Datenschutz ein wichtiges Thema auch im Hinblick auf die Personalakte von Mitarbeitern. Was müssen Unternehmen bei Führung und Nutzung beachten?
Bei der Personaladministration handelt es sich hauptsächlich um personenbezogene Daten und Arbeitgeber müssen Maßnahmen zum Schutz dieser Daten ergreifen. Der Datenschutz spielt in der Arbeitswelt in Österreich eine immer bedeutendere Rolle. Seit 01. Januar 2000 regelt das Bundesgesetz DSG 2000, Datenschutzgesetz 2000, den Schutz personenbezogener Daten.
Datenschutz ist ein Grundrecht
Der Datenschutz ist in Österreich seit Jahrzehnten gesetzlich verankert. Gemäß § 1. DSG 2000 ist Datenschutz ein Grundrecht: jeder hat Anspruch auf Geheimhaltung seiner ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das DSG 2000 sieht umfassende Regelungen u. a. über Melde- und Genehmigungspflichten, Datensicherheitsmaßnahmen und Rechte der Betroffenen vor.
Was sind Daten?
Der Begriff „Daten“ ist im österreichischen Datenschutzgesetz ein sehr weiter Begriff. Was sind personenbezogene Daten? Das sind Angaben über von der Datenverarbeitung Betroffene, deren Identität bestimmt oder bestimmbar ist. Darunter fallen auch Filmaufnahmen. Der Datenschutz umfasst nicht nur Informationen aller Art, sondern auch ein „konkretes Verhalten wie auch Lebensgewohnheiten einer Person“ (VwGH 29.03.2014, 98/01/0213).
Es handelt sich damit bei personenbezogenen Daten also um sämtliche Informationen über eine natürliche Person, unabhängig davon, welchen Aspekt der Person sie betreffen. D. h. es fallen auch „indirekt“ personenbezogene Daten darunter, wie z. B. Sozialversicherungsnummern oder verschlüsselte Patientendaten, die vom Verwender der Daten nur mit rechtswidrigen Mitteln auf eine Person zurückzuführen sind.
Das DSG 2000 schließt, anders als die DS-RL und das BDSG mit dem Begriff „Person“ auch juristische Personen ein. Wirtschaftsdaten juristischer Personen sind daher i. d. R. datenschutzrechtlich geschützt. Die Datenschutzgrundverordnung (DS-GVO) löst das DSG 2000 am 25. Mai 2018 ab – dann werden (EU-weit) auch in Österreich „nur noch“ natürliche Personen datenschutzrechtlich geschützt.
Das Datenverarbeitungsregister
Für die Sicherung der Öffentlichkeit der Verarbeitungen ist das Datenverarbeitungsregister zuständig. Die Datenschutzbehörde hat ein Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen zum Zweck der Information der Betroffenen zu führen (§ 16. (1) DSG 2000). Jedermann kann in das Register Einsicht nehmen.
Jede Datenanwendung muss vom Auftraggeber (im Arbeitsverhältnis ist dies der Arbeitgeber) beim Datenverarbeitungsregister über DVR-online gemeldet werden. Beispiele für eine Datenanwendung in der Personaladministration sind elektronische Personalakten, Personaldatenverwaltungssysteme, Systeme für Zeiterfassung und Mitarbeiterbeurteilungen.
Es gibt auch Ausnahmen von der Meldepflicht. Diese sind in der Standard- und Musterverordnung 2004 (StMV 2004 Standard- und Musteranwendungen) geregelt.
Outsourcing
Auftraggeber, also der Arbeitgeber, darf bei seinen Datenanwendungen Dienstleister in Anspruch nehmen (externe Datenverarbeitung). Voraussetzung dafür ist, dass diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten (§ 10 DSG 2000). Bei der Datenverarbeitung ergeben sich Pflichten des Dienstleisters (§ 11 DSG 2000), die es zu vereinbaren und einzuhalten gilt – ein Dienstleistervertrag ist abzuschließen.
Es können auch Dienstleister im Ausland beauftragt werden (§ 12 DSG 200 „Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland). „Genehmigungsfrei“ bedeutet hier, dass der Dienstleister (= Empfänger der Daten) seinen Sitz in der EU bzw. in den Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) hat. Hier ist ebenfalls eine sogenannte Datenschutzvereinbarung gemäß § 10 DSG 2000 zwischen Auftraggeber (Arbeitgeber) und Auftragnehmer (z. B. Lohnbüro, IT-Dienstleister) zu vereinbaren.
