EU-Datenschutz-Grundverordnung: wichtige Änderungen ab Mai 2018
Laut der EU-Datenschutz-Grundverordnung trägt das Unternehmen die Verantwortung für den Schutz personenbezogener Daten. Davon sind insbesondere HR-Abteilungen betroffen. Denn diese verfügen über eine Vielzahl von personenbezogenen Daten, teilweise auch sensibler Daten, wie etwa religiöse Überzeugung oder Gewerkschaftszugehörigkeit. Andererseits müssen die Personalabteilungen unterschiedlichste Daten an Einrichtungen wie Finanzamt oder SVA weitergeben.
Ab 25. Mai 2018, dem Datum des Wirksamwerdens der EU-Datenschutz-Grundverordnung, müssen Betriebe den neuen Datenschutzregeln entsprechen.
Unternehmen, die mehr als 250 Mitarbeiter beschäftigen oder sensible beziehungsweise risikoreiche Daten verarbeiten, müssen ein Verzeichnis ihrer eigenen Verarbeitungstätigkeiten führen. Dieses ersetzt das bisherige DV-Register und muss unter anderem folgendes beinhalten:
- den Zweck der Verarbeitung, z. B. die Verarbeitung und Übermittlung von Lohn- und Gehaltsdaten und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten;
- eine Beschreibung der Kategorien betroffener Personen, z. B. Arbeitnehmer, arbeitnehmerähnliche Personengruppen, Leiharbeitnehmer, freie Dienstnehmer, Lehrlinge, Volontäre und Ferialpraktikanten sowie ehemalige Beschäftigte;
- die Kategorien personenbezogener Daten, z. B. Personalnummer, Name, Personenstand, Bankverbindung und zahlreiche andere Angaben;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden, z. B. Sozialversicherungsträger, betriebliche und gesetzliche Interessensvertreter, Arbeitsinspektorat, Finanzamt und Rechtsvertreter.
Weiters sind die Grundsätze der Datenverarbeitung einzuhalten. Dazu zählen insbesondere:
- die Rechtsmäßigkeit der Datenverarbeitung,
- die Sparsamkeit (Verarbeitung der nur für den Verarbeitungszweck erforderlichen Daten),
- die Verarbeitung nur für den festgelegten Zweck (Bewerberdaten dürfen nur für den Bewerbungsprozess und bei späterer Einstellung nur für Lohnverrechnung und Aufzeichnungs- sowie Meldepflichten verwendet werden, nicht aber für Marketingzwecke)
- und die Gewährleistung der Betroffenenrechte (Auskunft, Richtigstellung, Löschung).
Unternehmen müssen betroffene Personen, etwa Bewerber, über die gespeicherten personenbezogenen Daten informieren. Sie müssen diese zudem löschen, wenn sie nicht mehr benötigt werden oder wenn dies der Bewerber verlangt.
Unternehmen, die gegen die EU-Datenschutz-Grundverordnung verstoßen, müssen mit wirksamen, verhältnismäßigen und abschreckenden Strafen bis zu 20 Millionen Euro rechnen.
Die Veränderungen im Bereich des Datenschutzes könnten Arbeitgeber auch zum Anlass nehmen, die bestehenden Dienstverträge auf inhaltliche Tauglichkeit (Sind die Vereinbarungen sinnvoll?) und Rechtskonformität durchzusehen sowie zu hinterfragen, ob sie für die Erstellung von Verträgen auf die richtigen Hilfsmittel, etwa Vertragserrichtungssoftware, zurückzugreifen.
Fazit:
HR-Abteilungen sind in Zukunft gefordert, ihren Umgang mit Daten genauer zu analysieren und zu dokumentieren. Andernfalls laufen sie Gefahr, gegen die geltende Datenschutz-Grundverordnung zu verstoßen und sich strafbar zu machen.
HR und Social Media: Datenschutz beachten
Was HR im Umgang mit sozialen Medien darf – und was nicht – legen die Datenschutzbestimmungen fest. Schon im Recruitingprozess stellt sich die Frage, ob Personaler Angaben von Bewerbern in sozialen Medien nutzen dürfen.
