Videoüberwachung und Whistleblowing
Für bestimmte Unternehmen wird zudem die Bestellung eines Datenschutzbeauftragten verpflichtend. Die DSGVO sieht eine verpflichtende Bestellung eines Datenschutzbeauftragten unter anderem dann vor, wenn die Kerntätigkeit (i) in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder (ii) in der umfangreichen Verarbeitung besonderer Kategorien von sensiblen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Der Wortlaut der Verordnung lässt dabei für die Praxis viele Fragen offen. Die Art 29-Datenschutzgruppe veröffentlichte Leitlinien und FAQs betreffend die Bestimmungen zum Datenschutzbeauftragten in der DSGVO. Als Beispiele werden Krankenhäuser, Versicherunge, Banken sowie Telefon- und Internetanbietern genannt.
Bei der Überwachung von Mitarbeitern hat der Betriebsrat besondere Mitwirkungsrechte. Dies gilt insbesondere bei Praktiken, welche die Menschenwürde berühren, wie Videoüberwachung und Whistleblowing. Heikel sind auch GPS-Überwachungen und Zutrittskontrollen mit Spezialfunktionen zur (potenziellen) Mitarbeiterüberwachung. Vor Einführung solcher Überwachungsvorhaben ist ebenfalls zwingend der Betriebsrat beizuziehen. Ohne Zustimmung des Betriebsrates (in Form einer gültigen Betriebsvereinbarung) darf ein Arbeitgeber solche Maßnahmen nicht umsetzen. Andernfalls hat der Betriebsrat einen Unterlassungs- und Beseitigungsanspruch. Zudem sind Kontrollen, welche die Menschenwürde verletzen, verboten. Dies gilt beispielsweise für die Überwachung von Sanitärräumen am Arbeitsplatz.
Datenschutz und Arbeitsrecht setzen Grenzen
Die Überwachung von Mitarbeitern, deren Arbeitsleistung und/oder Arbeitszeit ist nicht uneingeschränkt zulässig, im Gegenteil. Sowohl das Arbeitsrecht als auch das Datenschutzrecht sehen Grenzen und Mechanismen vor, um den Mitarbeiter zu schützen.
Nahezu jede Überwachung von Mitarbeitern stellt eine Datenanwendung im Sinne des DSG 2000 dar. Mit wenigen Ausnahmen führt dies dazu, dass Unternehmen verpflichtend eine Meldung an die Datenschutzbehörde erstatten und unter Umständen sogar vorab deren Genehmigung/Vorabkontrolle einholen müssen.. Das gilt zum Beispiel für Videoüberwachung oder Whistleblowing-Hotlines. Weiters kann in bestimmten Fällen eine Genehmigung der Datenschutzbehörde erforderlich sein, wie beispielsweise bei der Übermittlung und Überlassung von Mitarbeiterdaten an Drittstaaten.
Besonders schützenswert sind sensible Daten, also Daten von Mitarbeitern über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben. Solche Daten finden sich nicht selten in Lebensläufen oder Konzerndatenbanken, obgleich es hierfür keine Rechtfertigung gibt. Unternehmen sollten daher darauf achten, dass sie solche Daten nicht abfragen und falls sie solche Daten erhalten, diese jedenfalls nicht ohne ausdrückliche Zustimmung des Betroffenen in Datenbanken aufnehmen. Auch strafrechtlich relevante Daten sind sehr heikel. Für die Verarbeitung dieser Kategorien von Daten ist eine Vorabkontrolle durch die Datenschutzbehörde notwendig.
Mit der neuen Datenschutz-Grundverordnung wird es spätestens ab Mai 2018 in diesem Bereich Neuerungen geben, die von Arbeitgebern zu beachten sind. Insbesondere wird das Führen von sogenannten Verfahrensverzeichnissen über Verarbeitungstätigkeiten verpflichtend. Unternehmen mit weniger als 250 Arbeitnehmer trifft keine Pflicht zur Führung eines Verfahrensverzeichnisses, es sei denn, (i) bei der Datenverarbeitung besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen oder (ii) die Verarbeitung erfolgt nicht nur gelegentlich oder (iii) es werden besondere Datenkategorien, wie sensible Daten oder personenbezogene Daten über strafrechtliche Verurteilungen, verarbeitet. Trifft eine diese Voraussetzungen zu, besteht die Pflicht unabhängig von der Beschäftigtenzahl. Die DSGVO gibt den Mindestinhalt eines Verfahrensverzeichnisses vor. Es müssen Name und Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten, die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation enthalten sein. Die Mindestinhalte sind den derzeit im Rahmen von Meldungen beim Datenverarbeitungsregister erforderlichen Angaben vergleichbar.
