Welche Änderungen bringt die DSGVO in der Personalverwaltung?
Der Bogen beim Vortrag von Dr. Thomas Schweiger, LL.M. (Duke) | dataprotect am Vormittag des 17.10.2017 spannte sich von der Entscheidung des EGMR betreffend Email-Überwachung über die Frage weshalb Datenschutz notwendig ist, mit der Darstellung des Börsekurses von Equifax vor und nach dem Bekanntwerden der Datenschutzverletzung, einem Verweis auf die Besucherstromanalyse re:log auf der re:publica 2013 bis zur Geldstrafe von Facebook von 1,200.000,-- EURO in Spanien wegen Verletzung des Datenschutzgesetzes.
Nach dieser Einführung wurden die „Herausforderungen der DSGVO“ mit Compliance, Rechenschaftsverpflichtung, Nachweispflicht einerseits sowie den umfassenden Informationsverpflichtungen, der Verpflichtung zu Schulung und Training für MitarbeiterInnen und Dokumentation sowie der Notwendigkeit von Revision & Review in einem kurzen Überblick erörtert.
Im nächsten Schritt folgte eine kurze Erklärung zum Thema „Was gibt es Neues“, nämlich Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Datenschutzbeauftragte/r, Meldung der Datenschutzverletzung sowie den erhöhten Geldbußen.
Auf das Verzeichnis von Verarbeitungstätigkeiten als „Dreh- und Angelpunkt“ des DSMS (Datenschutz-Management-System) und die notwendigen Inhalte wurde näher eingegangen, und auf die diesbezüglichen Spezifika der „Personalverwaltung“.
Die Grundprinzipien des Datenschutzes, nämlich Rechtmäßigkeit, Transparenz, Zweck(e), Speicherminimierung, Richtigkeit, Speicherbegrenzung sowie Vertraulichkeit & Integrität wurden erläutert.
Art 88 DSGVO (Datenverarbeitung im Beschäftigungskontext) und die Frage von Gesetz, Kollektivvereinbarung und Betriebsvereinbarung als Grundlage für Datenverarbeitungen bildeten einen weiteren Schwerpunkt im Vortrag, insbes. auch mit dem Hinweis auf die definierten Zwecke in der DSGVO bzw. in den Erwägungsgründen.
Es folgte eine Darstellung der Rechtmäßigkeit der Datenverarbeitung im Beschäftigungskontext mit dem Hinweis auf die Opinion 2/2017 vom 8.6.2017 der Art. 29 Datenschutz-Gruppe und die darin niedergelegten Grundsätze zu „Einwilligung“, „Arbeitsvertag“, „gesetzliche bzw. rechtliche Verpflichtung“ sowie auch „berechtigtes Interesse“ als Grundlagen für die Rechtmäßigkeit der Verarbeitungen im Beschäftigungskontext. Insbes. die Frage der „Freiwilligkeit“ bei der Einwilligung im Beschäftigungskontext wurde mit den Teilnehmern in unterschiedlichen Varianten und Fragestellungen eingehend diskutiert.
Auch die Informationsverpflichtungen gem. Art 13 DSGVO (bei der direkten Erhebung) sowie auch eventuelle Verpflichtungen andere Personen von der Datenverarbeitung zu informieren (z.B. Angehörige bei der Frage von Vollstreckungen/Exekutionen auf Gehalt) gem. Art 13 DSGVO wurden gestreift.
Ein weiterer Punkt waren die Zwecke der Verwaltung von Personaldaten, insbes. auch unter Hinweis auf die SA002 Personalverwaltung der StMV 2004, die im Wesentlichen in zwei Gruppen einzuteilen sind, nämlich „MitarbeiterInnen (aktive und ausgeschiedene)“ sowie „BewerberInnen“. Eine weitere Kategorisierung der betroffenen Personen ist zwar möglich, aber uU nicht gesetzlich geboten.
Die Speicherfristen (Löschfristen) sowie auch die möglichen betroffenen Personen wurden ebenfalls differenziert nach Art der Daten bzw. Notwendigkeit der Aufbewahrung besprochen. Insbes. die Frage der Aufbewahrung von Bewerberdaten bzw. Evidenzhaltung oder Weitergabe der Bewerberdaten, und die Frage, wie die (freiwillige) Einwilligung im Beschäftigungskontext mit dem Über- bzw. Unterordnungsverhältnis Arbeitgeber bzw. Beschäftigte erreicht werden kann, und was die Konsequenzen sind, wurden diskutiert.
Ein weiterer Schwerpunkt waren die Mitwirkungsrechte bzw. Informationsrechte des Betriebsrates und die Informationspflicht des Betriebsinhabers bzgl. der Verwendung personenbezogener Daten in einem Unternehmen und der Übermittlungen dieser Daten.
Es wurden dann auch noch unterschiedliche Entscheidungen zur Frage, ob das Grundrecht auf Datenschutz des Mitarbeiters das Recht des Betriebsrates auf Einsicht in die Lohnaufzeichnungen überwiegt, oder auch ob des notwendig ist, dem Betriebsrat einen direkten Zugang zum (elektronischen) Lohnverrechnungssystem zu geben, wenn ohnehin die Lohnlisten zur Verfügung gestellt werden.
Auch drei Entscheidungen zur Frage der „Kontrollmaßnahmen und technischen Systemen, die die Menschenwürde berühren“ und Betriebsvereinbarung nach ArbVG waren Thema.
Die Entscheidung des OGH aus dem Jahr 2002 „Telefonanlage mit Aufzeichnung der Rufnummern und Kontaktdaten“ – ohne Betriebsvereinbarung - mit der Erörterung der Intensität des Eingriffes und der Frage, ob aus der (natürlichen) Kontrollunterworfenheit der MitarbeiterInnen im Arbeitsleben wurde besprochen.
Zwei Entscheidungen zur Frage der „Verwendung von GPS-Daten“ im Beschäftigungskontext wurden ebenfalls erörtert und als letzte Entscheidung wurde auch die Entscheidung „biometrische Zugangsdaten im Krankenhaus“ erwähnt, bei welcher die Speicherung der biometrischen Daten aller Mitarbeiter als „Templates“ zum Abgleich bei der Verwendung die kritische Frage war.
Kommentar schreiben