flagge-oesterreichDaten­schutz ein wich­ti­ges Thema auch im Hin­blick auf die Per­so­nal­ak­te von Mit­ar­bei­tern. Was müssen Un­ter­neh­men bei Führung und Nutzung beachten?
Bei der Per­so­nal­ad­mi­nis­tra­ti­on handelt es sich haupt­säch­lich um per­so­nen­be­zo­ge­ne Daten und Ar­beit­ge­ber müssen Maß­nah­men zum Schutz dieser Daten er­grei­fen. Der Daten­schutz spielt in der Ar­beits­welt in Ös­ter­reich eine immer be­deu­ten­de­re Rolle. Seit 01. Januar 2000 regelt das Bun­des­ge­setz DSG 2000, Da­ten­schutz­ge­setz 2000, den Schutz per­so­nen­be­zo­ge­ner Daten.

Daten­schutz ist ein Grund­recht

Der Daten­schutz ist in Ös­ter­reich seit Jahr­zehn­ten ge­setz­lich ver­an­kert. Gemäß § 1. DSG 2000 ist Daten­schutz ein Grund­recht: jeder hat An­spruch auf Ge­heim­hal­tung seiner ihn be­tref­fen­den per­so­nen­be­zo­ge­nen Daten, soweit ein schutz­wür­di­ges In­ter­es­se daran besteht. Das DSG 2000 sieht um­fas­sen­de Re­ge­lun­gen u. a. über Melde- und Ge­neh­mi­gungs­pflich­ten, Da­ten­si­cher­heits­maß­nah­men und Rechte der Be­trof­fe­nen vor.

Was sind Daten?

Der Begriff „Daten“ ist im ös­ter­rei­chi­schen Da­ten­schutz­ge­setz ein sehr weiter Begriff. Was sind per­so­nen­be­zo­ge­ne Daten? Das sind Angaben über von der Da­ten­ver­ar­bei­tung Be­trof­fe­ne, deren Iden­ti­tät be­stimmt oder be­stimm­bar ist. Dar­un­ter fallen auch Film­auf­nah­men. Der Daten­schutz umfasst nicht nur In­for­ma­tio­nen aller Art, sondern auch ein „kon­kre­tes Ver­hal­ten wie auch Le­bens­ge­wohn­hei­ten einer Person“ (VwGH 29.03.2014, 98/01/0213).

Es handelt sich damit bei per­so­nen­be­zo­ge­nen Daten also um sämt­li­che In­for­ma­tio­nen über eine na­tür­li­che Person, un­ab­hän­gig davon, welchen Aspekt der Person sie be­tref­fen. D. h. es fallen auch „in­di­rekt“ per­so­nen­be­zo­ge­ne Daten dar­un­ter, wie z. B. So­zi­al­ver­si­che­rungs­num­mern oder ver­schlüs­sel­te Pa­ti­en­ten­da­ten, die vom Ver­wen­der der Daten nur mit rechts­wid­ri­gen Mitteln auf eine Person zu­rück­zu­füh­ren sind.

Das DSG 2000 schließt, anders als die DS-RL und das BDSG mit dem Begriff „Person“ auch ju­ris­ti­sche Per­so­nen ein. Wirt­schafts­da­ten ju­ris­ti­scher Per­so­nen sind daher i. d. R. da­ten­schutz­recht­lich ge­schützt. Die Da­ten­schutz­grund­ver­ord­nung (DS-GVO) löst das DSG 2000 am 25. Mai 2018 ab – dann werden (EU-weit) auch in Ös­ter­reich „nur noch“ na­tür­li­che Per­so­nen da­ten­schutz­recht­lich geschützt.

Das Da­ten­ver­ar­bei­tungs­re­gis­ter

Für die Si­che­rung der Öf­fent­lich­keit der Ver­ar­bei­tun­gen ist das Da­ten­ver­ar­bei­tungs­re­gis­ter zu­stän­dig. Die Da­ten­schutz­be­hör­de hat ein Re­gis­ter der Auf­trag­ge­ber mit den von ihnen be­trie­be­nen Da­ten­an­wen­dun­gen zum Zweck der In­for­ma­ti­on der Be­trof­fe­nen zu führen (§ 16. (1) DSG 2000). Je­der­mann kann in das Re­gis­ter Ein­sicht nehmen.