Wie lange dürfen Daten aufbewahrt werden?
Die Aufbewahrung von personenbezogenen Daten ist nur in dem Ausmaß und Dauer zulässig, wie dies im konkreten Fall erforderlich ist („erforderlich, nicht nur nützlich“). Je nach Datenart sind zum einen gesetzliche Aufbewahrungsfristen, zum anderen die Einschränkungen des österreichischen Datenschutzgesetzes zu beachten. Daten, die für die Abgabenerhebung relevant sind, sind sieben Jahre aufzubewahren. Unterlagen, die zur sozialversicherungsrechtlichen Beurteilung eines Dienstverhältnisses notwendig sind, müssen fünf Jahre aufbewahrt werden. Je nach Datenart gilt auch die Verjährungsfrist von 30 Jahren, wie z. B. für die Unterlagen zur Ausstellung eines Dienstzeugnisses (allerdings beschränkt auf Dauer und Art der Tätigkeit).
Sobald personenbezogene Daten für die Abwicklung des Arbeitsverhältnisses oder damit in Zusammenhang stehenden Rechte und Pflichten nicht mehr erforderlich sind, sind diese zu anonymisieren oder zu löschen. Löschen bedeutet Vernichtung, so dass eine Wiederherstellung nicht mehr möglich ist.
Die Personalakte, sowohl in elektronischer als auch in Papierform, ist regelmäßig zu prüfen und es ist abzuwägen, ob nicht Daten aufbewahrt werden, die nicht mehr aufbewahrt werden müssen oder dürfen und demzufolge gelöscht werden müssen.
Betriebsrat
Das DSG 2000 enthält keine speziellen Regelungen zu Mitwirkungsrechten des Betriebsrates; diese sind im Arbeitsverfassungsgesetz (ArbVG) geregelt.
Der Betriebsrat hat ein Informationsrecht darüber, welche personenbezogenen Arbeitnehmerdaten automationsunterstützt aufgezeichnet und welche Verarbeitungen und Übermittlungen gemacht werden (vergleichbar mit dem deutschen Betriebsverfassungsgesetz § 87 Abs. 2 Pkt. 6 BetrVG). Der Betriebsrat hat aber kein generelles Einsichtsrecht in die Arbeitnehmerdaten. Zustimmungspflichtig durch den Betriebsrat sind z. B. Zeiterfassungssysteme, Videoüberwachungen am Arbeitsplatz und Zugangskontrollen.
§§ 96 und 96 a ArbVG regelt, bei welchen innerbetrieblichen Maßnahmen eine Betriebsvereinbarung zwingend erforderlich ist. Die Einführung eines Personalfragebogens, der mehr als Stammdaten und Qualifikation enthält, ist z. B. zustimmungspflichtig. Der Oberste Gerichtshof (OGH) beschreibt Personalfragebögen wie folgt: „(sie verschaffen) dem/der ArbeitgeberIn Informationen über persönliche Umstände oder Meinungen der einzelnen ArbeitnehmerInnen, an deren Geheimhaltung diese ein Interesse haben könnten.“
Ausblick
Die EU-Datenschutzgrundverordnung wird ab 25. Mai 2018 gültig und ist für alle Mitgliedsstaaten der EU unmittelbar und direkt anwendbar. Der Arbeitnehmerdatenschutz stellt EU-weit bzw. grenzüberschreitend tätige Arbeitgeber vor neue Herausforderungen: die DS-GVO regelt den Arbeitnehmerdatenschutz nicht abschließend. Sie ermöglicht mit Kapitel IV Vorschriften für besondere Verarbeitungssituationen (Erwägungsgründe 153 – 165) den Mitgliedsstaaten eigene nationale Regelungen zu treffen (sogenannte Öffnungsklauseln). Nach Art. 88 Datenverarbeitung im Beschäftigungskontext (ErwG 155) kann Österreich durch eine eigene Rechtsvorschrift spezifische Vorschriften zur Gewährleistung der Datenschutzrechte der Arbeitnehmer vorsehen. Es bleibt abzuwarten wie und wie weit Österreich – und die anderen EU-Länder – von diesem Recht Gebrauch machen werden.
Hier finden Sie einen Artikel zur Datenschutzvereinbarung § 10 DSG 2000 oder hier das White Paper.
(Autorin: Regina Mühlich, Expertin für Datenschutz. Sie berät Mittelstandsunternehmen mit Betriebsstätten u. a. in Deutschland, Österreich, Schweiz und Niederlande.)