Die DSGVO regelt die Verarbeitung „personenbezogener Daten“. Was ist darunter zu verstehen?
Nach der Terminologie der Datenschutz-Grundverordnung sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Datenbegriff ist allumfassend, das heißt, er kann sich auf alle Informationen beziehen, die eine natürliche Person betreffen – vom Namen über Alter, Adresse, Familienstand, politische Gesinnung
und Gesundheitszustand bis zur Schuhgröße. Der Begriff „identifizierbar“ wird in diesem Zusammenhang sehr weit gefasst, denn auch Online-Kennungen, Standortdaten und besondere Merkmale einer Person wie beispielsweise auffällige Narben gehören zu den fraglichen Informationen. Betroffen ist jede „Verarbeitung“, wozu bereits das Erfassen oder Erheben von Daten gehört. Unternehmen sind ab Inkrafttreten der DSGVO bei der Verarbeitung von personenbezogenen Daten ihrer Arbeitnehmer, aber zum Beispiel auch ihrer Kunden und Lieferanten an die Bestimmungen der Verordnung gebunden.
Was müssen Arbeitgeber bei der Verarbeitung von personenbezogenen Daten grundsätzlich beachten?
Aus Artikel 5 DSGVO lassen sich folgende Grundsätze ableiten, die generell im Umgang mit Daten berücksichtigt werden müssen:
► „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“: Personengebundene Daten dürfen nur verarbeitet werden, soweit es zulässig ist, und es muss für den Betroffenen nachvollziehbar sein, wie dies geschieht.
► „Zweckbindung“: Es muss klar sein, wofür die Daten erhoben und verarbeitet werden, und die Daten dürfen nur für diese Zwecke verwendet werden.
► „Datenminimierung“: Es dürfen nur so viele Daten erhoben werden, wie für den festgelegten Zweck unbedingt notwendig ist.
► „Richtigkeit“: Die Daten müssen immer auf dem aktuellen Stand gehalten werden. Falsche oder nicht mehr benötigte Daten müssen unverzüglich gelöscht oder berichtigt werden.
Wann ist die Verarbeitung personenbezogener Daten zulässig?
Die Verarbeitung von personenbezogenen Daten ist nach Artikel 6 DSGVO nur dann zulässig, wenn zumindest eine der folgenden Voraussetzungen erfüllt ist:
1. Der Arbeitnehmer hat eine ausdrückliche, jederzeit widerrufbare Zustimmung zur Verarbeitung der Daten erteilt.
2. Die Verarbeitung ist notwendig, um einen (Arbeits-)Vertrag anzubahnen oder zu erfüllen und geschieht auf Initiative des Arbeitnehmers, das heißt, der Arbeitnehmer schickt beispielsweise seine Bewerbung ein. Nicht umfasst sind Daten, die der Arbeitgeber über Personen erhebt, für die er sich interessiert, die sich aber nicht aktiv beworben haben.
3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Arbeitgebers notwendig. Das ist insbesondere im Steuer- und Sozialversicherungsrecht der Fall: Der Arbeitgeber benötigt die Sozialversicherungsnummer des Arbeitnehmers zum Beispiel, um für diesen ein Beitragskonto bei der Sozialversicherung anzulegen und Lohnsteuer abzuführen.
4. Die Verarbeitung ist aus lebenswichtigen Interessen des Arbeitnehmers oder eines Dritten notwendig. Wenn beispielsweise ein Arbeitnehmer am Arbeitsplatz zusammenbricht, kann es notwendig sein, dass der Arbeitgeber Daten über die Blutgruppe und mögliche Impfungen des Mitarbeiters erhebt und weitergibt, die er von Dritten bekommen hat oder Papieren des Arbeitnehmers entnimmt, die dieser bei sich trägt.
5. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Arbeitgebers oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Ein „überwiegendes Interesse“ des Arbeitgebers wird beispielsweise bei einem Vertriebsmitarbeiter darin bestehen, dessen Kontaktdaten an potenzielle Kunden weiterzugeben oder diese auf der Homepage zu veröffentlichen. Allgemein anerkannte Betriebszwecke werden bei Daten, die nicht unter die besonderen Kategorien des Artikel 9 DSGVO fallen („sensible Daten”), in der Regel zu einem höheren Interesse des Arbeitgebers führen. Im Detail kann die Beurteilung jedoch schwierig sein. Je weiter die Verarbeitung vom eigentlichen Unternehmenszweckentfernt liegt, desto eher wird das höherwertige Interesse des Arbeitnehmers durchdringen. Verfolgt das Unternehmen etwa den Aufbau einer konzernweiten Datenbank zum Zwecke des Recruitings, dürften die Arbeitnehmerinteressen als vorrangig angesehen werden und es muss eine Zustimmung eingeholt werden.
