Beschäftigtendatenschutz: Datenschutzkultur im Unternehmen

© ÖGB-Verlag

Fragen und Antworten zum Beschäftigtendatenschutz Teil I

Bereits seit den Siebzigerjahren sind Bestimmungen zum Schutz personenbezogener Daten auch gesetzlich in Österreich etabliert. Mehrfach novelliert, gingen die Bestimmungen des österreichischen Datenschutzgesetzes dennoch auf eine Zeit zurück, in der das Internet noch weit entfernt von seiner jetzigen Verbreitung war und Stichworte wie „Digitalisierung“ noch in den Kinderschuhen steckten.

Seit Mai 2018 sind nun die auf europäischer Ebene beschlossene Datenschutz-Grundverordnung (DSGVO) sowie das im österreichischen Parlament beschlossene Datenschutzgesetz (DSG) anzuwenden.
Damit gehen auch im Bereich des ArbeitnehmerInnen-Datenschutzes bedeutende Änderungen einher.
Wir haben für euch wesentliche Fragen zum Beschäftigtendatenschutz zusammengetragen und liefern entsprechende Antworten zur Unterstützung für Betriebsräte, Datenschutzbeauftragte, aber auch MitarbeiterInnen.

Der erste Teil unserer zweiteiligen Reihe beschäftigt sich vor allem mit der Etablierung einer Datenschutzkultur im Unternehmen und was es dabei zu beachten gilt:

1. Muss dokumentiert oder gemeldet werden, welche Datenverarbeitungen ein Unternehmen durchführt?

Muss dokumentiert oder gemeldet werden, welche Datenverarbeitungen ein Unternehmen durchführt?
Die Meldepflicht entfiel durch Inkrafttreten der DSGVO. Verantwortliche und AuftragsverarbeiterInnen sind allerdings verpflichtet, unter bestimmten Voraussetzungen (Art 30 DSGVO) ein Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis oder VVZ) zu führen. Diese Verpflichtung trifft vor allem Unternehmen und Einrichtungen, die 250 oder mehr MitarbeiterInnen beschäftigen. Auch Unternehmen und Einrichtungen, die weniger als 250 MitarbeiterInnen beschäftigen, unterliegen dieser Verpflichtung, wenn

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • besondere Kategorien von Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden.

2. Welche Informationen muss ein Verfahrensverzeichnis enthalten?
Folgende Informationen müssen in ein Verfahrensverzeichnis aufgenommen und aktuell gehalten werden:

  • Name und Kontaktdaten des/der Verantwortlichen: Unter dem Begriff „Verantwortliche/r“ wird in der Regel das Unternehmen bzw. die Organisation und nicht das leitende Organ verstanden.
  • Name und Kontaktdaten des Vertreters/der Vertreterin und des/der Verantwortlichen. Der/Die „VertreterIn“ ist eine in der EU niedergelassene natürliche oder auch juristische Person, die eine/n nicht in der EU niedergelassenen Verantwortliche/n in Bezug auf Datenschutzpflichten vertritt
  • Name und Kontaktdaten des/der Datenschutzbeauftragten
  • Zweck bzw. Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Beispielsweise „KundInnen“, „MitarbeiterInnen“ oder auch „AnsprechpartnerInnen in Behörden“.
  • die Kategorien von EmpfängerInnen. Als EmpfängerInnen gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, denen personenbezogene Daten offengelegt werden
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation. Unter Bekanntgabe des jeweiligen Drittlands oder der betreffenden Organisation.
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien. Die Verwendung von personenbezogenen Daten ist nicht auf unbegrenzte Dauer zulässig. Die Speicherfrist ist auf ein unbedingt erforderliches Mindestmaß zu beschränken.
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

3. Wem obliegt die Pflicht zur Führung des Verfahrensverzeichnisses?

  • Die Pflicht trifft die Organisationen selbst und damit zunächst die Führungsebene (Geschäftsführung, Vorstand etc.). Diese kann jedoch entsprechende Verantwortlichkeiten an geeignete MitarbeiterInnen übertragen.

4. Was ist bei Datenschutzverletzungen zu tun?

Erlangt man Kenntnis davon, dass der Schutz von personenbezogenen Daten verletzt wurde oder nicht mehr gewährleistet ist, sind umgehend Maßnahmen zur Beendigung dieser Datenschutzverletzung bzw. zur Minimierung der Verletzungen in die Wege zu leiten. Außerdem sieht die DSGVO, in Abhängigkeit vom Risiko der Rechte und
Freiheiten natürlicher Personen, eine zweistufige Vorgansweise vor:

  1. Ist absehbar, dass die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten einer natürlichen Person führt, ist dies innerhalb von 72 Stunden an die Datenschutzbehörde zu melden.
  2. Führt die Datenschutzverletzung voraussichtlich sogar zu einem hohen Risiko, muss – zusätzlich zur Meldung an die Datenschutzbehörde – auch die betroffene Person informiert werden. Unter bestimmten Umständen kann die Meldung an den/die Betroffene/n entfallen.
  3. Was bedeuten die Bestimmungen der DSGVO für den Umgang mit personenbezogenen MitarbeiterInnen-Daten?
    Aus den Anforderungen der DSGVO folgt, dass es auch einer ordnungsgemäßen Verarbeitung personenbezogener Beschäftigtendaten und Betriebsvereinbarungen bedarf. Oftmals sind die in den Betrieben eingesetzten Systeme, die personenbezogene Daten der Beschäftigten verarbeiten, jedoch nicht oder nicht umfassend durch Betriebsvereinbarungen geregelt.

Durch Art 88 DSGVO wird die Datenverarbeitung im Beschäftigungskontext grundlegend geregelt. Den einzelnen Mitgliedstaaten wird darüber hinaus die Möglichkeit geboten, diese Regelung durch nationale Gesetze zu spezifizieren. Österreich hat hier keine spezifische gesetzliche Initiative zur Ausgestaltung eines Beschäftigtendatenschutzes gesetzt, sondern auf bestehende Gesetze verwiesen.

Bei den Antworten handelt es sich um Exzerpte aus dem Buch „Beschäftigtendatenschutz“ welches in 2. Auflage erschienen ist. Hier bestellen

Zum Teil II: Fragen und Antworten zum Beschäftigtendatenschutz