In unserem Blog werden wir uns mit den neuesten Entwicklungen und Trends im Bereich des Arbeitnehmerdatenschutzes in Österreich auseinandersetzen. Wir zeigen die aktuelle Rechtslage auf und diskutieren Best Practices, um Arbeitgeber dabei zu unterstützen, die Daten ihrer Mitarbeiter (rechts)sicher zu halten. Unser Ziel ist es, ein Verständnis dafür zu schaffen, wie der Datenschutz am Arbeitsplatz in Österreich funktioniert und wie man ihn effektiv umsetzt, um das Vertrauen der Arbeitnehmer zu gewinnen.

Die wichtigsten Punkte zusammengefasst:

• Kein eigenes Arbeitnehmerdatenschutzgesetz: In Österreich gelten im Rahmen der Datenverarbeitung von Arbeitnehmern die allgemeinen Regelungen der DSGVO und des DSG.
• Informationspflichten: Es bestehen umfassende Informationspflichten für die Datenverarbeitung von Arbeitnehmern.
• Der Betriebsrat muss unter bestimmten Umständen involviert werden: Nicht sämtliche Datenverarbeitungen dürfen ohne Abstimmung mit dem Betriebsrat erfolgen. Eine enge Zusammenarbeit zwischen Arbeitgeber, Betriebsrat und den Datenschutzbeauftragten ist in diesem Zusammenhang von Bedeutung.

Datenschutz in Unternehmen

Datenschutz in Unternehmen ist ein Thema, das in Zeiten der DSGVO und steigender Cyber Security Risiken immer mehr an Bedeutung gewinnt. Unternehmen müssen sicherstellen, dass personenbezogene Daten ihrer Kunden und Mitarbeiter geschützt werden und dass sie die gesetzlichen Anforderungen erfüllen.

Dazu gehört es unter anderem auch, dass Unternehmen Daten ihrer Arbeitnehmer rechtmäßig erheben und nur an jene Stelle übermitteln, die die Daten der Arbeitnehmer auch tatsächlich benötigen. In Folge muss mit erhobenen Daten von Arbeitnehmern sorgfältig umgegangen werden und sie müssen vor unberechtigten Zugriffen geschützt werden.

Gibt es ein Arbeitnehmerdatenschutzgesetz?

Nein, in Österreich gibt es aktuell kein spezielles Arbeitnehmerdatenschutzgesetz.

Der Umgang mit personenbezogenen Daten von Arbeitnehmern und der Schutz der Privatsphäre am Arbeitsplatz wird in der DSGVO und im Datenschutzgesetz (DSG) geregelt. Unter Umständen finden sich in Kollektivverträgen und Betriebsvereinbarungen nähere Regelungen zum Datenschutz für eine bestimmte Branche oder den Betrieb.

Wann dürfen personenbezogene Daten von Mitarbeitern verarbeitet und übermittelt werden?

Unternehmen müssen sich an bestimmte Vorgaben halten, wenn sie personenbezogene Daten ihrer Mitarbeiter erheben, verarbeiten oder nutzen möchten. Dazu gehören insbesondere die Informationspflicht gegenüber den Betroffenen sowie die Einhaltung von Löschfristen.

Was sind typische Datenverarbeitungen im Rahmen des Arbeitsverhältnisses?

Im Rahmen des Bewerbungsverfahrens und des laufenden Beschäftigungsverhältnisses gibt es eine Vielzahl von Datenverarbeitungen, die typischerweise in Unternehmen durchgeführt werden.

Dazu gehören beispielsweise:

1. Bewerbungsunterlagen: Hierzu zählen Lebensläufe, Anschreiben und Zeugnisse, die im Rahmen einer Bewerbung an Sie als potenziellen Arbeitgeber geschickt werden.
2. Arbeitsverträge: Sobald ein Arbeitsvertrag abgeschlossen wird, werden personenbezogene Daten wie Name, Adresse und Sozialversicherungsnummer verarbeitet und gespeichert.
3. Gehaltsabrechnungen: Jeden Monat müssen Gehaltsabrechnungen erstellt werden, in denen personenbezogene Daten wie Name, Adresse, Sozialversicherungsnummer und Gehalt verarbeitet werden. Hier kann es auch zu Datenübermittlungen an beauftragte Dienstleister wie Lohnverrechner oder Steuerberater kommen.
4. Krankheitsmeldungen: Wenn ein Arbeitnehmer aufgrund von Krankheit nicht arbeiten kann, muss er oder sie dies dem Arbeitgeber mitteilen. Dabei werden personenbezogene Daten wie Name und unter Umständen der Grund der Krankheit verarbeitet.
5. Urlaubsanträge: Wenn ein Arbeitnehmer Urlaub beantragt, müssen personenbezogene Daten wie Name und Urlaubszeitraum verarbeitet werden.
6. Personalakten: In den Personalakten werden alle relevanten Informationen zu einem Mitarbeiter gespeichert, wie zum Beispiel Arbeitsverträge, Gehaltsabrechnungen und Krankheitsmeldungen.

