Ab 25. Mai 2018 tritt die neue europaweite Datenschutz-Grundverordnung (DSGVO) in Kraft. Vorrangiges Ziel ist der Schutz personenbezogener Daten.
Bis dato konnte Ihre Firma Ihre Datenschutzanwendungen im DVR melden und hatte somit eine offizielle Genehmigung. Jetzt müssen die Daten auf eigenes Risiko hin verarbeitet werden – ohne Vorabgenehmigung.
Was sind die Grundprinzipien der DSGVO?
Die DSGVO hat folgende Grundprinzipien:
- Rechtmäßigkeit der Datenverarbeitung (Rechtsgrundlage oder Einwilligung)
- Transparenz
- Zweckbindung bzw. keine Zweckverkettung: Nur weil ich die Daten einer Person habe, weil sie z.B. an einem Seminar teilgenommen hat, darf ich ihr noch lange keinen Newsletter ungefragt zuschicken.
- Datenminimierung: nur die wirklich notwendigen Daten werden erhoben
- Richtigkeit der Daten
- Datensicherheit: Datenintegrität (Wiederherstellbarkeit; Backup) und Vertraulichkeit (kein Zugriff für Unbefugte)
- Rechenschaftspflicht des Unternehmens gegenüber der betroffenen Person und der Behörde
Die betroffene Person, deren Daten verarbeitet werden, hat folgende Rechte:
- Recht auf Information durch das verantwortliche Unternehmen, auch – aber nicht nur – bei einem Datenleck
- Recht auf Auskunft, welche Daten gespeichert sind
- Recht auf Berichtigung der Daten
- Recht auf Löschung der Daten – sofern es keine rechtliche Grundlage gibt, die die Aufbewahrung der Daten verlangt (z.B. Steuerrecht)
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Recht, dass bei automatisierten Entscheidungen mit Rechtswirkung nicht nur ein Algorithmus entscheidet (z.B. bei Bonitätsfragen)
Diese Punkte gelten für JEDE Verarbeitung ALLER personenbezogenen Daten natürlicher Personen.
Wie ist nun die HR Abteilung von der neuen DSVGO betroffen?
Die Personalabteilung hat daher 2 Hauptberührungspunkte mit personenbezogenen Daten:
- Mitarbeiterinnen und Mitarbeiter
- Bewerberinnen und Bewerber
1. Daten von Mitarbeiterinnen und Mitarbeitern
Die genannten Grundprinzipien und die Rechte der betroffenen Personen gelten für alle natürlichen Personen, deren Daten verarbeitet werden – somit auch für die Verarbeitung aller Daten von Mitarbeiterinnen und Mitarbeitern!
In Österreich wird im Datenschutzrecht auf das ArbVG und das AVRAG Bezug genommen. Das ArbVG regelt unter anderem zustimmungspflichtige Maßnahmen wie Kontrollmaßnahmen, Zutrittskontrollsysteme, Arbeitszeit, etc., für die eine Betriebsvereinbarung notwendig sind.
Anwendungsfälle in Bezug auf die DSGVO sind z.B. private Internetnutzung, Zutrittskontrollsysteme (im Sinne der Datensicherheit sogar wünschenswert, dürfen aber nicht mit Zeiterfassung gekoppelt sein), Nutzung von Social Media am Arbeitsplatz, etc. Hier ist es aus Gründen der Haftung ratsam, dass die Arbeitgeberin oder der Arbeitgeber genaue Regeln aufstellt, wie mit diesen Themen umgegangen wird. Wird beispielsweise durch die private Internetnutzung ein Virenbefall verursacht, der die Datensicherheit von personenbezogenen Kundinnen-und Kundendaten gefährdet, und im Unternehmen wird die private Internetnutzung geduldet oder erlaubt, trifft die Arbeitgeberin oder den Arbeitgeber sogar ein Mitverschulden am Datenverlust.
Auch die Mitarbeiterinnen und Mitarbeiter haben das Recht zu erfahren, welche Daten über sie gespeichert sind und wie die Daten verarbeitet werden. Daher mein Tipp:
Halten Sie wichtige Eckpunkte schon im Dienstvertrag fest, z.B. dass die Gehaltsverrechnung von einem externen Dienstleister durchgeführt wird, der zu diesem Zweck natürlich Zugriff auf die notwendigen Daten haben muss.
Mit dem externen Dienstleister wiederum, z.B. der Steuerberaterin oder dem Steuerberater, muss ein sog. Auftragsverarbeitervertrag abgeschlossen werden, in dem unter anderem geregelt wird, welche Daten zu welchem Zweck verarbeitet werden und wie die Löschung der Daten nach Beendigung des Auftragsverhältnisses passiert. Als „verlängerter Arm des Unternehmens“ treffen den Auftragsverarbeiter grundsätzlich dieselben Rechte und Pflichten wie Sie als Auftraggeberin oder Auftraggeber, was den Datenschutz betrifft.