Können Sie Beispiele nennen, die zeigen, welche Mitarbeiterdaten Unternehmen verarbeiten dürfen und welche nicht?
Nach der DSGVO müssen verschiedene Kriterien erfüllt sein: für jede Verarbeitung muss es einen konkreten Grund geben. Die Datenverarbeitung darf dann auch nur für diesen Zweck erfolgen und muss für die Mitarbeiter nachvollziehbar sein.
In manchen Fällen sind Datenverarbeitungen jedenfalls gerechtfertigt. Der Arbeitgeber kann etwa Daten der Arbeitnehmer verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Arbeitgebers erforderlich ist. Dabei kann es sich um steuer- oder sozialversicherungsrechtliche Verpflichtungen handeln. Nach § 76 Abs. 1 EStG hat der Arbeitgeber für jeden seiner Arbeitnehmer ein Lohnkonto zu führen, in welchem verschiedene personenbezogene Daten des Arbeitnehmers angeben sein müssen (wie Name, Sozialversicherungsnmmer oder Wohnsitz). Nach § 33 ASVG hat der Arbeitgeber seine Mitarbeiter beim zuständigen Krankenversicherungsträger anzumelden, wobei – zumindest bei vollständiger Anmeldung – Name und akademische Grade des Arbeitnehmers, seine Wohnadresse, sein Geburtsdatum inklusive Versicherungsnummer, sein Geschlecht und auch seine Staatsangehörigkeit anzugeben sind. Sämtliche Änderungen in diesem Zusammenhang hat der Arbeitgeber dem Krankenversicherungsträger zu melden (§ 34 ASVG).
Werden bei einem medizinischen Notfall am Arbeitsplatz Gesundheitsdaten über den Arbeitnehmer erhoben, kann diese Form der Datenverarbeitung ebenfalls zulässig sein. Wenn die Verarbeitung also aus lebenswichtigen Interessen des Arbeitnehmers oder eines Dritten notwendig ist, können in diesem Zusammenhang grundsätzlich bestimmte Daten erhoben und weitergegeben werden, wie etwa Blutgruppe, Impfungen, Allergien oder zumindest auch Teile seiner Krankengeschichte (vielleicht ob der Arbeitnehmer schon einmal einen Herzinfarkt hatte?).
Bei Zustimmung des Arbeitnehmers auch zu einer darüber hinausgehenden Datenverarbeitung besteht keine Einschränkung auf die oben genannten personenbezogenen Daten, jedoch gilt weiterhin der Grundsatz der Zweckbindung und auch, dass die Menge der verarbeiteten Daten auf ein Mindestmaß zu reduzieren ist. Die zu diesem Zweck abgeschlossenen Zustimmungsvereinbarungen müssen jene Daten, die verarbeitet werden sollen, und den Grund hierfür konkret und verständlich angeben, damit der Arbeitnehmer die Folgen seiner Zustimmung abschätzen kann. Der Arbeitnehmer muss darüber informiert werden, dass er seine Zustimmung jederzeit widerrufen kann. Widerruft der Arbeitnehmer seine Zustimmung, ist jede Datenverarbeitung für sich genommen anhand der Grundsätze der DSGVO zu bewerten.
Was sind „sensible Daten“ und welche besonderen Vorschriften gelten für sie?
Die Verarbeitung sensibler Daten ist nach Artikel 9 Absatz 2 DSGVO nur in wenigen Ausnahmefällen zulässig. Sensibel sind Daten, aus denen sich die ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit einer Person ergeben.
Außerdem zählen dazu genetische und/oder biometrische Daten zur Identifizierung einer Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Diese Daten dürfen nur in bestimmten Fällen verarbeitet werden. Für Arbeitsverhältnisse sind zwei Ausnahmen von besonderer Bedeutung:
1. Die Verarbeitung der sensiblen Daten ist aufgrund arbeits- und sozialrechtlicher Schutzvorschriften notwendig. Darunter können auch Gesundheitsvorsorge und Arbeitsmedizin fallen, wobei dann jedoch eine Verarbeitung durch Fachpersonal, in der Regel Ärzte oder Psychologen, erforderlich ist.
