Datenschutz im Job: Auch Mitarbeiterdaten unterliegen den Bestimmungen der DSGVO. Dabei gilt es vieles zu beachten.
Mit der zunehmenden Vernetzung und Digitalisierung der Arbeitswelt, vergisst man nur allzu rasch: Jede E-Mail, jede Bewerbung und jeder Anruf produziert Daten. Diese gilt es zu schützen, zu dokumentieren, zu löschen. Einige Beispiele aus der Praxis.
Müssen Mitarbeiter der Verwendung ihrer Daten zustimmen?
In vielen Fällen ist die Verarbeitung von Mitarbeiterdaten „zur Erfüllung einer rechtlichen Verpflichtung“ erforderlich und daher auch ohne Zustimmung legitim. Gewisse Informationen wie Name, Anschrift und Geburtsdatum benötigt der Arbeitgeber einfach, weil er ansonsten keine Gehaltsabrechnung erstellen kann. Bei der Veröffentlichung von Mitarbeiterfotos und Porträts auf der Firmen-Website oder im Intranet sollte aber lieber eine Einwilligung eingeholt werden. Wichtig ist dabei, dass der Mitarbeiter seine Zustimmung freiwillig abgibt und er vom Arbeitgeber nicht dazu gedrängt wird.
Kann die Zustimmung des Mitarbeiters in den Dienstvertrag integriert werden?
Im Hinblick auf das Koppelungsverbot, wonach Einwilligungen nur dann gültig sind, wenn sie freiwillig und unabhängig von der Erfüllung eines Vertrags erfolgen, sollte die Zustimmung mit einem eigenen Dokument eingeholt werden, welches nicht an den Dienstvertrag „gekoppelt“ ist. Problematisch wäre es nämlich, wenn der Mitarbeiter den Job nur dann erhält, wenn er etwa auch die Zustimmung zur Veröffentlichung seines Bildes erteilt.
Müssen Mitarbeiterdaten in das Verarbeitungsverzeichnis aufgenommen werden?
Auch Mitarbeiterdaten sind vom neuen Datenschutz erfasst, wenn sie personenbezogen sind. Daher müssen sie auch in der jeweiligen Personengruppe als Datenkategorien in das Verzeichnis integriert werden. Weiters müssen Rechtsgrundlage, Zweck und Dauer der Verarbeitung sowie die Empfänger, denen die Daten weitergeleitet werden, angeführt sein. Dabei ist der Grundsatz der Datenminimierung zu beachten: Arbeitgeber sollten kritisch hinterfragen, ob wirklich alle erhobenen Daten für die Erfüllung des Dienstverhältnisses unbedingt benötigt werden. Exzessives Datensammeln ist künftig untersagt.
Wie lange dürfen Bewerberdaten in Evidenz gehalten werden?
Im Datenschutzrecht gibt es neben dem Grundsatz der Datenminimierung auch jenen der Speicherbegrenzung. Es dürfen also nur noch jene Daten verarbeitet und gespeichert werden, die unbedingt nötig sind – und das auch nur noch so lange, wie dies erforderlich oder gesetzlich vorgesehen ist. Bewerberdaten dürfen demnach auch ohne Zustimmung sechs Monate lang evident gehalten werden, um sich gegen Ansprüche nach dem Gleichbehandlungsgesetz verteidigen zu können, sollte sich ein Bewerber diskriminiert fühlen. Die Frist ist ab dem Zeitpunkt der Ablehnung zu berechnen. Für eine längere Aufbewahrung bräuchte es eine entsprechende Einwilligung.
Müssen Mitarbeiter geschult werden?
Arbeitgeber sind in der Pflicht, ihre Mitarbeiter ausreichend für das Thema Datenschutz zu sensibilisieren. Wie umfangreich und intensiv diese Maßnahmen sein müssen, hängt vom Unternehmen, seiner Größe, dem Tätigkeitsfeld und von den Daten, die betroffen sind, ab. Jedenfalls dürfen Mitarbeiter personenbezogene Daten künftig nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln, was auch vertraglich festzuhalten ist, etwa in Form einer Verpflichtungserklärung. Außerdem sind die Mitarbeiter über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
Was ist mit Bring your own devices?
Verwenden Arbeitnehmer private Laptops, Smartphones oder Tablets ist das ein Sicherheitsrisiko. Anders als bei Firmengeräten hat der Arbeitgeber hier kaum eine Möglichkeit festzustellen, ob diese privaten Geräte des Mitarbeiters ein ausreichendes Schutzniveau aufweisen. Werden regelmäßig Updates durchgeführt? Wie sicher ist die Firewall? Gibt es einen Virenscanner? In solchen Fällen empfiehlt es sich, Richtlinien zur Nutzung von privaten Geräten für Firmenzwecke in Form einer IT-Policy aufzusetzen. Werden Firmenhandys oder –Laptops überlassen, sollten dem Mitarbeiter unbedingt auch Nutzungsbedingungen mit ausreichenden Datenschutzhinweisen übergeben werden. Wie ist vorzugehen, wenn der Mitarbeiter das Handy verliert? Wie kann der Zugriff unberechtigter Personen auf den Laptop verhindert werden. All das sollte in einer schriftlichen Maßnahmenbeschreibung fixiert werden.
Was gilt es zu beachten, wenn Mitarbeiterdaten an externe Dienstleister übermittelt werden?
Nur noch wenige Unternehmen führen die gesamte Personalverwaltung unternehmensintern durch. Häufig werden externe Dienstleister wie Buchhalter oder Lohnverrechner mit der Abwicklung beauftragt. Werden diesen Kooperationspartnern personenbezogene Mitarbeiterdaten überlassen, muss sich der Arbeitgeber vergewissern, dass diese Institutionen über ein ausreichendes Datenschutzniveau verfügen. Dazu muss er, als Verantwortlicher dieser Daten, eine Auftragsdatenverarbeitungsvereinbarung mit dem jeweiligen Empfänger der Daten abschließen. Darin garantiert der Auftragsverarbeiter, vereinfacht gesagt, dass er sich an die Vorgaben der Datenschutzbestimmungen hält und die Daten bei ihm sicher verarbeitet werden.
STEPHAN KLIEMSTEIN