Jede Da­ten­an­wen­dung muss vom Auf­trag­ge­ber (im Ar­beits­ver­hält­nis ist dies der Ar­beit­ge­ber) beim Da­ten­ver­ar­bei­tungs­re­gis­ter über DVR-online ge­mel­det werden. Bei­spie­le für eine Da­ten­an­wen­dung in der Per­so­nal­ad­mi­nis­tra­ti­on sind elek­tro­ni­sche Per­so­nal­ak­ten, Per­so­nal­da­ten­ver­wal­tungs­sys­te­me, Systeme für Zeit­er­fas­sung und Mitarbeiterbeurteilungen.
Es gibt auch Aus­nah­men von der Mel­de­pflicht. Diese sind in der Stan­­dard- und Mus­ter­ver­ord­nung 2004 (StMV 2004 Stan­­dard- und Mus­ter­an­wen­dun­gen)  ge­re­gelt.

Out­sour­cing

Auf­trag­ge­ber, also der Ar­beit­ge­ber, darf bei seinen Da­ten­an­wen­dun­gen Dienst­leis­ter in An­spruch nehmen (externe Da­ten­ver­ar­bei­tung). Vor­aus­set­zung dafür ist, dass diese aus­rei­chen­de Gewähr für eine recht­mä­ßi­ge und sichere Da­ten­ver­wen­dung bieten (§ 10 DSG 2000). Bei der Da­ten­ver­ar­bei­tung ergeben sich Pflich­ten des Dienst­leis­ters (§ 11 DSG 2000), die es zu ver­ein­ba­ren und ein­zu­hal­ten gilt – ein Dienst­leis­ter­ver­trag ist abzuschließen.

Es können auch Dienst­leis­ter im Ausland be­auf­tragt werden (§ 12 DSG 200 „Ge­neh­mi­gungs­freie Über­mitt­lung und Über­las­sung von Daten in das Ausland). „Ge­neh­mi­gungs­frei“ be­deu­tet hier, dass der Dienst­leis­ter (= Emp­fän­ger der Daten) seinen Sitz in der EU bzw. in den Ver­trags­staa­ten des Eu­ro­päi­schen Wirt­schafts­rau­mes (EWR) hat. Hier ist eben­falls eine so­ge­nann­te Da­ten­schutz­ver­ein­ba­rung gemäß § 10 DSG 2000 zwi­schen Auf­trag­ge­ber (Ar­beit­ge­ber) und Auf­trag­neh­mer (z. B. Lohn­bü­ro, IT-Diens­t­­leis­­ter) zu vereinbaren.

Wie lange dürfen Daten auf­be­wahrt werden?

Die Auf­be­wah­rung von per­so­nen­be­zo­ge­nen Daten ist nur in dem Ausmaß und Dauer zu­läs­sig, wie dies im kon­kre­ten Fall er­for­der­lich ist („er­for­der­lich, nicht nur nütz­lich“). Je nach Da­ten­art sind zum einen ge­setz­li­che Auf­be­wah­rungs­fris­ten, zum anderen die Ein­schrän­kun­gen des ös­ter­rei­chi­schen Da­ten­schutz­ge­set­zes zu be­ach­ten. Daten, die für die Ab­ga­ben­er­he­bung re­le­vant sind, sind sieben Jahre auf­zu­be­wah­ren. Un­ter­la­gen, die zur so­zi­al­ver­si­che­rungs­recht­li­chen Be­ur­tei­lung eines Dienst­ver­hält­nis­ses not­wen­dig sind, müssen fünf Jahre auf­be­wahrt werden. Je nach Da­ten­art gilt auch die Ver­jäh­rungs­frist von 30 Jahren, wie z. B. für die Un­ter­la­gen zur Aus­stel­lung eines Dienst­zeug­nis­ses (al­ler­dings be­schränkt auf Dauer und Art der Tätigkeit).

Sobald per­so­nen­be­zo­ge­ne Daten für die Ab­wick­lung des Ar­beits­ver­hält­nis­ses oder damit in Zu­sam­men­hang ste­hen­den Rechte und Pflich­ten nicht mehr er­for­der­lich sind, sind diese zu an­ony­mi­sie­ren oder zu löschen. Löschen be­deu­tet Ver­nich­tung, so dass eine Wie­der­her­stel­lung nicht mehr möglich ist.