Weitere Beispiele für typische Datenverarbeitungen im laufenden Beschäftigungsverhältnis ist die Erfassung und Bearbeitung relevanter Informationen in verschiedenen Software-Anwendungen wie in Microsoft Office 365 oder Videokonferenzlösungen wie Zoom.

Es ist wichtig zu beachten, dass diese Daten nur für den Zweck der Verwaltung des Beschäftigungsverhältnisses verwendet werden dürfen und nicht für andere Zwecke zweckentfremdet werden dürfen. Dies schreibt der Grundsatz der Zweckbindung in der DSGVO vor.

Beispiel: Videoüberwachung am Arbeitsplatz

Viele Unternehmen setzen auf Videoüberwachungsmaßnahmen, um die Sicherheit ihrer Mitarbeiter zu gewährleisten und ihr Eigentum vor Diebstahl, Beschädigung und Vandalismus zu schützen. Allerdings stellt der Einsatz von Videoüberwartungsmaßnahmen am Arbeitsplatz einen gravierenden Eingriff in die Persönlichkeitsrechte der betroffenen Arbeitnehmer dar. So können Kameras etwa das Verhalten von Mitarbeitern im Umgang mit Kunden oder Kollegen dokumentieren.

Überdies müssen Unternehmen vor Inbetriebnahme der Videoüberwachungsmaßnahmen den allenfalls bestehenden Betriebsrat informieren. Es empfiehlt sich auch, den Einsatz von Videoüberwachungsmaßnahmen am Arbeitsplatz im Rahmen einer Betriebsvereinbarung unter Hinzuziehung des Datenschutzbeauftragten zu regeln.

Ein weiterer wichtiger Schritt besteht darin, Richtlinien festzulegen, in welchem Umfang und in welchen Bereichen Videoüberwachung erlaubt ist und wer unter welchen Umständen Zugriff auf die Aufnahmen nehmen kann.

Überdies ist über den Umstand der Videoüberwachung transparent zu informieren. Dies erfolgt durch den Aushang des Piktogramms zur Videoüberwachung und den weiteren notwendigen Informationen.

Dabei stellt sich allerdings die Frage:

Was bedeutet Informationspflicht nach der DSGVO?

Die Informationspflichten nach Artikel 13 und 14 DSGVO gelten auch für Unternehmen. Datenschutzinformationen, häufig auch als Datenschutzhinweise oder Datenschutzerklärung bezeichnet, müssen transparent darlegen, welche personenbezogenen Daten erhoben werden, zu welchem Zweck dies geschieht und wie lange diese Daten gespeichert werden. Zudem muss in den Datenschutzhinweisen auch Informationen darüber enthalten sein, wie betroffene Personen ihre Rechte ausüben können, etwa das Recht auf Auskunft oder das Recht auf Löschung.

Aus diesem Grund reicht es seit Inkrafttreten der DSGVO nicht mehr aus, wenn Arbeitnehmer pauschal im Arbeits- bzw. Dienstvertrag darüber informiert werden, dass “Daten im Rahmen des Arbeitsverhältnisses verarbeitet werden“.

Welche Rechte haben Arbeitnehmer nach der DSGVO?

Nach der Datenschutz-Grundverordnung (DSGVO) haben Arbeitnehmer verschiedene Rechte in Bezug auf ihre personenbezogenen Daten, wie beispielsweise:

Auskunftsrecht: Arbeitnehmer haben das Recht, von ihrem Arbeitgeber Auskunft darüber zu verlangen, welche personenbezogenen Daten von ihnen gespeichert werden und zu welchem Zweck.

Recht auf Berichtigung: Wenn Arbeitnehmer feststellen, dass ihre personenbezogenen Daten unrichtig oder unvollständig sind, haben sie das Recht, eine Berichtigung zu verlangen.

Recht auf Löschung: Unter bestimmten Umständen haben Arbeitnehmer das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, z.B. wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden.

Recht auf Einschränkung der Verarbeitung: Wenn Arbeitnehmer die Richtigkeit ihrer personenbezogenen Daten bestreiten oder die Verarbeitung unrechtmäßig ist, können sie eine Einschränkung der Verarbeitung verlangen.

Widerspruchsrecht: Arbeitnehmer haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen.

Diese Rechte gelten unabhängig davon, ob es sich um sensible Daten wie Gesundheitsdaten handelt oder nicht. Arbeitgeber müssen sicherstellen, dass sie diese Rechte respektieren und entsprechende Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen.

Fazit

Insgesamt gilt es also für Unternehmen, den Datenschutz ernst zu nehmen und sich aktiv mit den Anforderungen der DSGVO auseinanderzusetzen. Nur so können sie sicherstellen, dass sie nicht nur gesetzeskonform handeln, sondern auch das Vertrauen Mitarbeiterinnen und Mitarbeiter stärken.