- Nach der EU-Datenschutz-Grundverordnung ist die Verwendung von Daten aus sozialen Medien im Recruiting nur dann möglich, wenn dafür ein bereichtigtes Interesse besteht (zum Beispiel eine Zulässigkeitsprüfung), wenn das Bewerberprofil vor allem beruflichen Zwecken dient und der Bewerber darüber informiert wird, zum Beispiel über ein Inserat.
Auch bestehende Mitarbeiter sollten mit Angaben in sozialen Medien achtsam sein:
- Wer etwa während des Krankenstandes auf Facebook über besuchte Partys oder ausgiebige Shopping-Touren berichtet, riskiert, seinen Job zu verlieren.
Weitere Fragen, die im Zusammenhang mit Social-Media-Nutzung im Unternehmen immer wieder auftauchen:
Können Unternehmen zur Facebook-Nutzung verpflichten?
Im Arbeitsrecht ist Vieles eine Frage der Vereinbarung. Die Arbeitsrechtsexperten der Arbeiterkammer sagen dazu: „Wenn dies bei der Begründung des Dienstverhältnisses vereinbart wurde oder zu den Arbeitsaufgaben auch Repräsentation zählt und ein Medienauftritt schlüssig dazu gehört, kann ein Auftritt in den neuen Medien schwer abgelehnt werden”. Gerichtsentscheidungen gibt es dazu allerdings noch nicht.
Dürfen Arbeitgeber ihre Mitarbeiter zur Herausgabe der Kontakte aus dem Xing-Profil nötigen, wenn sie das Unternehmen verlassen?
Wenn ein Unternehmen ein eigenes Unternehmensprofil eingerichtet hat beziehungsweise für die Organisation und Durchführung von Veranstaltungen nutzt, „gehören“ diese Daten samt Kontaktdaten dem Unternehmen. Ansonsten gehören aber alle Kontaktdaten dem Nutzer und der Arbeitgeber hat kein Recht, Daten vom Mitarbeiter zu verlangen.
Mitarbeiter und Social Media: Nutzung regeln
Wie gehen Unternehmen mit sozialen Medien um? Erlauben sie ihren Mitarbeitern, diese privat während der Arbeitszeit zu nutzen? Setzen sie Social Media zudem auch geschäftlich ein? Diese Einstiegsfragen sollten Unternehmen für sich klären.
Erlaubt ein Arbeitgeber seinen Mitarbeitern die private Nutzung sozialer Medien, so gilt der Grundsatz, dass der Blick auf Facebook, Instagram & Co. die Arbeitsleistung nicht beeinträchtigen darf. Es gibt nur wenig Judikatur zur privaten Nutzung von sozialen Medien am Arbeitsplatz. Doch Gerichtsurteile haben in der Vergangenheit klargestellt, dass Arbeitgeber private Telefonate untersagen können – mit Ausnahme von kurzen, unbedingt wichtigen Mitteilungen.
Laut der WKO-Broschüre „Social Media erfolgreich nutzen“ ist „ein gänzliches Verbot der Privatnutzung von sozialen Netzwerken mit privaten Geräten während der Arbeitszeit nicht möglich.“
Die Arbeiterkammer rät Arbeitnehmern dazu auf Ihrer Website: „Facebook-Aktivitäten am Arbeitsplatz jedenfalls auf das Allernötigste zu beschränken.“ Diesen Hinweis können auch Arbeitgeber ihren Mitarbeitern geben. Sie sollten zudem festlegen, ob sie die private Nutzung sozialer Medien nur auf privaten Geräten – oder auch auf Firmengeräten zulassen.
Die private Nutzung von sozialen Medien in der Freizeit ist reine Privatsache des Mitarbeiters. Den Namen des Arbeitgebers anzuführen, ist dabei nicht verboten. Ansonsten müssen Mitarbeiter jene Loyalitätsregeln einhalten, die auch außerhalb von sozialen Medien relevant sind:
- Das Ausplaudern von Betriebs und- Geschäftsgeheimnissen ist ebenso verboten wie
- abfällige Bemerkungen (ehrverletzende oder beleidigende Aussagen über den Arbeitgeber) sowie
- das Verbreiten von Hass-Postings.