Die Per­so­nal­ak­te, sowohl in elek­tro­ni­scher als auch in Pa­pier­form, ist re­gel­mä­ßig zu prüfen und es ist ab­zu­wä­gen, ob nicht Daten auf­be­wahrt werden, die nicht mehr auf­be­wahrt werden müssen oder dürfen und dem­zu­fol­ge ge­löscht werden müssen.

Be­triebs­rat

Das DSG 2000 enthält keine spe­zi­el­len Re­ge­lun­gen zu Mit­wir­kungs­rech­ten des Be­triebs­ra­tes; diese sind im Ar­beits­ver­fas­sungs­ge­setz (ArbVG) geregelt.

Der Be­triebs­rat hat ein In­for­ma­ti­ons­recht darüber, welche per­so­nen­be­zo­ge­nen Ar­beit­neh­mer­da­ten au­to­ma­ti­ons­un­ter­stützt auf­ge­zeich­net und welche Ver­ar­bei­tun­gen und Über­mitt­lun­gen gemacht werden (ver­gleich­bar mit dem deut­schen Be­triebs­ver­fas­sungs­ge­setz § 87 Abs. 2 Pkt. 6 BetrVG). Der Be­triebs­rat hat aber kein ge­ne­rel­les Ein­sichts­recht in die Ar­beit­neh­mer­da­ten. Zu­stim­mungs­pflich­tig durch den Be­triebs­rat sind z. B. Zeit­er­fas­sungs­sys­te­me, Vi­deo­über­wa­chun­gen am Ar­beits­platz und Zugangskontrollen.

§§ 96 und 96 a ArbVG regelt, bei welchen in­ner­be­trieb­li­chen Maß­nah­men eine Be­triebs­ver­ein­ba­rung zwin­gend er­for­der­lich ist. Die Ein­füh­rung eines Per­so­nal­fra­ge­bo­gens, der mehr als Stamm­da­ten und Qua­li­fi­ka­ti­on enthält, ist z. B. zu­stim­mungs­pflich­tig. Der Oberste Ge­richts­hof (OGH) be­schreibt Per­so­nal­fra­ge­bö­gen wie folgt: „(sie ver­schaf­fen) dem/der Ar­beit­ge­be­rIn In­for­ma­tio­nen über per­sön­li­che Um­stän­de oder Mei­nun­gen der ein­zel­nen Ar­beit­neh­me­rIn­nen, an deren Ge­heim­hal­tung diese ein In­ter­es­se haben könnten.“

Aus­blick

Die EU-Da­­ten­­schut­z­­grun­d­­ver­­or­d­­nung wird ab 25. Mai 2018 gültig und ist für alle Mit­glieds­staa­ten der EU un­mit­tel­bar und direkt an­wend­bar. Der Ar­beit­neh­mer­da­ten­schutz stellt EU-weit bzw. grenz­über­schrei­tend tätige Ar­beit­ge­ber vor neue Her­aus­for­de­run­gen: die DS-GVO regelt den Ar­beit­neh­mer­da­ten­schutz nicht ab­schlie­ßend. Sie er­mög­licht mit Kapitel IV Vor­schrif­ten für be­son­de­re Ver­ar­bei­tungs­si­tua­tio­nen (Er­wä­gungs­grün­de 153 – 165) den Mit­glieds­staa­ten eigene na­tio­na­le Re­ge­lun­gen zu treffen (so­ge­nann­te Öff­nungs­klau­seln). Nach Art. 88 Da­ten­ver­ar­bei­tung im Be­schäf­ti­gungs­kon­text (ErwG 155) kann Ös­ter­reich durch eine eigene Rechts­vor­schrift spe­zi­fi­sche Vor­schrif­ten zur Ge­währ­leis­tung der Da­ten­schutz­rech­te der Ar­beit­neh­mer vor­se­hen. Es bleibt ab­zu­war­ten wie und wie weit Ös­ter­reich – und die anderen EU-Länder – von diesem Recht Ge­brauch machen werden.

Hier finden Sie einen Artikel zur Da­ten­schutz­ver­ein­ba­rung § 10 DSG 2000 oder hier das White Paper.

(Autorin: Regina Mühlich, Ex­per­tin für Daten­schutz. Sie berät Mit­tel­stands­un­ter­neh­men mit Be­triebs­stät­ten u. a. in Deutsch­land, Ös­ter­reich, Schweiz und Niederlande.)

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!