Datenschutz am Arbeitsplatz
Datenschutz am Arbeitsplatz DSGVO-konform etablieren und einhalten
Seit 2018 ist die Datenschutzgrundverordnung (DSGVO) innerhalb der EU einzuhalten – damit auch in Österreich. Darin sind die rechtlichen Grundlagen geregelt, wie Unternehmen die privaten Daten von Einzelpersonen (personenbezogene Daten) erfassen und handhaben (dürfen) und was wann nicht (mehr) gespeichert werden darf. Wir verraten Ihnen, wie Datenschutz am Arbeitsplatz auch in Ihrem Unternehmen gut funktioniert, welche Rechte und Pflichten Sie in Bezug auf Datenschutz haben und was bei einem Verstoß gegen die DSGVO drohen würde.
Welche Daten darf der Arbeitgeber verlangen, speichern, weitergeben?
Grundsätzlich gilt: Arbeitgeber*innen sind nur berechtigt, Daten von Arbeitnehmer*innen zu erheben, wenn diese für das Arbeitsverhältnis absolut notwendig sind. Als Arbeitgeber*in dürfen Sie also personenbezogene Beschäftigungsdaten nur dann verwenden und speichern, wenn diese zur Erfüllung der vertraglichen Verpflichtung (im Rahmen des Arbeitsvertrages) oder für eine gesetzlich vorgesehene Verpflichtung (beispielsweise aus dem Arbeits- oder Steuerrecht, Sozialversicherungsrecht etc.) notwendig ist. Darunter fallen beispielsweise der Name von Mitarbeiter*innen, ihre Adresse, Sozialversicherungsnummer, Bankdaten zur Überweisung des Gehalts oder eine Ausweiskopie. Zusätzlich kann aber auch eine Zustimmung zur Verwendung zusätzlicher persönlicher Daten im Arbeitsvertrag vereinbart werden, wie zum Beispiel eine private E-Mail-Adresse oder Fotos, die beim Teamevents entstehen etc.
Bei Daten, die in die Sphäre des Privatlebens fallen, sieht das jedoch schon ganz anders aus. Beispielsweise dürfen Sie keine Daten über Religion, Weltanschauung oder Mitgliedschaften erfragen oder speichern, es sei denn, bei Ihrem Unternehmen handelt es sich um einen Tendenzbetrieb, also beispielsweise eine politische Partei, bei der die Mitgliedschaft bei anderen Parteien eine Rolle spielen würde. Ebenfalls nicht gespeichert werden dürfen Gesundheitsdaten der Mitarbeiter*innen. Im Zuge der Corona-Pandemie gab es zwischenzeitlich im Rahmen der 3G-Regelung zwar die Erlaubnis, den 3G-Status der Mitarbeiter*innen abzufragen, gespeichert und weiterverarbeitet dürfen diese Informationen jedoch nicht werden.
Bei der Frage des Weitergebens von Mitarbeiter*innendaten ist es ähnlich. Natürlich müssen bei der Meldung eines neuen Mitarbeiters diese Informationen an das Finanzamt sowie die Sozialversicherungsträger weitergeben werden. Darüber hinaus müssen personenbezogene Daten jedoch vertraulich behandelt werden und dürfen auch nicht weitergegeben werden.
Privatsphäre am Arbeitsplatz
Ihre Mitarbeiter*innen haben auch am Arbeitsplatz ein Recht auf Privatsphäre. Das bedeutet, dass es hier bestimmte Grundregeln gibt, die eingehalten werden müssen, um die Menschenwürde zu bewahren. Überwachung ist in diesem Zusammenhang ein wichtiges Schlagwort. Kurz zusammengefasst: Eine generelle Überwachung der Mitarbeiter*innen ohne hinreichende Verdachtsmomente ist unzulässig. Die einzige Ausnahme gilt nur dann, wenn ein Verdacht auf eine Straftat oder eine schwere Pflichtverletzung vorliegt. Was das im Detail bedeutet, wird für die folgenden drei Bereiche näher erörtert:
Videoüberwachung am Arbeitsplatz:
Diese ist beispielsweise in Verkaufsräumen legitim, um die Sicherheit gewährleisten zu können, nicht jedoch in privateren Räumen wie Toiletten oder Umkleidekabinen. Gibt es in Ihrem Unternehmen einen Betriebsrat, empfiehlt es sich, für Videoüberwachungen eine Betriebsvereinbarung abzuschließen.
Private Telefonate oder privates Internetsurfen am Arbeitsplatz:
Natürlich stellen Sie Ihre Mitarbeiter*innen ein, um bestimmte Arbeiten zu verrichten und in der Arbeitszeit für Ihr Unternehmen tätig zu sein. Ausschweifende private Telefonate oder stundenlanges Internetsurfen für private Zwecke sind daher zu Recht unerwünscht und brauchen auch nicht gestattet werden. Was Sie jedoch nicht verbieten dürfen, sind kurze wichtige private Telefonate.