2. Die betroffene Person hat die Daten selbst veröffentlicht, zum Beispiel auf einem öffentlich zugänglichen Social-Media-Profil.
Haben die Arbeitnehmer Einfluss auf die Verwendung ihrer Daten?
Innerhalb eines Unternehmens werden ein und dieselben Daten oft auf unterschiedlichste Art und Weise verarbeitet. Sie tauchen beispielsweise in internen Verzeichnissen auf, werden an die Payroll-Provider oder an Kunden weitergeleitet oder auf der Homepage veröffentlicht. Die Vielzahl der Verwendungsarten macht eine umfangreiche Zustimmungserklärung des Arbeitnehmers aus praktischer Sicht unerlässlich. Liegt diese nicht vor, ist bei jeder einzelnen Datenverarbeitung zu prüfen, ob diese zulässig ist.
Um die Zustimmungserklärung gestalten zu können, empfiehlt es sich, im Rahmen eines Datenschutzaudits zu erheben, welche Arbeitnehmerdatenverarbeitungen im Unternehmen regelmäßig anfallen. Dabei sollten Arbeitgeber auch den in der DSGVO normierten Grundsatz der Datenminimierung im Auge behalten, das heißt überprüfen, ob alle verarbeiteten Daten wirklich notwendig sind und – wenn ja – zu welchem Zweck genau. Danach sollten sie die Zustimmungserklärungen in Angriff nehmen, da pauschale Formulierungen, wie sie bisher üblich waren, nach der DSGVO nicht mehr ausreichend sind.
In einer Zustimmungserklärung müssen Unternehmen die Datenanwendung möglichst genau beschreiben, aber auch im Sinne der Transparenz möglichst verständlich formulieren. Der zustimmende Mitarbeiter muss die Folgen seiner Zustimmung abschätzen können, das heißt, ihm müssen die Konsequenzen, aber auch die Widerruflichkeit seiner Erklärung klar sein. Sollte das nicht der Fall sein, ist die Erklärung unwirksam.
Arbeitnehmer können ihre Zustimmungserklärungen zudem jederzeit widerrufen. Dies führt dazu, dass ab dem Zeitpunkt des Widerrufs jede einzelne Datenverarbeitung nach den oben genannten Kriterien überprüft werden muss und allenfalls unzulässig sein kann. Fraglich ist, ob Arbeitgeber zum Beispiel berechtigt sind, einem Arbeitnehmer zu kündigen, wenn gewisse Datenverarbeitungen ohne dessen Zustimmung unzulässig sind, dies aber eine sinnvolle Tätigkeit des Arbeitnehmers unmöglich macht. Das wäre zum Beispiel dann der Fall, wenn eine Schauspielerin die Zustimmung zur Verarbeitung von Daten zu ihren Körpermaßen widerruft, was die Herstellung von Kostümen für eine Produktion unmöglich macht. Auch ein Außendienstmitarbeiter, der keine Zustimmung erteilt, seine berufliche Mobilnummer weiterzugeben, blockiert damit seine eigene Arbeit, da er für Kunden und den Arbeitgeber unerreichbar ist. In einem solchen Fall ist zu prüfen, ob ein berechtigtes Arbeitgeberinteresse an der Datenverarbeitung besteht, so dass diese auch ohne Zustimmung möglich ist. Ist dies nicht der Fall, verhindert aber der Arbeitnehmer weiterhin seine eigene Vertragserfüllung, könnte dies eine Kündigung aus personenbezogenen Gründen rechtfertigen.
Müssen die Unternehmen ihre Datenverarbeitungen nach wie vor beim Datenverarbeitungsregister (DVR) melden?
Bislang mussten Arbeitgeber als „Auftraggeber“ von Datenanwendungen eine Meldung beim Datenverarbeitungsregister (DVR) machen. Dabei war jegliches Verarbeiten von Daten zu melden. Diese Form der externen Kontrolle entfällt ab dem 25. Mai 2018.
Unternehmen müssen künftig selbst ein Verarbeitungsverzeichnis für personenbezogene Daten führen. Was muss dieses umfassen?
