Mitarbeiterdatenschutz

Transkript

1 Mitarbeiterdatenschutz RA Dr. Lukas Feiler, SSCP, CIPP/E Linde Webinar, 18. Dezember 2017

2 Themen 1 Rechtsgrundlage der Verarbeitung von Mitarbeiterdaten Einwilligung, gesetzliche Pflicht, Vertragserfüllung, 2 Rechte der Mitarbeiter als Betroffene Rechte auf Auskunft, Löschung, Datenübertragbarkeit, Information 3 Rolle des Betriebsrats Informationspflichten gegenüber dem Betriebsrat & Einsichtsrechte Betriebsvereinbarungen 4 Unternehmens-IT & Mitarbeiterdatenschutz Aufbewahrungspflichten und maximale Speicherdauer Einsicht in & Auswertung von s,

3 3 1 Rechtsgrundlage der Verarbeitung von Mitarbeiterdaten

4 Rechtsgrundlage der Verarbeitung von Mitarbeiterdaten Mögliche Rechtsgrundlagen 1. Einwilligung der betroffenen Person (informierte und freiwillige Zustimmung) Freiwilligkeit bei Arbeitnehmern? jederzeit widerruflich 2. Erforderlichkeit für die Erfüllung des mit betroffener Person geschlossenen Vertrages 3. Gesetzliche Verpflichtung des Verantwortlichen EStG, ASVG, 4. Lebenswichtige Interessen der betroffenen Person 5. Erforderlichkeit für Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt 6. Überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten 4

5 Rechtsgrundlage der Verarbeitung von Mitarbeiterdaten Mögliche Rechtsgrundlagen bei sensiblen Daten Als sensible Daten gelten: Daten aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen Karfreitag frei? ( 7 Arbeitsruhegesetz) Gewerkschaftszugehörigkeit Abführung von Gewerkschaftsbeiträgen genetische und biometrische Daten zur Identifizierung einer natürlichen Person Gesundheitsdaten Krankheitstage, Sozialversicherungsnummer Daten zum Sexualleben überwiegendes berechtigtes Interesse ist nicht ausreichend Einwilligung muss ausdrücklich erfolgen zusätzlich genannt: Rechte & Pflichten aus dem Arbeitsrecht, einschließlich Kollektivverträge und Betriebsvereinbarungen 5

6 6 2 Rechte der Mitarbeiter als Betroffene

7 Rechte der Mitarbeiter als Betroffene Das Recht auf Auskunft Art 15 DSGVO Betroffener hat das Recht zu erhalten Bestätigung, ob seine Daten verarbeitet werden Kopie der verarbeiteten Daten (wenn Antrag elektronisch, dann in elektronischer Form) wesentlichen Teil der Informationen, die in Datenschutzmitteilung enthalten sein müssen Das Recht auf Auskunft im Arbeitsrechtsprozess grds unbeschränkt zulässige Umgehungsmöglichkeiten? 7

8 Rechte der Mitarbeiter als Betroffene Das Recht auf Löschung Art 17 DSGVO Recht auf Vergessenwerden (= Recht auf Löschung), wenn Rechtsgrundlage weggefallen (z.b. Widerruf einer Einwilligung oder Speicherbegrenzung) Berechtigter Widerspruch grds unverzüglich, außer noch nicht möglich aus wirtschaftlichen oder technischen Gründen ( 4 Abs 2 DSG) 8

9 Rechte der Mitarbeiter als Betroffene Das Recht auf Datenübertragbarkeit Art 20 Recht auf Datenübertragbarkeit Recht auf Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen Verantwortlichen, soweit technisch machbar gilt nur, wenn Daten vom Betroffenen bereitgestellt wurden gilt nur, wenn Verarbeitung mit Einwilligung oder zur Vertragserfüllung z.b. Name, Anschrift, Kontodaten, Sozialversicherungsnummer z.b. nicht Leistungsbeurteilung, Mitarbeiter- s 9

10 Recht auf Information - Datenschutzmitteilung Die Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO) 1. die Identität des Verantwortlichen 2. den Datenschutzbeauftragten 3. die Verarbeitungszwecke 4. die rechtliche Grundlage der Verarbeitung 5. die Empfänger 6. die internationalen Datenübermittlungen 7. die Dauer der Datenspeicherung Zeitpunkt der Information: spätestens bei Datenerhebung; wenn nicht bei Betroffenen erhoben, binnen 1 Monat ab Erhebung Informationspflicht, wenn gesetzlich zwingend geregelt? 8. das überwiegende berechtigte Interesse (sofern als Rechtsgrundlage genutzt) 9. Betroffenenrechte 10. Möglichkeit, die Einwilligung zu widerrufen 11. Bestehen eines Beschwerderechts 12. Bei Profiling: Entscheidungslogik 10

11 3 Rolle des Betriebsrats 11

12 Rolle des Betriebsrats Transparenz & Einsichtsrechte des Betriebsrats Betriebsrat ist darüber zu informieren ( 91 Abs 2 ArbVG) welche Arten von personenbezogenen Arbeitnehmerdaten erhoben werden welche Verarbeitungen und Übermittlungen vorgesehen sind Einsichtsrechte des Betriebsrats ( 89 ArbVG) Recht auf Einsicht in verpflichtende Aufzeichnungen, insbesondere in Aufzeichnungen über die Bezüge der Arbeitnehmer und die zur Berechnung erforderlichen Unterlagen Einsicht in Personalakt nur bei Einverständnis des Arbeitnehmers nur Einsicht, keine Übermittlung einer Kopie 12

