Jens Winter ©CMS
DSGVO und Mitarbeiter. Die Auswirkungen auf den Arbeitnehmer-Datenschutz sind rechtzeitig zu hinterfragen, warnen die Arbeitsrechtsspezialisten Jens Winter (Partner) und Dominik Stella (Associate) bei CMS in Wien.
Am 25. Mai 2018 treten die Datenschutz-Grundverordnung (DSGVO) und das Datenschutz-Anpassungsgesetz 2018 in Kraft, die auch Auswirkungen auf den Arbeitnehmer-Datenschutz haben. Es gilt einiges zu beachten, um „compliant“ zu sein und damit ungewollte Rechtsfolgen, insbesondere teils hohe Geldbußen, zu vermeiden. Achtung: Die Umsetzung der dafür notwendigen Maßnahmen kann sich als zeitaufwendig erweisen.
Herausforderungen warten auf Unternehmen vor allem auch in ihrer Rolle als Arbeitgeber bei der Verwendung personenbezogener Daten ihrer Mitarbeiter. Speziell aufgrund der nur partiell geregelten Verzahnung des Datenschutzrechts mit dem Arbeitsrecht ergeben sich zahlreiche rechtliche Eigenheiten.
Von Bewerbungsschreiben bis Mitarbeiter-Fotos
Will der Arbeitgeber z.B. Name und Kontaktdaten eines Mitarbeiters samt Foto im (globalen) Intranet oder im Internet publizieren, stellen sich Fragen des Persönlichkeits-, aber auch des Datenschutzrechts. Weiters sollte der Umgang mit Bewerberdaten (auch) datenschutzrechtlich wohl überlegt sein. Wie lange dürfen diese z.B. aufbewahrt werden?
Dominik Stella ©CMS
Die Mitbestimmungsrechte des Betriebsrats, insbesondere jene nach den §§ 91, 96, 96a Arbeitsverfassungsgesetz (ArbVG), bleiben vom Datenschutzrecht unberührt. Die Rechte des Betriebsrats werden nicht „beschnitten“. Dies hat zur Folge, dass technische Systeme, die zur Kontrolle der Mitarbeiter geeignet sind, weiterhin nur nach Abschluss einer Betriebsvereinbarung (BV) rechtmäßig eingeführt werden können.
Betriebsvereinbarungen bald attraktiver?
Auch wenn der Abschluss von Betriebsvereinbarungen von Unternehmen oftmals als rechtliches Hindernis wahrgenommen wird, könnten sich diese im Rahmen der DSGVO bald zunehmender Beliebtheit erfreuen:
Nach § 11 DSG 2018 ist das Arbeitsverfassungsgesetz, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO. Der österreichische Gesetzgeber hat somit von der Öffnungsklausel der DSGVO Gebrauch gemacht und das ArbVG partiell zur besonderen Vorschrift für die Datenverarbeitung im Beschäftigungskontext erklärt.
Damit wurde für die betrieblichen Sozialpartner eine kompetenzrechtliche Grundlage für eine weitreichende Gestaltungsmöglichkeit geschaffen. Denn der Abschluss einer nach dem ArbVG rechtlich notwendigen Betriebsvereinbarung ist unerlässlich, kann aber somit zugleich auch eine datenschutzrechtliche Rechtfertigung für die Verarbeitung personenbezogener Arbeitnehmerdaten sein.
Die Umsetzung in § 11 DSG 2018 führt jedoch mitunter auch dazu, dass der Nichtabschluss einer nach dem ArbVG rechtlich notwendigen Betriebsvereinbarung von der Geldbuße-Sanktion nach Art 83 Abs 5 lit d DSGVO erfasst sein kann. Art 83 sieht für Verstöße empfindliche Geldstrafen von bis zu 20 Mio. Euro oder mehr vor. Sollten daher notwendige Betriebsvereinbarungen nicht bestehen, ist dringend anzuraten den Abschluss nachzuholen.
Unabhängig von dieser betriebsverfassungsrechtlichen Dimension sollten Arbeitgeber sich rechtzeitig Gedanken über ein Lösch- und Aufbewahrungskonzept machen. Wie lange dürfen Arbeitnehmerdaten aufbewahrt werden? Wann müssen diese gelöscht werden? Fragen, auf die das Datenschutzrecht keine Antworten geben kann. Diese folgen vielmehr allein aus dem Arbeitsrecht, dem Sozialversicherungsrecht oder auch dem Steuerrecht.
Arbeitnehmer-Einwilligungen oftmals problematisch
Einwilligungen einzelner Arbeitnehmer sollten im Arbeitsrecht hingegen nicht strukturell zum Einsatz kommen, sondern nur als letztes Mittel genutzt werden, um eine Verarbeitung zu rechtfertigen. Nicht nur stellen Einwilligungen aufgrund der jederzeitigen Widerrufsmöglichkeit generell eine äußerst unsichere Rechtfertigungsgrundlage dar, sondern sie sind auch im Lichte des Grundsatzes der Freiwilligkeit problematisch.
Ein Mitarbeiter muss die Verarbeitung seiner Daten ohne die Befürchtung von Sanktionen verweigern oder eine zuvor erteilte Einwilligung folgenlos widerrufen können. Genau hier bestehen aber im Arbeitsverhältnis Zweifel, da aufgrund der zwischen den Arbeitsvertragsparteien bestehenden unterschiedlichen Machtstruktur dem Mitarbeiter häufig, zumindest subjektiv betrachtet, keine andere Wahl bleibt, als in die Datenverarbeitung einzuwilligen.
Die Datenschutzbeauftragten
Ist im Unternehmen nach Art 37 DSGVO verpflichtend ein Datenschutzbeauftragter zu bestellen oder wird ohne Verpflichtung dazu – dann aber mit denselben Rechtsfolgen – ein solcher bestellt, ergeben sich auch im Hinblick auf die Bestellung zahlreiche arbeitsrechtliche Fragen, aber auch Gestaltungsspielräume.
Wie vom GmbH-Geschäftsführer bekannt, ist zwischen der organschaftlichen Bestellung und der schuldrechtlichen Grundlage für die Tätigkeit des Datenschutzbeauftragten zu unterscheiden.
Die Autoren: Jens Winter ist Partner, Dominik Stella Associate bei CMS in Wien. Beide sind auf Arbeitsrecht spezialisiert.
Link: CMS