Um die Verarbeitung von personenbezogenen Daten zu dokumentieren, muss jedes Unternehmen mit mehr als 250 Arbeitnehmern ein „Verzeichnis von Verarbeitungstätigkeiten“ führen. Unternehmen mit weniger Mitarbeitern müssen ein solches Verzeichnis führen, wenn sie
a) Daten mit besonderem Risiko (etwa Daten von Minderjährigen, große Datenmengen, Daten, die von einem Berufsgeheimnis betroffen sind, etc.),
b) Daten nicht nur gelegentlich oder
c) sensible Daten
verarbeiten. Diese Voraussetzungen beziehen sich jedoch nicht nur auf personenbezogene Daten von Arbeitnehmern, sondern auch auf die Daten von Kunden oder Lieferanten. Völlig unklar ist daher, was in diesem Zusammenhang eine „nicht nur gelegentliche“ Datenverarbeitung sein soll. Bei den meisten Unternehmen ist davon auszugehen, dass Daten von Kunden, Lieferanten und Arbeitnehmern laufend und nicht nur gelegentlich verarbeitet werden. Das Verarbeitungsverzeichnis ist daher zumindest jedem Unternehmen, das Arbeitnehmer beschäftigt, dringend anzuraten.
Das Verarbeitungsverzeichnis muss neben den personenbezogenen Daten selbst auch den Zweck der Verarbeitung der Daten und die Namen derjenigen Personen enthalten, denen die Daten offengelegt werden. Darüber hinaus sind Datenübermittlungen ins Ausland zu dokumentieren und – wenn möglich – Fristen für eine Löschung in das Verzeichnis aufzunehmen. Auch organisatorische Maßnahmen, die den Schutz der Daten sicherstellen sollen, müssen in dem Verzeichnis dokumentiert werden. Das Verzeichnis ist auf Verlangen der Datenschutzbehörde vorzuweisen.
Wie lange dürfen Arbeitgeber Daten von Bewerbern in Evidenz halten?
Bewerber haben ein Recht auf Vergessenwerden. Der datenschutzrechtlich Verantwortliche hat personenbezogene Daten einer Person unverzüglich zu löschen, wenn diese personenbezogenen Daten für den konkreten Zweck, für den sie erhoben wurden, nicht mehr notwendig sind.
Der Arbeitgeber muss also sämtliche personenbezogene Daten eines Bewerbers löschen, wenn das Bewerbungsverfahren beendet wurde, ohne dass es zu einer Einstellung des Bewerbers gekommen ist. Wenn der Arbeitgeber aber die Befürchtung hat, dass ein abgelehnter Bewerber Rechtsansprüche geltend macht, z. B. wegen Diskriminierung nach dem Gleichbehandlungsgesetz oder Behinderteneinstellungsgesetz, kann dies eine weitere Verarbeitung der Daten (auch das bloße Speichern dieser) zulässig machen. Da dem abgelehnten Bewerber zur Geltendmachung solcher Ersatzansprüche nach dem GlBG bzw. BEinstG eine Frist von 6 Monaten zur Verfügung steht, können die Daten bis zum Ablauf dieser Frist behalten werden. Ein weiteres „in Evidenz halten“ wäre nur mit Zustimmung des Bewerbers zulässig.
Wie lange dürfen Unternehmen Daten ehemaliger Mitarbeiter aufbewahren?
Dies ist ähnlich zu beurteilen, wie bei Bewerbern. Verstreicht die letzte Frist zur Geltendmachung etwaiger Ansprüche aus einem bereits beendeten Arbeitsverhältnis, sind damit auch die personenbezogenen Daten zu löschen. Dass dies jedoch unter Umständen eine relativ lange Aufbewahrungsfrist bedeuten kann, zeigt sich zum Beispiel daran, dass ein ehemaliger Arbeitnehmer zum Beispiel die Ausstellung eines Dienstzeugnisses bis zu 30 Jahre nach Auflösung des Arbeitsverhältnisses verlangen kann.
Probleme kann auch der Umgang mit elektronischen Accounts ehemaliger Mitarbeiter bereiten. Während der Dauer eines Arbeitsverhältnisses kann es vorkommen, dass sich im dienstlichen E-Mail-Account des Arbeitnehmers dienstliche und private Emails vermengen. Möchte der Arbeitnehmer also den dienstlichen E-Mail-Account eines ehemaligen Arbeitnehmers löschen, hat eine Interessenabwägung stattzufinden. Erst wenn das Interesse des Arbeitgebers an der Löschung der E-Mails das Interesse des ehemaligen Arbeitnehmers an der Aufbewahrung überwiegt, ist eine Löschung rechtmäßig. In der Regel werden die Interessen des Arbeitgebers immer schwerer wiegen, je länger das Arbeitsverhältnis bereits aufgelöst ist. Je nach Position und Funktion des ehemaligen Mitarbeiters wird dabei von der Lehre vertreten, dass die Aufbewahrungspflicht des Arbeitgebers bis zu 6 Monate dauern kann. Eine längere oder auch kürzere Frist kann natürlich mit Hilfe einer Zustimmungsvereinbarung festgelegt werden. Sinnvoll wäre natürlich auch – wenn möglich – dass der Arbeitnehmer aufgefordert wird, sich die privaten Daten zu sichern. Wenn diese Möglichkeit besteht, kann der Arbeitgeber danach die Daten natürlich löschen.