Der Spagat zwischen Überwachung und Flexibilisierung
Die genannten Beispiele zeigen, dass Arbeitgeber oft einen Spagat zwischen Überwachung und Flexibilisierung erproben müssen. Zu viel Überwachung birgt ebenso wie zu viel Flexibilisierung rechtliche Risiken.
Neben arbeitsrechtlichen Vorgaben müssen Arbeitgeber im Zusammenhang mit der Zukunft der Arbeit insbesondere auch das Datenschutzrecht beachten. Nach der derzeit geltenden Rechtslage werden Verstöße gegen das Datenschutzrecht Österreich mit Verwaltungsstrafen in Höhe von bis zu 25.000 Euro bestraft. Durch die DS-GVO werden ab 25.05.2018 die Strafen massiv verschärft: Verstöße gegen Datenschutz sind dann mit Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs bedroht – und zwar je nachdem, welcher Strafrahmen höher ist.
Compliance im Bereich Mitarbeiterdatenschutz ist essentiell und muss fixer Bestandteil der Personaladministration werden, sofern sie dies nicht bereits ist. Mitarbeiter und Führungskräfte müssen für Datenschutz sensibilisiert und zu dessen Einhaltung verpflichtet werden, beispielsweise durch regelmäßige Schulungen und die Implementierung einer Datenschutz-Policy und deren regelmäßige Kontrolle.
Schließen Überwachung und Flexibilisierung einander aus?
Wenn es um die gesetzlichen Grundlagen geht: Nein.
In der Praxis sieht das freilich oft anders aus. In manchen Bereichen des österreichischen Arbeits- und Datenschutzrechts ist das Überwachen der Mitarbeiter eine Option, in wiederum anderen Bereichen eine gesetzliche Verpflichtung. Gleiches gilt für Flexibilisierung, wobei hier nach der derzeitigen Gesetzeslage Verpflichtungen weniger zahlreich sind als die Möglichkeiten und Optionen.
Was haben Arbeitsrecht und Datenschutzrecht miteinander zu tun?
Viel! Arbeitgeber sind sich oftmals nicht bewusst, wie umfangreich sie Mitarbeiterdaten verarbeiten. Oft werden nicht alle notwendigen Vorkehrungen zum Mitarbeiterdatenschutz getroffen.
Datenschutz ist als Grundrecht in Österreich verfassungsrechtlich verankert. Dies hat zur Folge, dass jedermann – also insbesondere auch ein Arbeitnehmer – Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. In Österreich gibt es (derzeit) kein eigenes Datenschutzrecht für Arbeitsverhältnisse. Es sind daher die allgemeinen Rechtsgrundlagen anwendbar, insbesondere das Datenschutzgesetz 2000 (DSG 2000) und ab 25.05.2018 die Europäische Datenschutz-Grundverordnung (DS-GVO).
Bei der Verwendung von Mitarbeiterdaten sind die allgemeinen Grundsätze des Datenschutzrechts zu beachten, unter anderem der Grundsatz der Zweckbindung. Dieser besagt, dass Daten nur für den Zweck verarbeitet werden dürfen, für den sie erhoben worden sind. Bei Mitarbeiterdaten sind zulässige Zwecke etwa die Durchführung der Buchhaltung und Lohnverrechnung. Ohne ausdrückliche Zustimmung unzulässig wäre aber etwa die Weitergabe von Mitarbeiterdaten an Personalvermittlungsunternehmen. Besonders relevant ist auch der Grundsatz der Speicherbegrenzung, wonach personenbezogene Daten nur solange aufbewahrt werden dürfen wie notwendig, um die Zwecke zu erreichen, für die sie ermittelt wurden. Bei der Beurteilung der Aufbewahrungsdauer sind diese Grundsätze, andererseits aber auch Vorgaben aus besonderen gesetzlichen Vorschriften (z. B. im Steuerrecht) zu beachten. Die „eine“, allgemeingültige Aufbewahrungsfrist gibt es nicht. Für jedes Unternehmen ist daher ratsam eine eigene Aufbewahrungs-Richtlinie zu erstellen.
