Durch Kontrollmaßnahmen am Arbeitsplatz wird nicht selten das Recht auf Datenschutz der Arbeitnehmer berührt. Abseits von Themen wie Mitsprache- oder Zustimmungsrechten des Betriebsrates sowie arbeitsrechtlichen Aspekten der Zulässigkeit sollten Arbeitgeber auch immer das Thema Datenschutz bedenken, wenn sie ihre Arbeitnehmer im zulässigen Rahmen kontrollieren (wollen).
Personenbezogene Daten und Kontrollmaßnahmen
Bei der Durchführung von Kontrollmaßnahmen am Arbeitsplatz werden personenbezogene Daten der Arbeitnehmer verwendet. Das klingt simpel, wird aber oft nicht bedacht. Schon allein aus diesem Umstand heraus sind die Grundsätze des Datenschutzrechts Österreich zu beachten. Nicht jede Kontrollmaßnahme ist aus datenschutzrechtlicher Sicht zulässig.
Ein wesentlicher Grundsatz des Datenschutzrechts Österreich ist, dass Daten nur verwendet werden dürfen, soweit sie für den Zweck der Datenanwendung wesentlich sind und über diesen Zweck nicht hinausgehen. Auch die Speicherdauer ist nicht unbegrenzt: Sie ist ebenfalls auf das notwendige Maß zu begrenzen.
Die Bestimmungen des Datenschutzgesetzes Österreich enthalten dabei viele für die Rechtsanwender schwer greifbare Begriffsbestimmungen. Beispielsweise ist die Frage, wie lange eine Speicherung personenbezogener Daten im Anschluss an eine Kontrolle notwendig ist, eine Einzelfallbeurteilung und kann nicht generell mit „1 Jahr“ oder „14 Tage“ beantwortet werden. (siehe auch HRweb-Artikel: „Datenschutz Österreich und Aufbewahrung von Daten“)
Arbeitnehmern die Privatnutzung erlauben oder verbieten?
Arbeitgebern ist zuweilen nicht bewusst, dass die Zulässigkeit der Privatnutzung von Firmeneigentum (wie beispielsweise von PC oder Mobiltelefon sowie die Privatnutzung des Internets oder Firmen-E-Mail-Accounts) zahlreiche arbeitsrechtliche und datenschutzrechtliche Auswirkungen hat. Die Privatnutzung sollte nicht einfach „passieren“ oder „schleichend einreißen“.
(Siehe auch HRweb-Artikel „Neuigkeiten Datenschutz Österreich | Einsicht in Email-Account zulässig?“)
So sind insbesondere die Kontrollrechte des Arbeitgebers weiter, wenn die Privatnutzung ausdrücklich und gänzlich verboten ist. Ist die Privatnutzung hingegen generell oder in einem gewissen Ausmaß zulässig, so sind die Kontrollrechte des Arbeitgebers eingeschränkter. Dies hat vor allem den Hintergrund, dass das Risiko eines Eingriffs in den persönlichen Bereich der Arbeitnehmer geringer ist, wenn die Privatnutzung verboten ist.
Bei verbotener Privatnutzung können (und sollen zwecks Vermeidung des Entstehens einer betrieblichen Übung) Stichproben durchgeführt werden, um zu überprüfen, ob das Verbot auch eingehalten wird. Bei Verstößen gegen ein Verbot der Privatnutzung sollten auch Handlungen gesetzt werden, etwa eine Ermahnung oder Verwarnung (samt Dokumentation).
Ist die Privatnutzung grundsätzlich erlaubt, ist eine Zuordnung der Daten mangels gegenteiliger ausdrücklicher Regelung nur erlaubt, wenn ein konkreter Verdacht auf missbräuchliche Verwendung besteht. Es ist im Einzelfall eine Abwägung der Interessen von Arbeitgeber und Arbeitnehmer durchzuführen und die Verwendung ist nur erlaubt, wenn überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. Dies wird beispielsweise auch dann vorliegen, wenn die Protokollierung und Auswertung von Logfiles zum Zweck der Überprüfung des IT-Systems unbedingt erforderlich und verhältnismäßig ist. Alternativ dazu kann die Zustimmung des Arbeitnehmers zur Datenverwendung eingeholt werden.
Wie wirksam ist eine Zustimmungserklärung zur Verwendung von Mitarbeiterdaten?
Im Datenschutzrecht Österreich ist geregelt, dass die Verwendung von personenbezogenen Daten zulässig ist, wenn die betroffene Person der Verwendung zugestimmt hat. Unter „Zustimmung“ wird im Datenschutzrecht Österreich „die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt“ verstanden.
Sensible Daten, das sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben, sind ebenfalls einer Zustimmung zugänglich; die Zustimmung muss aber ausdrücklich erfolgen.
Die österreichische Rechtsprechung hat Anforderungen an die Zustimmungserklärung entwickelt, die jedenfalls zu beachten sind: Wichtig ist in erster Linie, dass die Datenarten, der Übermittlungsempfänger und auch der Zweck der Datenverarbeitung in der Zustimmungserklärung möglichst genau und transparent beschrieben werden. Auch ein Hinweis, dass die Zustimmungserklärung jederzeit widerrufen werden kann, muss in der Zustimmungserklärung enthalten sein. Die Zustimmungsklausel darf im Text des Arbeitsvertrages nicht „untergehen“, sondern sollte im Text hervorgehoben werden, beispielsweise durch Fettdruck oder in einem separaten Dokument.
