Dass Arbeitgeber die allgemeinen Grundsätze rechtmäßiger Datenverarbeitung auch bei der Verarbeitung von personenbezogenen Arbeitnehmerdaten beachten müssen, ist nichts Neues. Daran ändert weder die DSGVO noch das Datenschutz-Anpassungsgesetz 2018 etwas. Personenbezogene Arbeitnehmerdaten sind daher auch künftig insbesondere rechtmäßig, nach Treu und Glauben und transparent zu verarbeiten.
DSGVO: Vielzahl neuer Pflichten für den Arbeitgeber
Nichtsdestotrotz bringt die DSGVO für Arbeitgeber einen Paradigmenwechsel. Ersetzt wird insbesondere die Meldung von Datenanwendungen beim behördlichen Datenverarbeitungsregister.
Als Verantwortliche müssen Arbeitgeber künftig selbst(verantwortlich) Verfahrensverzeichnisse erstellen, die auf Anfrage der Behörde vorzulegen sind. Weiters haben Arbeitgeber bei der Datenverarbeitung künftig - abhängig von Natur, Umfang, Kontext und Risiken und der verfügbaren Technologien und Implementierungskosten - geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Rechte der betroffenen Personen umfassend geschützt werden (privacy by design/privacy by default).
Neu ist auch, dass Arbeitgeber bei Verarbeitungsvorgängen, die etwa bei Verwendung neuer Technologien voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen zur Folge haben, eine Pflicht zur Datenschutz-Folgenabschätzung trifft. Bestimmte Unternehmen, insbesondere öffentliche Stellen, werden zudem verpflichtend einen Datenschutzbeauftragten bestellen müssen. Dieser ist bei Erfüllung seiner Aufgaben weisungsfrei.
Der österreichische Gesetzgeber hat abermals die Chance verpasst, durch Schaffung eines spezifischen Beschäftigungsdatenschutzrechts das seit jeher bestehende Spannungsverhältnisses zwischen Arbeits- und Datenschutzrecht zu lösen. Die bisherige Rechtslage mit all ihren bestehenden Unsicherheiten gilt daher unverändert fort.
Arbeitsrecht UND Datenschutzrecht einhalten
Wollen Arbeitgeber Arbeitnehmerdaten verarbeiten, müssen sie daher weiterhin sowohl die Vorgaben des Datenschutzrechts als auch jene des Arbeitsrechts beachten. Für die praktische Umsetzung bedeutet dies, dass Arbeitgeber selbst bei Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen der DSGVO aller Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer nur nach Abschluss einer Betriebsvereinbarung einführen dürfen. Das gilt auch etwa für die nicht wegzudenkende digitale Telefonanlage wie auch, für Zutrittskontrollsysteme, Videoüberwachung, aber auch „alltägliche“ Systeme wie E-Mail und selbst Internet. All diese Systeme sind objektiv zur Kontrolle geeignet und unterliegen daher der notwendigen Mitbestimmung des Arbeitsverfassungsgesetzes („ArbVG“). Gleichermaßen haben Arbeitgeber für die Einführung von automationsunterstützen Personaldatensystemen und von Systemen zur Personalbeurteilung weiterhin die Zustimmung des Betriebsrates einzuholen.
Fehlende Betriebsvereinbarung könnte zu Strafen führen
Achtung! Unklar bleibt vorerst, ob bereits der Nichtabschluss einer nach dem ArbVG notwendigen Betriebsvereinbarungen zukünftig auch dem Sanktionsmechanismus der DSGVO unterliegt und somit beträchtliche Strafen auslösen kann. Dieser Schluss liegt nahe, hat doch der österreichische Gesetzgeber das ArbVG, insbesondere die Regelungen der §§ 96, 96a ArbVG, zu einer datenschutzrechtlichen Vorschrift im Beschäftigungskontext erklärt (konkret im Sinne des Art. 88 DSGVO).
Nicht zuletzt deshalb sollten Sie Datenschutz im Arbeitsrecht zum bedeutsamen Compliance-Thema erklären. Bis zum Inkrafttreten der DSGVO und des Datenschutz-Anpassungsgesetzes mit 25. Mai 2018 empfiehlt es sich, die eigenen Datenanwendungen sorgfältig zu prüfen und Verfahrensverzeichnisse zu erstellen. Dabei sollte auch und verstärkt dem Arbeits- und Betriebsverfassungsrecht entsprechend Bedeutung beigemessen werden, da gerade im Arbeitsverhältnis dauerhaft sehr viele personenbezogene Daten verarbeitet werden.
Sollten Betriebsvereinbarungen (oder bei Fehlen eines Betriebsrats Individualvereinbarungen nach § 10 Abs 1 AVRAG) bisher nicht abgeschlossen worden sein, sollte dies rechtzeitig nachgeholt werden. Wir empfehlen auch, bestehende Betriebsvereinbarungen auf Konformität mit dem neuen Datenschutzrecht zu prüfen.
%20(2).jpg?v=3)
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.