Weiters gilt auch für Mitarbeiterinnen und Mitarbeiter das Recht auf das eigene Bild: Der Dienstgeber darf Fotos von Mitarbeiterinnen und Mitarbeitern nur mit deren ausdrücklicher Zustimmung auf der Homepage, in Social Media oder in Kundenzeitungen verwenden. Was unter Juristinnen und Juristen noch strittig ist, ist die Frage, ob diese Zustimmung wirklich freiwillig und ohne Zwang zustande kommen kann. Einerseits besteht ein unausgewogenes Machtverhältnis zugunsten des Dienstgebers, wodurch sich die Mitarbeiterin oder der Mitarbeiter gezwungen fühlen kann, sein Einverständnis zu geben. Andererseits können auch Urlaubsvereinbarungen verbindlich getroffen werden, daher müssen wir davon ausgehen, dass auch Datenschutzvereinbarungen getroffen werden können.
Betreffend dem Recht auf Löschung der Daten haben Mitarbeiterinnen und Mitarbeiter natürlich eine Sonderstellung: sie können ihre Daten nicht zur Gänze löschen lassen, da für die Geltendmachung von Ansprüchen Daten vorhanden sein müssen (z.B. Recht auf Dienstzeugnis: 30 Jahre).
Sensible Daten
Sensible Daten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Dabei handelt es sich um Daten betreffend rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Sexualleben sowie sexuelle Orientierung.
Für sensible Daten gilt:
Wenn es keine Rechtsgrundlage für die Verarbeitung sensibler Daten von Mitarbeiterinnen und Mitarbeitern gibt, dürfen Sie diese Daten nur dann verarbeiten, wenn Sie die ausdrückliche schriftliche Einwilligung der betroffenen Personen haben.
Anwendbare Rechtsgrundlagen für eine Verarbeitung sind beispielsweise:
- Arbeits- und Sozialrecht, wo die Mitarbeiterinnen und Mitarbeiter ihr Religionsbekenntnis bekanntgeben müssen, damit Sie ihnen die ihnen zustehenden religiösen Feiertage gewähren können
- Gesundheitszwecke, z.B. Gesundheitsvorsorge, Arbeitsmedizin
2. Daten von Bewerberinnen und Bewerbern
Bewerbungsunterlagen enthalten auch eine Vielzahl an personenbezogenen Daten. Als Recruiterin oder Recruiter dürfen Sie die Bewerbungsunterlagen öffnen und verarbeiten, ohne die Bewerberin oder den Bewerber um seine Erlaubnis fragen zu müssen, denn die Bewerberin oder der Bewerber hat Ihnen die Unterlagen ja zur Anbahnung einer Vertragsbeziehung zugeschickt.
Allerdings müssen Sie verschiedene Grundregeln beachten:
- Der Bewerbungsprozess muss transparent sein. Die Bewerberin oder der Bewerber muss wissen, was mit seinen Unterlagen geschieht.
- Nur befugte Personen dürfen Zugriff auf die Bewerbungsunterlagen haben.
- Sie dürfen die Unterlagen nicht einfach an Dritte weiterleiten, ohne die Bewerberin oder den Bewerber um sein Einverständnis zu fragen.
- Wenn der Bewerbungsprozess vorbei ist, müssen Sie die Bewerbungsunterlagen der abgelehnten KandidatInnen und Kandidaten innerhalb einer akzeptablen Frist (z.B. 3-6 Monate) löschen, es sei denn die Bewerberin oder der Bewerber hat Ihnen sein Einverständnis dafür gegeben, ihn in Ihrer Bewerberdatenbank in Evidenz zu halten.
Meine Empfehlung ist, dass Sie auf der Karriereseite Ihrer Homepage einen Infobereich einrichten, auf den die Bewerberinnen und Bewerber Zugriff haben. Im besten Falle müssen die Bewerberinnen und Bewerber durch Anklicken eines Kästchens ihre Zustimmung geben, bevor sie ihre Bewerbung online einreichen können.
Wie Sie sehen, hat die neue Datenschutz-Grundverordnung auch umfangreiche Berührungspunkte mit dem HR Bereich. Mein Tipp dazu ist, den betroffenen Personen (Mitarbeiterinnen und Mitarbeitern/BewerberInnen und Bewerbern) so viel Informationen wie möglich zu geben, um Beanstandungen zu vermeiden.