Am 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Wir beantworten die häufigsten Fragen, die uns seither gestellt wurden.
Was bedeutet „Beschäftigtendatenschutz“?
Die DSGVO stellt klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten verarbeitet werden. Im Artikel 88 steht, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Dazu gehören Regelungen zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, zu Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.
Was ist das Grundrecht auf Datenschutz?
Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten – so wie z. B. das Recht auf die freie Meinungsäußerung. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person wozu verwendet werde, an wen Daten weitergeben werden, wie lange sie aufgehoben werden etc.
Was sind „sensible Daten“?
In der DSGVO heißen die früher „sensibel“ genannten Daten nun „besondere Kategorien personenbezogener Daten“. Das sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Sie werden in der DSGVO konkret aufgezählt: politische Meinung, Gewerkschaftszugehörigkeit, ethnische Herkunft, Daten zur Gesundheit, zur sexuellen Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen. Im Allgemeinen ist es verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat oder eine gesetzliche Vorschrift es verlangt (z. B. Arbeits- und Sozialversicherungsrecht). Dazu gehören auch die notwendigen arbeitsmedizinischen Daten. Diese Daten müssen besonders gut geschützt werden, damit sie nicht in die falschen Hände geraten.
Was hat sich geändert durch die DSGVO?
Die Rechte der Betroffenen wurden gestärkt, die Transparenz verbessert, die Löschpflichten strenger. Neu ist, dass nun für alle EU-Länder einheitliche Regeln gelten und die Strafen empfindlich erhöht wurden: Höchstausmaß ist 20 Millionen Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes.
Gilt die DSGVO auch bei Akten in Papierform?
Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z. B. ein Personalverwaltungsakt) unterliegt der DSGVO. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen oder der Ordner „Privat“ zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.
Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?
Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln, müssen sie die Grundprinzipien einhalten, egal ob sie im EU-Raum eine reale Niederlassung haben oder nicht. Dieses neue Prinzip ist auch unter dem Namen „Marktortprinzip“ bekannt.
Müssen ArbeitnehmerInnen die vom Arbeitgeber vorgelegte „Datenschutz- und Geheimhaltungserklärung“ unterschreiben?
Nicht unbedingt; wenn die Unterschrift eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen darstellt, spricht aber nichts dagegen. Die Pflicht zur Geheimhaltung ergibt sich für den/die ArbeitnehmerIn aber ohnehin aus der Loyalitätspflicht heraus. Auch die Zustimmung zu einer Datenweitergabe, die sowieso zur Abwicklung des Dienstverhältnisses erforderlich ist, ist nicht problematisch. Beschäftigte werden aber häufig mit „Datenschutzerklärungen“ konfrontiert, die Konventionalstrafen bei Nichteinhaltung des Datenschutzes androhen. Hier ist größte Vorsicht geboten: Das zu unterschreiben führt zu einer Änderung des Einzelvertrages! Dieser Passus sollte also jedenfalls gestrichen werden.
Wann muss man eine Datenschutzfolgenabschätzung machen?
Eine Datenschutzfolgenabschätzung muss erfolgen, wenn eine Datenverwendung vermutlich einen Eingriff in die Grundfreiheiten der Betroffenen darstellt (z. B. permanentes GPS-Tracking, Videoüberwachung). Ebenfalls notwendig ist eine solche Folgenabschätzung bei der Verwendung besonderer Datenkategorien (siehe weiter oben). Die Betroffenen oder ihre VertreterInnen müssen dabei miteinbezogen werden; das heißt, im Arbeitsverhältnis muss bei einer Folgenabschätzung der Betriebsrat eingebunden werden. Der Arbeitgeber hat jedoch ohnehin laut Gesetz die Pflicht, den Betriebsrat zu informieren, welche personenbezogenen Daten er aufzeichnet und wie er sie verarbeitet.
Was muss bei der Nutzung von Firmenhandys und Computern beachtet werden?
Die Geschäftsführung kann Richtlinien zum allgemeinen Datenschutz im Betrieb festlegen (z. B. Verwendung von Passwörtern). Diese Vorschriften können aber auch Kontrollmaßnahmen oder Ordnungsvorschriften enthalten (z. B. private Nutzung von Handys und Laptops und deren Überwachung), die mit einer Betriebsvereinbarung zu regeln sind. Somit ist es jedenfalls ratsam, mit dem Betriebsrat eine Betriebsvereinbarung über die Nutzung von Diensthandys, Laptops etc. abzuschließen. Darin kann dann auch stehen, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte der Betriebsrat in diesem Zusammenhang hat.
Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?
Nein, sie müssen nur der neuen DSGVO angepasst werden, und allfällige Verweise auf den Gesetzestext müssen dem neuen österreichischen Datenschutzgesetz 2018 und der DSGVO angepasst werden. Die Verpflichtungen Betriebsvereinbarungen abzuschließen, bleiben wie sie sind.
Haftet der/die Datenschutzbeauftragte wenn z. B. Bußgelder verhängt werden?
Die Funktion des betrieblichen Datenschutzbeauftragten ist tatsächlich neu in der DSGVO. Unternehmen müssen einen Datenschutzbeauftragten ernennen: wenn eine umfangreiche, regelmäßige und systematische Datenverarbeitung stattfindet, oder wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden. Diese haften aber nicht automatisch für Verstöße des Unternehmens. Ihre Aufgaben sind Beratung, Schulung, Kontrolle, Zusammenarbeit mit Behörden.