesamte Personaladministration in einer einzelnen unternehmensinternen Abteilung durch. Meist werden externe Dienstleister wie Personalverrechner, IT-Dienstleister oder Softwareprogramme zur Unterstützung eingesetzt.

Aus datenschutzrechtlicher Sicht bedeutet der Einsatz von Dienstleistern in der Regel, dass Daten überlassen werden. Als Konsequenz muss mit dem Dienstleister ein Dienstleistervertrag abgeschlossen werden. Der Auftraggeber (in dem Fall der Arbeitgeber) muss die Einhaltung der Dienstleisterpflichten durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen auch kontrollieren. Das Datenschutzgesetz Österreich schreibt eine Vielzahl an Pflichten des Dienstleisters vor, beispielsweise Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden und umfassende Datensicherheitsmaßnahmen zu treffen.

Datenschutz Österreich und Aufbewahrung von Daten

Gemäß dem Datenschutzgesetz Österreich ist die Aufbewahrung von Daten in personenbezogener Form nur in jenem Ausmaß und jener Dauer zulässig, wie dies im konkreten Fall auch wirklich erforderlich ist. Wie lange das jeweils ist, muss immer im Einzelfall ermittelt werden. Es gibt keine generelle und auch keine nach Datenarten aufgelisteten Aufbewahrungsfristen.

Zur Erleichterung für die Personaladministration empfiehlt sich die Erstellung einer unternehmensinternen Richtlinie zur Aufbewahrung von Daten. Dabei sind je nach Datenart einerseits gesetzliche Mindestfristen für die Aufbewahrung, andererseits die Einschränkungen des Datenschutzgesetzes Österreich zu beachten. Daten, die für die Abgabenerhebung von Bedeutung sind, sind beispielsweise sieben Jahre aufzubewahren. Unterlagen, die zur sozialversicherungsrechtlichen Beurteilung eines Dienstverhältnisses notwendig sind, sollten fünf Jahre aufbewahrt werden. Für manche Datenarten ist auch die allgemeine Verjährungsfrist von 30 Jahren relevant, beispielsweise für Unterlagen zur Ausstellung eines Dienstzeugnisses (was sich aber auf Aufzeichnungen über die Dauer und die Art der Tätigkeit beschränkt).

Sind Daten für die Abwicklung des Arbeitsverhältnisses oder damit in Zusammenhang stehende Rechte und Pflichten nicht mehr erforderlich, sind sie zu anonymisieren oder zu löschen (und zwar so, dass eine Wiederherstellung nicht mehr möglich ist).

Wichtig ist auch, Personalakte (in physischer und elektronischer Form) regelmäßig zu „entrümpeln“. Dabei ist zu überprüfen und abzuwägen, ob dort nicht Daten enthalten sind, die nicht mehr aufbewahrt werden müssen oder dürfen.

Datenschutz Österreich und Betriebsrat

Betriebsräte sind auf das Thema Datenschutz mehr und mehr sensibilisiert. Das Datenschutzgesetz Österreich enthält keine speziellen Regelungen zu Mitwirkungsrechten des Betriebsrates. Diese finden sich im Arbeitsverfassungsgesetz.

Der Betriebsrat hat das Recht, darüber informiert zu werden, welche Arten von personenbezogenen Arbeitnehmerdaten automationsunterstützt aufzeichnet und welche Verarbeitungen und Übermittlungen gemacht werden. Er kann auch die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung verlangen. Der Betriebsrat hat aber kein generelles Recht auf Einsicht in die Daten einzelner Arbeitnehmer. Dafür muss – mit einigen Ausnahmen – vorab die Zustimmung des betroffenen Arbeitnehmers eingeholt werden.

Manche Datenverwendungen sind zustimmungspflichtig, beispielsweise Zeiterfassungssysteme, Systeme zur Beurteilung von Arbeitnehmern, Videoüberwachungen am Arbeitsplatz oder biometrische Zugangskontrollen. Solche Maßnahmen dürfen ohne Zustimmung des Betriebsrates in Form einer Betriebsvereinbarung nicht umgesetzt werden. In Betrieben ohne Betriebsrat ist bei solchen Maßnahmen die Zustimmung jedes einzelnen Arbeitnehmers einzuholen..

Datenschutz-Compliance in der Praxis

Um mit dem Datenschutzrecht Österreich „compliant“ zu sein sowie Strafen und andere negative Konsequenzen möglichst zu verhindern, sollten insbesondere folgende Maßnahmen als Teile eines internen Kontrollsystems implementiert werden:

  • Ist-Analyse, welche personenbezogenen Daten von Mitarbeitern wofür, wie und wo verwendet werden (Übersicht über Datenarten, Gruppen der betroffenen Personen, Datenanwendungen, Zweck sowie Details der Erhebung, Speicherung und sonstigen Verwendung)
  • Überprüfung, ob alle diese Datenanwendungen rechtmäßig sind und mit den Grundsätzen des Datenschutzgesetzes übereinstimmen.
  • Entwicklung eines Datenschutzsicherheitskonzepts, Implementierung und laufende Überprüfung der Einhaltung und Gültigkeit.
  • Erstellung einer Richtlinie zum Thema Schutz von Mitarbeiterdaten, Umgang mit Daten und Aufbewahrungsfristen.
  • Überprüfung, ob eine DVR-Nummer vorhanden ist und alle Datenanwendungen bei der Datenschutzbehörde gemeldet sind.
  • Überprüfung, ob Vertragspartner (Dienstleister, Lieferanten etc) über eine DVR-Nummer verfügen und die Grundsätze des Datenschutzrechts einhalten.
  • Überprüfung, ob die Mitarbeiter zur Einhaltung des Datenschutzgeheimnisses verpflichtet wurden.
  • Überprüfung, welche Dienstleister eingesetzt werden, ob mit diesen ein Dienstleistervertrag abgeschlossen ist und ob diese ihre Pflichten gemäß Datenschutzgesetz Österreich einhalten.
  • Überprüfung, welche Rechte des Betriebsrates im Zusammenhang mit den Datenanwendungen bestehen und ob diese Rechte gewahrt sind.

Wichtiger Hinweis: Vor kurzem wurde auf EU-Ebene die Datenschutz-Grundverordnung (Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) beschlossen. Sie gilt ab 25. Mai 2018 und ist für die Mitgliedstaaten unmittelbar anwendbar. Sie bringt zahlreiche, auch für das Personalmanagement relevante Neuerungen. Dazu wird in einem separaten Beitrag berichtet.


Siehe auch weitere Datenschutz-Artikel auf HRweb



Kommentare:

Wir freuen uns über Ihre Kommentare, sofern sie auch für andere Leser interessant sind (Erfahrungen, Meinungen, zusätzliche Informationen, etc.)
Wir bitten um Verständnis, dass hier KEINE Rechtsberatung gegeben werden kann, das ist nicht der Sinn des Kommentar-Feldes. Für Rechtsberatungen steht Ihnen unsere Arbeitsrechts-Autorin Dr. Anna Mertinz gerne kostenpflichtig zur Verfügung: Anna.Mertinz@KWR.at

teilen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Spielregeln