Keine Angst vorm Datenschutz, Teil 3: Rechtskonformer Umgang mit Mitarbeiterdaten

Seit die Datenschutz-Grundverordnung im Mai 2018 in Kraft getreten ist, hat sich in den Betrieben schon einiges getan – oft jedoch nur im Zusammenhang mit Kundendaten. Doch: Was ist mit den Daten des eigenen Personals? Mag. Lukas Disaró, Anwalt mit Spezialisierung auf Arbeitsrecht, beantwortet die wichtigsten Fragen über den rechtskonformen Umgang mit Mitarbeiterdaten.

Welche Vorschriften der DSGVO müssen Geschäftsführer grundsätzlich beachten?

Die wichtigsten Neuerungen in der DSGVO sind einerseits das Führen eines Verarbeitungsverzeichnisses, die Auftragsverarbeiterverträge und das mögliche Bestellen eines Datenschutzbeauftragten.

Falls ich letzteren nicht bestelle, würde ich unbedingt empfehlen, die Gründe zu dokumentieren, aus denen ich diesen nicht brauche. Damit der Datenschutzbehörde, sollte sie ins Unternehmen kommen, nachvollziehbare Gründe vorgelegt werden können.

Welche Mitarbeiterdaten darf ich speichern?

Die Speicherung von mitarbeiterbezogenen Daten muss eine Zweckmäßigkeit erfüllen.

Das bedeutet, dass nur jene Daten gespeichert und verarbeitet werden dürfen, die wirklich gebraucht werden für das Arbeitsverhältnis. Bei Bewerbern muss ich deshalb überdenken: Welche Daten benötige ich noch – und welche nicht?

Generell gesagt sind das die Daten, die ich für das Dienstverhältnis brauche: Name, Geburtsdatum, Sozialversicherungsnummer, Adresse – zum Zustellen von Schreiben – und vielleicht ein Religionszugehörigkeitsbekenntnis für Feiertage. Auch ein eventueller Status begünstigt Behinderter kann zweckmäßig sein, etwa für die Ausgleichstaxe.

Man sollte hier wirklich speziell das Dienstverhältnis ansehen.

Bewerbungsschreiben: Welche Daten sollte ich löschen?

Was man – ganz klassisch – immer noch findet heutzutage wäre etwa der Beruf der Eltern. Das ist etwas, das ich für das Dienstverhältnis nicht brauche, das viele Bewerber aber noch immer in ihre Schreiben packen.

Hier muss ich als Arbeitgeber die Bewerbungsunterlagen genauer ansehen. Nötigenfalls müssen solche Daten gelöscht oder geschwärzt werden.

Wie ist mit den Daten von abgelehnten Bewerbern zu verfahren?

Auch hier muss ich wirklich sorgfältig überprüfen, welche Daten ich benötige und welche nicht mehr.

Daten könnte ich etwa dann noch brauchen, wenn Bewerber Ansprüche aufgrund eines Gleichbehandlungsgesetzes geltend machen. Durch sie habe ich eine nachvollziehbare Grundlage, wenn ich den Bewerber aufgrund von fachlichen Kompetenzen nicht genommen habe, und nicht auf Basis von z.B. Geschlecht oder Religion.

Bewerbungsunterlagen darf ich, für ebensolche Zwecke, noch sechs bis zwölf Monate aufbewahren, die Verfallsfrist miteinberechnet. Danach benötige ich diese Daten eigentlich nicht mehr.

Ad Datenweitergabe: Wann genau ist diese erlaubt – und wann nicht?

Hier gilt einerseits: Datenweitergabe ist dann erlaubt wenn ich sie zum Zweck der Erfüllung des Dienstverhältnisses benötige.

Als Beispiel: Bei Subunternehmen muss ich gewisse Daten – Name, Adresse, Telefonnummer – weitergeben. Aber auch hier muss ich aufpassen, dass ich nicht wahllos alle Daten weitergebe. In solchen Fällen ist wirklich zu überlegen, was relevant ist.

Andererseits ist die Datenweitergabe bei Zustimmung des Arbeitnehmers möglich.

Welche Bestimmungen hat die DSGVO bezüglich der Mitarbeiterüberwachung?

Als Arbeitgeber musste man auch schon vor Einführung der DSGVO bereits überlegen, wofür man eine Betriebsvereinbarung bzw. eine Einzelzustimmung des Mitarbeiters benötigt.

Speziell beim Datenschutz sind Kontrollmaßnahmen, welche die Menschenwürde berühren, mit Vorsicht zu behandeln!

Darunter fallen z.B. Videoaufnahmen oder das Kontrollieren der Log-Files am Mitarbeiter-PC. Hier benötige ich jedenfalls eine Betriebsvereinbarung bzw. eine Einzelzustimmung des verdächtigten Mitarbeiters, sollte es keinen Betriebsrat geben.

Bei der Beurteilung von Mitarbeitern – was muss ich hier laut DSGVO beachten?