Ist die Verwendung von öffentlich zugänglichen Daten, zum Beispiel auf Social-Media-Portalen wie Facebook, LinkedIn oder Xing zulässig? Wenn ja, unter welchen Umständen?
Soweit die personenbezogenen Daten im Internet allgemein verfügbar sind, besteht an ihnen kein schutzwürdiges Interesse seitens des Bewerbers oder eines Mitarbeiters und eine Verarbeitung ist grundsätzlich nicht rechtfertigungsbedürftig. Dies betrifft etwa Daten auf öffentlichen Websites oder in öffentlichen Profilen in sozialen Netzwerken. Für den Arbeitgeber als Verantwortlichen bedeutet die bloße öffentliche Zugänglichkeit personenbezogener Daten jedoch nicht, dass er sie auch verarbeiten darf. Denn aufgrund des sog Grundsatzes der Zweckbindung (Art 5 Abs 1 lit b DSGVO) müssen die verwendeten personenbezogenen Daten in einem direkten Zusammenhang mit dem Bewerbungsprozess oder mit dem bereits bestehenden Arbeitsverhältnis stehen. Damit scheiden Informationen auf öffentlichen Profilen in sozialen Netzwerken, welche keinen Bezug zur Arbeitswelt aufweisen (zum Beispiel Facebook), aus. Die Verwendung von personenbezogenen Daten aus sozialen Netzwerken, welche einem rein berufsbezogenen Internetauftritt dienen, kann dementsprechend aber zulässig sein (zum Beispiel Linkedin, Xing).
Unter welchen Umständen sind Datenübermittlungen in Drittstaaten möglich?
In internationalen Konzernen stellt sich regelmäßig die Frage, ob personenbezogene Daten in Drittstaaten übermittelt werden dürfen. Hierbei handelt es sich um Staaten, die weder der EU angehören noch zu den Staaten des Europäischen Wirtschaftsraums (EWR) zählen. Wichtige Drittstaaten sind etwa die USA, China oder Russland. Nach der DSGVO ist allein die Europäische Kommission befugt, in Form sogenannter Angemessenheitsbeschlüsse die Datensicherheit in dem in Frage kommenden Drittstaat zu bewerten und die Zulässigkeit der Datenübermittlung verbindlich festzulegen. Zur DSGVO selbst gibt es noch keine entsprechenden Beschlüsse. Bis solche erlassen werden, gelten die bestehe bestehenden Beschlüsse zur Datenschutzrichtlinie.
Demnach ist beispielsweise die Übermittlung personenbezogener Daten in die USA aufgrund des zwischen der EU und den USA vereinbarten Abkommens „EU-US Privacy Shield“ nur dann zulässig, wenn das empfangende Unternehmen in einer vom amerikanischen Handelsministerium veröffentlichten Liste, ähnlich der früheren „Safe Harbour“-Liste, enthalten ist. Für die Schweiz liegt derzeit zum Beispiel ein Angemessenheitsbeschluss vor, nicht aber für Länder wie beispielsweise China und Russland.
Wann müssen Arbeitgeber einen Datenschutzbeauftragten bestellen?
Bislang waren Organisationen nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Mit der DSGVO ändert sich dies. Fortan muss ein Datenschutzbeauftragter bestellt werden
a) für öffentliche Stellen und Ämter
b) wenn die Kerntätigkeit des Unternehmens in der umfangreichen und regelmäßigen Überwachung (zum Beispiel ASFINAG) oder
c) in der Verarbeitung sensibler Daten (zum Beispiel Krankenanstalt) liegt.
