Worauf müssen Arbeitgeber künftig beim neuen Datenschutz achten?
Auch die Daten von Mitarbeitern in Betrieben unterliegen den neuen Schutzbestimmungen. Auf die Unternehmer kommt hier eine Reihe neuer Verpflichtungen zu.
Mit der zunehmenden Vernetzung und Digitalisierung der Arbeitswelt vergisst man nur allzu rasch: Jedes E-Mail, jede Bewerbung und jeder Anruf produziert Daten. Diese gilt es zu schützen, zu dokumentieren, zu löschen. Einige Beispiele aus der Praxis.
1. Welche Rechte haben Mitarbeiter an ihren Daten?
In vielen Fällen ist die Verarbeitung von Mitarbeiterdaten „zur Erfüllung einer rechtlichen Verpflichtung“erforderlich und daher auch ohne Zustimmung legitim. Gewisse Informationen, wie Name, Anschrift und Geburtsdatum, benötigt der Arbeitgeber einfach, weil er ansonsten keine Gehaltsabrechnung erstellen kann. Bei der Veröffentlichung von Mitarbeiterfotos und Porträts auf der Firmen-Website oder im Intranet sollte aber lieber eine Einwilligung eingeholt werden. Wichtig ist dabei, dass der Mitarbeiter seine Zustimmung freiwillig abgibt und er vom Arbeitgeber nicht dazu gedrängt wird.
2. Was kann im Dienstvertrag geregelt werden?
Nach dem sogenannten Koppelungsverbot sind zum Beispiel Einwilligungen der Mitarbeiter zur Verwendung ihrer Daten nur dann gültig, wenn sie freiwillig und unabhängig von der Erfüllung eines Vertrags erfolgen. Deshalb sollte diese Zustimmung mit einem eigenen Dokument eingeholt werden, das nicht an den Dienstvertrag „gekoppelt“ist. Problematisch wäre es nämlich, wenn der Mitarbeiter den Job nur dann erhält, wenn er etwa auch die Zustimmung zur Veröffentlichung seines Bildes erteilt.
3. Müssen Mitarbeiterdaten ins Verarbeitungsverzeichnis?
Auch Mitarbeiterdaten sind vom neuen Datenschutz erfasst, wenn sie personenbezogen sind. Daher müssen sie auch in der jeweiligen Personengruppe als Datenkategorien in das Verzeichnis integriert werden. Weiters müssen Rechtsgrundlage, Zweck und Dauer der Verarbeitung sowie die Empfänger, denen die Daten weitergeleitet werden, angeführt sein.
Dabei ist der Grundsatz der Datenminimierung zu beachten: Arbeitgeber sollten kritisch hinterfragen, ob wirklich alle erhobenen Daten für die Erfüllung des Dienstverhältnisses unbedingt benötigt werden. Exzessives Datensammeln ist künftig untersagt.
4. Was ist bei Bewerberdaten zu beachten?
Im Datenschutzrecht gibt es neben dem Grundsatz der Datenminimierung auch jenen der Speicherbegrenzung. Es dürfen also nur noch jene Daten verarbeitet und gespeichert werden, die unbedingt nötig sind – und das auch nur noch so lange, wie dies erforderlich oder gesetzlich vorgesehen ist. Bewerberdaten dürfen demnach auch ohne Zustimmung sechs Monate lang evident gehalten werden, um sich gegen Ansprüche nach dem Gleichbehandlungsgesetz verteidigen zu können, sollte sich ein Bewerber diskriminiert fühlen. Die Frist ist ab dem Zeitpunkt der Ablehnung zu berechnen. Für eine längere Aufbewahrung bräuchte es eine entsprechende Einwilligung.
5. Müssen Mitarbeiter geschult werden?
Arbeitgeber sind in der Pflicht, ihre Mitarbeiter ausreichend für das Thema Datenschutz zu sensibilisieren.
Wie umfangreich und intensiv diese Maßnahmen sein müssen, hängt vom Unternehmen, seiner Größe, dem Tätigkeitsfeld und von den Daten ab, die betroffen sind. Jedenfalls dürfen Mitarbeiter personenbezogene Daten künftig nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln, was auch vertraglich festzuhalten ist, etwa in Form einer Verpflichtungserklärung. Außerdem sind die Mitarbeiter über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
6. Was gilt für private Handys oder Laptops im Dienst?
Verwenden Arbeitnehmer private Laptops, Smartphones oder Tablets, ist das ein Sicherheitsrisiko. Anders als bei Firmengeräten hat der Arbeitgeber hier kaum eine Möglichkeit festzustellen, ob diese privaten Geräte des Mitarbeiters ein ausreichendes Schutzniveau aufweisen. Werden regelmäßig Updates durchgeführt? Wie sicher ist die Firewall? Gibt es einen Virenscanner? In solchen Fällen empfiehlt es sich, Richtlinien zur Nutzung von privaten Geräten für Firmenzwecke in Form einer IT-Policy aufzusetzen.
Werden Firmen-Handys oder -Laptops überlassen, sollten dem Mitarbeiter unbedingt auch Nutzungsbedingungen mit ausreichenden Datenschutzhinweisen übergeben werden. Wie ist vorzugehen, wenn der Mitarbeiter das Handy verliert? Wie kann der Zugriff unberechtigter Personen auf den Laptop verhindert werden? All das sollte in einer schriftlichen Maßnahmenbeschreibung fixiert werden.
7. Was gilt für extern bearbeitete Mitarbeiterdaten?
Nur noch wenige Unternehmen führen die gesamte Personalverwaltung unternehmensintern durch. Häufig werden externe Dienstleister, wie Buchhalter, Lohnverrechner und Steuerberater, mit der Abwicklung beauftragt.
Werden diesen Kooperationspartnern personenbezogene Mitarbeiterdaten überlassen, muss sich der Arbeitgeber vergewissern, dass diese Institutionen über ein ausreichendes Datenschutzniveau verfügen. Dazu muss er, als Verantwortlicher dieser Daten, eine Auftragsdatenverarbeitungsvereinbarung mit dem jeweiligen Empfänger der Daten abschließen.
Darin garantiert der Auftragsverarbeiter, dass er sich an die Vorgaben der Datenschutzbestimmungen hält und die Daten bei ihm sicher verarbeitet werden. Stephan Kliemstein ist auf Datenschutz spezialisierter Rechtsanwalt in Salzburg (König & Kliemstein Rechtsanwälte OG).