13 Rolle des Betriebsrats Der Betriebsrat als Verantwortlicher? Wie ist eine Übermittlung an den Betriebsrat datenschutzrechtlich zu werten? Betriebsrat hat keine Rechtspersönlichkeit (ha) Betriebsrat vertritt lediglich die Belegschaft; diese ist eine der Gesamthand ähnliche Rechtsgemeinschaft (RIS-Justiz RS , zuletzt OGH , 9 ObA 10/11b) Belegschaft als datenschutzrechtlicher Verantwortlicher Betriebsräte als vertretungsbefugte Organe gem 9 VStG? 13

14 Rolle des Betriebsrats Betriebsvereinbarungen 1 von 2 Art 88 Abs 1 DSGVO: Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, [ ] vorsehen. Notwendige Betriebsvereinbarungen Einführung von Personalfragebögen, soweit über fachlichen Voraussetzungen hinausgehen ( 96 Abs 1 Z 2 ArbVG) Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren ( 96 Abs 1 Z 3 ArbVG); abstrakte Eignung ausreichend z.b. Videoüberwachung oder Whistleblowing-System 14

15 Rolle des Betriebsrats Betriebsvereinbarungen 2 von 2 Notwendige erzwingbare Betriebsvereinbarungen Einführung von Systemen zur Verarbeitung von Arbeitnehmerdaten, sofern über (i) allgemeinen Angaben zur Person und fachlichen Voraussetzungen und (ii) gesetzliche/kollektivvertragliche/vertragliche Pflichten hinausgehen ( 96a Abs 1 Z 1 ArbVG) Einführung von Systemen zur Beurteilung von Arbeitnehmern, sofern Daten nicht durch betriebliche Verwendung gerechtfertigt ( 96a Abs 1 Z 2 ArbVG) Achtung nicht kündbar ( 32 Abs 2 ArbVG) befristet abschließen? 15

16 Rolle des Betriebsrats Inhalt einer Betriebsvereinbarung Welche Arbeitnehmerdaten werden zu welchen Zwecken in welchen Systemen verarbeitet? Betriebsvereinbarung als Datenschutzmitteilung: Zwei Fliegen mit einer Klappe? Betriebsvereinbarung ist Arbeitnehmern ohnehin zugänglich zu machen ( 30 Abs 1 ArbVG) Wenn Betriebsvereinbarung Art 13 f DSGVO erfüllt: Keine Datenschutzmitteilung erforderlich Problem: Änderung der Datenschutzmitteilung 16

17 Betriebsratslose Betriebe Arbeitsrechtliche Einzelzustimmung statt Betriebsvereinbarung Bei Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren ( 10 Abs 1 AVRAG) Keine freie Entscheidung isd DSGVO erforderlich Kann unwiderruflich gestaltet werden wenn schriftlich Befristung vereinbart 17

18 18 4 Unternehmens-IT und Mitarbeiterdatenschutz

19 Wie lange darf/muss man Arbeitnehmerdaten speichern? Aufbewahrungspflichten Buchhaltung (Lohnverrechnung): 7 Jahre ( 132 BAO) Geschäftsbriefe: 7 Jahre ( 212 Abs. 1 UGB) Aufbewahrungsrechte solange für Verarbeitungszweck erforderlich (Speicherbegrenzung, Art 5 Abs 1 lit e DSGVO) und noch von Rechtsgrundlage gedeckt Was ist der Verarbeitungszweck? z.b. ein Dienstzeugnis auszustellen: Anspruch verjährt nach 30 Jahren nach erfolgloser Bewerbung Ansprüche nach Gleichbehandlungsgesetz abwehren: 6 Monate um Schadenersatzansprüche des Mitarbeiters / eines Dritten abzuwehren: Verjährung grds nach 3 Jahren ab Kenntnis von Schaden und Schädiger, ansonsten nach 30 Jahren 19

20 Einsicht in berufliche -Accounts Zweck der Einsicht Mitarbeiter auf Urlaub / ausgeschieden interne Compliance-Untersuchung Rechtsgrundlage bei nicht-sensiblen Daten: überwiegendes berechtigtes Interesse bei sensiblen Daten: Notwendigkeit zur Rechtsverfolgung freie Einwilligung Notwendigkeit einer Betriebsvereinbarung Praxis-Tipp: Privat-Nutzung des beruflichen -Accounts regeln 20

21 Dr. Lukas Feiler, SSCP CIPP/E Senior Associate Leiter des Teams für IT-Recht in Wien Lukas Feiler ist Co-Autor des eines Kommentars zur Datenschutz-Grundverordnung und des ersten Praktiker- Buches zur DSGVO sowie Herausgeber des Gesetzbuch Datenschutzrecht. Er begleitet Unternehmen auf bei der digitalen Transformation. Schottenring Vienna T: lukas.feiler@bakermckenzie.com Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker & McKenzie Rechtsanwaltsgesellschaft mbh, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker & McKenzie International Diwok Hermann Petsche Rechtsanwälte LLP & Co KG