Falls Sie Standardverträge für Dienstverhältnisse verwenden, achten Sie daher darauf, dass die Zustimmungserklärung (besonders, wenn auch sensible Daten betroffen sind) gut sichtbar, verständlich, transparent und klar formuliert ist. Eine pauschale Zustimmung zu jeglicher Verwendung und Verarbeitung personenbezogener Mitarbeiterdaten wird in der Regel nicht als ausreichend erachtet.
Weiterer Hinweis: Die im April 2016 beschlossene und ab 25.5.2018 geltende EU-Datenschutz-Grundverordnung sieht besondere Bedingungen für die Einwilligung vor: Der für die Verarbeitung Verantwortliche – bei Arbeitnehmerdaten in der Regel der Arbeitgeber – muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Auch die jederzeitige Widerrufsmöglichkeit ist in der Datenschutz-Grundverordnung vorgesehen, wobei der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. (siehe auch HRweb-Artikel „Datenschutz-Grundverordnung | Must Know für HR„)
Meldungspflichten
Da Kontrollmaßnahmen regelmäßig Datenanwendungen im Sinne des Datenschutzgesetzes Österreich darstellen, muss eine Meldung beim Datenverarbeitungsregister über DVR-online erfolgen, sofern keine Ausnahme vorliegt. Für bestimmte Kontrollmaßnahmen ist zusätzlich eine Vorabkontrolle bei der Datenschutzbehörde notwendig (siehe Datenschutzbehörde und Datenverarbeitungsregister).
Hinweis: Ab 25.5.2018 wird das Konzept der Meldungen bei der Datenschutzbehörde durch jenes des Verfahrensverzeichnisses abgelöst (siehe auch HRweb-Artikel „Datenschutz-Grundverordnung | Must Know für HR„).
Welche Rolle spielt der Betriebsrat?
Nach § 96 Abs 1 Z 3 ArbVG ist eine Betriebsvereinbarung für die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer zwingend erforderlich, sofern diese Maßnahmen bzw. Systeme die Menschenwürde berühren. Will ein Arbeitgeber eine solche Maßnahme einführen, muss er vorab die Zustimmung des Betriebsrates in Form einer Betriebsvereinbarung einholen.
Ob eine Kontrollmaßnahme die Menschenwürde berührt, muss im konkreten Einzelfall beurteilt werden. Dabei ist auch von Bedeutung, ob Arbeitnehmern das Recht zur Privatnutzung eingeräumt ist. Falls ja, besteht mehr als bei einem Verbot der Privatnutzung das Risiko, dass auch private Informationen aufgezeichnet werden.
Eine Kontrollmaßnahme liegt nach herrschender Meinung beispielsweise dann vor, wenn Logfiles derart protokolliert und ausgewertet werden, dass sie einem konkreten Arbeitnehmer zuordenbar sind. Bitte beachten Sie: Es kommt dabei nach herrschender Ansicht nicht auf die tatsächliche Ausübung der Kontrolle an, sondern auf die objektive Eignung der Anlage, Kontrollmaßnahmen zu ermöglichen.
Auch wenn eine sorgfältige Prüfung und Evaluierung ergibt, dass für eine Kontrollmaßnahme keine zwingende Betriebsvereinbarung notwendig ist, kann für die Durchführung von Compliance-Untersuchungen aufgrund konkreter Verdachtsfälle doch eine Zustimmung des Betriebsrates erforderlich sein. Solche Fälle unterliegen jedoch in der Regel nicht der notwendigen Zustimmung des Betriebsrats nach § 96 Abs 1 Z 3 ArbVG, sondern es handelt sich um einen Fall einer sogenannten ersetzbaren Zustimmung gemäß § 96a ArbVG. Dies bedeutet, dass eine Schlichtungsstelle angerufen werden kann, wenn sich Arbeitgeber und Betriebsrat nicht einigen.
(Siehe auch HRweb-Artikel „Datenschutz Österreich und Betriebsrat“)
Summing up …
Die Rolle von Datenschutz im Arbeitsrecht wird zunehmend präsenter, die Sensibilität für datenschutzrechtliche Aspekte immer größer. Durch moderne Technologien und Techniken sind neue und umfassende Kontrollmaßnahmen möglich. Die technischen Grenzen möglicher Kontrollmaßnahmen verschwimmen immer mehr. Die rechtlichen Grenzen zulässiger Kontrollmaßnahmen werden aber weiterhin insbesondere durch das Arbeitsrecht und das Datenschutzrecht gesetzt. Daher sind die Voraussetzungen und Grenzen des Datenschutzes bei der Einführung von Kontrollmaßnahmen durch Arbeitgeber ebenso zu beachten wie arbeitsrechtliche Regelungen.
Kommentare zum Thema „Achtung: Datenschutz! | Wenn Unternehmen ihre Mitarbeiter kontrollieren (möchten)“:
Wir freuen uns über Ihre Kommentare, sofern sie auch für andere Leser interessant sind (Erfahrungen, Meinungen, zusätzliche Informationen, etc.)
Wir bitten um Verständnis, dass hier KEINE Rechtsberatung gegeben werden kann, das ist nicht der Sinn des Kommentar-Feldes. Für Rechtsberatungen steht Ihnen unsere Arbeitsrechts-Autorin Dr. Anna Mertinz gerne kostenpflichtig zur Verfügung: Anna.Mertinz@KWR.at
Achtung: Datenschutz! | Wenn Unternehmen ihre Mitarbeiter kontrollieren (möchten)