Rolle des Betriebsrats
Auch der Betriebsrat spielt eine wichtige Rolle im Mitarbeiterdatenschutz: Dieser hat Informations- und Mitwirkungsrechte bei datenschutzrechtlichen Kontrollen. Die Rechte des Betriebsrates sind dabei nicht im Datenschutzgesetz, sondern im Arbeitsverfassungsgesetz umschrieben, wobei die Umschreibung sehr vage ist und Arbeitgeber immer wieder vor Auslegungsfragen stellt. Der Betriebsrat hat zunächst ein Recht auf Information darüber, welche Arten von personenbezogenen Arbeitnehmerdaten automationsunterstützt aufzeichnet und welche Verarbeitungen und Übermittlungen gemacht werden. Der Betriebsrat ist also beispielsweise zu informieren, wenn ein neues Personaldatenverwaltungssystem oder eine Umstellung auf elektronische Personalakte geplant ist. Dem Betriebsrat ist weiters – aber nur auf Verlangen – die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung zu ermöglichen. Der Betriebsrat kann beispielsweise Einsicht in das Programm, in die Programmdokumentation oder die Systembeschreibung verlangen. Zur Einsicht in die Daten einzelner Arbeitnehmer ist aber mit wenigen Ausnahmen die Zustimmung des jeweiligen Arbeitnehmers erforderlich. Ein Arbeitgeber darf daher dem Betriebsrat nicht ohne weiteres die gesamte Personalakte eines Mitarbeiters geben, ohne vorher die Zustimmung des betroffenen Mitarbeiters eingeholt zu haben.
Wie viel Überwachung darf sein?
Ein wichtiger Bereich, in dem das österreichische Recht eine Überwachung der Arbeitnehmer durch den Arbeitgeber nicht nur ermöglicht, sondern sogar vorschreibt, sind Arbeitszeitaufzeichnungen: Der Arbeitgeber ist – bis auf wenige Ausnahmen – verpflichtet, Aufzeichnungen über die Arbeitszeiten seiner Mitarbeiter zu führen. Diese müssen Beginn und Ende der täglichen Arbeitszeit sowie Lage und Dauer der täglichen Ruhepausen enthalten. Unternehmen müssen die Ruhepausen nicht aufzeichnen, wenn die Mitarbeiter im Außendienst arbeiten, wenn sie die Pausen selbst bestimmen dürfen oder wenn eine Betriebsvereinbarungen diese regelt.
Weiters müssen Organisationen Ort, Dauer und Art der Beschäftigung aller während der Wochenend-, Wochen-, Ersatz- oder Feiertagsruhe beschäftigten Arbeitnehmer und deren Entlohnung sowie die gewährte Ersatzruhe aufzeichnen.
Erleichterungen gibt es für Arbeitnehmer mit fixer Zeiteinteilung: Bei diesen sind nur Aufzeichnungen über Abweichungen zu führen. Für Arbeitnehmer, die die Lage ihrer Arbeitszeit und den Arbeitsort weitgehend selbst bestimmen können, sowie Arbeitnehmer, die ihre Tätigkeit überwiegend im Home-Office ausüben, sind bloße Saldenaufzeichnungen über die tägliche Nettoarbeitszeit ausreichend.
Besonders zu beachten ist, dass für Arbeitnehmer mit All-in-Vereinbarungen keine generelle Ausnahme von der Aufzeichnungspflicht besteht.
Der Arbeitgeber kann die Verpflichtung, Arbeitszeitaufzeichnungen zu führen, auf den Arbeitnehmer übertragen. Er muss diesen aber anleiten und kontrollieren. Und: Trotz Übertragung dieser Verpflichtung auf den Arbeitnehmer trägt der Arbeitgeber die Verantwortung und kann auch bei Verstößen mit Verwaltungsstrafen belangt werden.
Arbeitszeitkontrolle ist ein wichtiger Bestandteil eines effektiven Compliance-Systems. Jeder Arbeitgeber muss hier entsprechende Vorkehrungen treffen und sicherstellen, dass die Mitarbeiter die Arbeitszeiten korrekt aufzeichnen. Hilfestellungen bieten Zeiterfassungssysteme mit Ampellogik und/oder automatischen Warnungen. Unternehmen müssen die Führungskräfte diesbezüglich schulen und entsprechende Anweisungen (nicht bloße Hinweise) an die Mitarbeiter erteilen.
Wie viel Flexibilisierung ist möglich?
Auch wenn der Wunsch nach Flexibilisierung besonders im Hinblick auf die Arbeitszeiten groß ist, muss aus rechtlicher Sicht klar festgehalten werden, dass sich Arbeitgeber, die Vertrauensarbeitszeit implementieren wollen, einem hohen rechtlichen Risiko aussetzen. Bei von der Rechtsordnung nicht gedeckten Flexibilisierungen im Bereich Arbeitszeit drohen Strafen, Forderungen und andere negative Konsequenzen.
Typische Fehler im Zusammenhang mit der Flexibilisierung von Arbeitszeit sind beispielsweise die Vereinbarung einer Durchrechnung, obwohl dies durch den anwendbaren Kollektivvertrag nicht zugelassen ist, oder eine Gleitzeitpraxis ohne gültige Betriebsvereinbarung beziehungsweise schriftliche Einzelvereinbarung. Teilweise haben Betriebe eine tägliche Arbeitszeit von zehn Stunden, obwohl sie kein Modell vereinbart haben, das diese Stundenanzahl zulässt – wie Gleitzeit oder eine Vier-Tage-Woche.