Aufgrund der umfangreichen Verpflichtungen, die die DSGVO vorsieht, sind Unternehmen gut beraten, die Stelle eines Datenschutzbeauftragten zu besetzen, auch wenn deren Einrichtung im Einzelfall nicht verpflichtend ist. Geldbußen, die die Datenschutzbehörde im Fall von Verstößen gegen die DSGVO verhängt, sind Verwaltungsstrafen. Als solche richten sie sich an die Geschäftsführung, wobei alle Mitglieder zur ungeteilten Hand haften. Für die Einhaltung der datenschutzrechtlichen Bestimmungen kann theoretisch ein „verantwortlich Beauftragter“ im Sinne von § 9 des Verwaltungsstrafgesetzes (VStG) bestellt werden, der im Fall eines Verstoßes von der Behörde anstelle des Arbeitgebers beziehungsweise der Geschäftsführer bestraft wird.
Ob eine solche Bestellung wirklich wirksam erfolgen kann, ist offen. Es scheint insbesondere fraglich, ob die für verantwortlich Beauftragte notwendige „Anordnungsbefugnis“ für ein ganzes Unternehmen (Geschäftsführer) oder auch nur eine Abteilung realistischerweise vorliegen kann. Denn dem Anspruch, die Daten eines gesamten Unternehmens – oder auch nur einer Abteilung – im Griff zu haben, wird wohl kaum jemand gerecht werden können. Angesichts der monströsen Strafdrohungen bei Verstößen gegen die Verpflichtungen aus der DSGVO beziehungsweise dem DSG neu, die bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können, werden Datenschutzbeauftragte ohnehin nicht gerne einer Bestellung als verantwortlich Beauftragter zustimmen.
Inwiefern kann der Betriebsrat bei der Verwendung von Daten intervenieren?
Artikel 88 DSGVO erlaubt es den Mitgliedstaaten, im arbeitsrechtlichen Kontext durch nationale Regelungen spezifischere Schutzvorschriften in Form von Gesetzen oder Kollektivvereinbarungen zu erlassen. Der österreichische Gesetzgeber macht mit § 11 Datenschutzgesetz neu davon Gebrauch und erklärt das gesamte Arbeitsverfassungsgesetz (ArbVG) zu einer solchen spezifischeren
Schutzvorschrift im Sinne des ArbVG. Ausgenommen ist § 10 Arbeitsvertragsrechts-Anpassungsgesetz (AVRAG), in dem bislang die einzelvertragliche Zustimmung zu bestimmten Formen der Datenverwendung geregelt ist.
Damit erhält der Datenschutz in Österreich neben der vertraglichen eine kollektivrechtliche Ebene und mit dem Betriebsrat sozusagen eine weitere Kontrollinstanz. Wie mit dem Spannungsfeld zwischen Arbeitnehmerinteressen und Betriebsratsinteressen umzugehen sein wird, ist offen. Im Sinne der DSGVO dürfen die Betroffenenrechte durch Befugnisse des Betriebsrats nicht eingeschränkt werden. Verlangt also beispielsweise der Arbeitnehmer eine Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO, darf ab diesem Zeitpunkt wohl auch der Betriebsrat keine Einsicht mehr in die betroffenen Daten nehmen, auch wenn das ArbVG ihm diese nach bisheriger Rechtslage erlauben würde.
Welche Fragen sollten sich Arbeitgeber stellen, die ein Datenschutzmanagement aufbauen möchten?
- Wie gehen wir mit Bewerberdaten um? Wann müssen welche Daten löschen?
- Was passiert, wenn ein Arbeitsnehmer der Verarbeitung seiner Daten widerspricht?
- Wie stellen wir sicher bzw. können wir überhaupt sicherstellen, dass keine Daten aus privaten E-Mails und Logfiles von Arbeitnehmern verarbeitet werden? Liegt eine wirksame Zustimmungserklärung
- des Arbeitnehmers (allenfalls auch eine Betriebsvereinbarung) vor?
- Wie gehen wir mit Daten ausgeschiedener Mitarbeiter um?
- Welche Datenschutzvereinbarungen muss es mit Vertragspartnern geben, denen personenbezogene Daten übermittelt werden?
- Verarbeiten wir Bild- und Videodaten von Arbeitnehmern? Zu welchen Zwecken? Gibt es dafür eine Zustimmungserklärung?
- Werden Daten von Arbeitnehmern in Social-Media-Plattformen oder in E-Mail-Aussendungen sowie auf Weihnachtskarten veröffentlicht? Liegt eine Zustimmungserklärung dafür vor?
Quelle: Dieser Frage-Antwort-Katalog beruht teilweise auf dem Artikel “Datenschutz-Grundverordnung”: Was kommt auf Österreichs Arbeitgeber zu”, von Katharina Körber-Risak, erschienen im personal manager 1/2018