Grundsätzlich ist zwischen subjektiven und objektiven Kriterien zu unterscheiden. Objektive Kriterien wären etwa: Hat der Mitarbeiter seine Leistung erbracht? Wie sehen die Umsätze aus? Hat er genug Kunden akquiriert? Diese Daten dürfen gesammelt werden.

Subjektive Kriterien wären Fragen, wie etwa: Wie selbstständig hat er gearbeitet? War er teamfähig? Musste man ihm Dinge mehrmals sagen? Dies fällt in den Bereich Mitarbeiterbeurteilungssystem. Die Verarbeitung dieser Daten benötigt grundsätzlich eine Betriebsvereinbarung.

Auch bei anderen Personaldatensystemen gilt dies, z.B. bei komplexen Zeiterfassungssystemen oder Personalfragebögen.

Der Unterschied seit dem Inkrafttreten der DSGVO ist: Wenn ich diese Betriebsvereinbarungen bzw. Einzelzustimmungen nicht habe, kann es da durchaus hohe Strafen von der Datenschutzbehörde hageln.

Wie hoch sind die Strafzahlungen, wenn man gegen die Datenschutz-Grundverordnung verstößt?

Die Strafzahlungen belaufen sich auf 10 bzw. 20 Millionen Euro oder 2 bzw. 4 % des weltweiten Umsatzes – das jeweils höhere kommt immer zum Tragen!

Als Denkbeispiel: Apple hatte im Jahr 2016 ca. 215 Milliarden Dollar Umsatz weltweit und davon 4% sind ca. 8,6 Milliarden.

Tagesseminar
Rechtskonformer Umgang mit Mitarbeiterdaten
Aktuelles Datenschutzrecht im Unternehmen

Gehen Sie kein Risiko ein und machen Sie sich mit den Grenzen der zulässigen Erhebung, Verarbeitung und Weitergabe von persönlichen Mitarbeiterdaten laut Datenschutzgesetz vertraut!


In unserem praxisorientierten Tagesseminar Rechtskonformer Umgang mit Mitarbeiterdaten informieren wir Sie umfassend über die aktuelle Gesetzeslage und wie Sie diese in Ihrem Betrieb praktisch umsetzen – inkl. EU-Datenschutz-Grundverordnung!

Welche Daten, die eventuell nicht als solche erkennbar sind, benötigen die offizielle Zustimmung des Mitarbeiters?

Mit der Begründung zur gesetzlichen Erfüllung des Dienstverhältnisses habe ich bereits sehr vieles abgedeckt.

Was aber immer wieder übersehen wird, ist, dass man für die Verwendung von Mitarbeiterfotos, etwa für den Newsletter, das Intranet oder die Homepage, eine Zustimmung benötigt!

Denn: Auch auf einem Foto befinden sich persönliche Daten: Man erkennt Geschlecht, mögliche Krankheiten oder körperliche Einschränkungen, etc.

Es gilt: Der Mitarbeiter muss der Verwendung des eigenen Bildes explizit zustimmen.

Was muss man bei Ende des Dienstverhältnisses beachten?

Es müssen nicht automatisch alle Daten gelöscht werden!

In Fällen von Schadensersatzansprüchen darf ich Daten, die ich noch benötigen könnte – also Name, Geburtsdatum für die Identifikation, evtl. die Adresse – pauschal etwa drei Jahre speichern.

Es kann auch die lange Verjährungsfrist von 30 Jahren, zur Anwendung kommen, z.B. bei der Ausstellung eines einfachen Dienstzeugnisses.

Mag. Lukas Disaró ist selbständiger Rechtsanwalt, mit Schwerpunkt auf Arbeitsrecht.

Er studierte Rechtswissenschaften an der Universität Innsbruck. Seine Stationen als Rechtsanwaltsanwärter waren in diversen renommierten Wiener Wirtschaftskanzleien – u.a. bei der Wolf Theiss Rechtsanwälte GmbH & Co KG, in der er sich auf Arbeitsrecht spezialisierte.

Nach Absolvierung der Rechtsanwaltsprüfung war er als Rechtsanwaltsanwärter und später als Rechtsanwalt bei der Jarolim Partner Rechtsanwälte GmbH und später Northcote.Recht – ebenfalls im Bereich Arbeitsrecht – tätig.

Seit Ende 2018 ist er selbständiger Rechtsanwalt bei DUY Rechtsanwalt GmbH.

Sein Tätigkeitsschwerpunkt liegt in der Erstellung von Dienstverträgen, im Betriebsverfassungsrecht sowie der Digitalisierung und der Beratung von Start-Ups. Zudem ist er regelmäßiger Vortragender im Arbeitsrecht und zum Mitarbeiterdatenschutz und Autor in diesen Bereichen.

Für DieWeiterbilder hält er, gemeinsam mit Mag. Erwin Fuchs, Seminare zum Thema Rechtskonformer Umgang mit Mitarbeiterdaten.