Private E-Mails am Arbeitsplatz:
Grundsätzlich ist die Verwendung der geschäftlichen E-Mail-Adresse für den privaten Gebrauch in geringem Umfang zulässig. Falls die dies nicht gestatten wollen, bedarf es einer entsprechenden Betriebsvereinbarung bzw. einer dementsprechenden Klausel im Arbeitsvertrag. Wichtig ist jedoch:Private E-Mails dürfen von Ihnen als Arbeitgeber*in nicht gelesen werden. Und auch bei dienstlichen E-Mails sieht es ähnlich aus, und zwar dass ohne Vorankündigung von Ihrer Seite die Einsichtnahme in dienstliche Mails berührt die Menschenwürde, weshalb Sie darauf verzichten sollten.
Rechte und Pflichten
Sowohl Arbeitgeber*innen als auch Mitarbeiter*innen haben in Bezug auf den Datenschutz gewisse Rechte und Pflichten einzuhalten:
Datenspeicherung durch den Arbeitgeber
Bei der Datenspeicherung sollten Sie in Ihrem Unternehmen zwei zentrale Grundsätze einhalten: Datensparsamkeit und Zweckgebundenheit. Personenbezogene Daten von Mitarbeiter*innen dürfen grundsätzlich gespeichert werden, wenn sie die folgenden Voraussetzungen erfüllen:
Gesetzliche Grundlage ist gegeben:
Es muss eine rechtliche Vorschrift geben, die dies eindeutig gestattet oder sogar anordnet bzw. wenn der*die Betroffene dem eindeutig zustimmt (am besten schriftlich).
Zweckgebundenheit der Datenerhebung:
Daten dürfen dann erhoben werden, wenn sie an einen Zweck gebunden sind, also wenn diese beispielsweise für die Einstellung von Mitarbeiter*innen erforderlich ist, oder auch für das bestehende Arbeitsverhältnis sowie zur Beendigung des Dienstverhältnisses. Darunter fallen Personendaten, die Adresse, Kontoverbindungen, Sozialversicherungsnummer oder auch Steuerangaben.
Einwilligung der Arbeitnehmer:
Es empfiehlt sich, die Einwilligung der Arbeitnehmer*innen zur Erhebung, Nutzung und Verarbeitung der persönlichen Daten schriftlich festzuhalten beispielsweise im Arbeitsvertrag oder als Zusatzerklärung zum Arbeitsvertrag. Damit sind Sie auf jeden Fall auf der sicheren Seite. Dies ist vor allem dann wichtig wenn es sich um besondere bzw. sensible Daten handelt, wie zum Beispiel Krankheiten. Grundsätzlich dürfen diese nicht verarbeitet und gespeichert werden, es sei denn, es ist für die Ausübung der beruflichen Tätigkeit von Relevanz und es gibt eine schriftliche Einwilligung der Mitarbeiter*innen.
Das Recht auf Auskunft der Arbeitnehmer
Arbeitnehmer*innen sind dazu berechtigt, Einsicht in ihre eigene Personalakte zu nehmen und Auskunft darüber zu verlangen, welche Daten von ihnen verarbeitet und gespeichert wurden. Dabei steht ihnen die Einsicht zu, welche Daten verarbeitet wurden, welchen Zweck diese Verarbeitung erfüllt, wer Einsicht in diese Daten hat, für welchen Zeitraum diese Daten (voraussichtlich) gespeichert werden und woher diese Daten stammen (sofern sie die Arbeitnehmer*innen diese nicht selbst zur Verfügung gestellt haben). Diese Informationen müssen Sie als Arbeitgeber*in daher bereitstellen, wenn Mitarbeiter*innen Einsicht darin haben wollen.
Pflichten der Arbeitnehmer zum Datenschutz am Arbeitsplatz
Auch Arbeitnehmer*innen haben am Arbeitsplatz ihren Beitrag zum Datenschutz zu leisten. Dabei ist es beispielsweise wichtig, sichere Passwörter für die Zugänge am Computer und für online verwendete Software zu verwenden. Darunter fällt auch das Sperren des Bildschirms beim Verlassen des Arbeitsplatzes, Büroschlüssel und Schlüssel zu Dokumentenschränken sicher aufzubewahren, sichere Unterlagen am Arbeitsplatz nach Verwendung wegzusperren und auch die Schweigepflicht in Bezug auf unternehmensinterne Informationen zählt dazu.
Verstoß gegen Datenschutz-Richtlinien
Verstöße durch Arbeitgeber
Verstoßen Arbeitgeber*innen gegen die Datenschutzrichtlinien der DSGVO, haben sie mit hohen Geldstrafen zu rechnen. Wie mit Verstößen umgegangen wird, hängt ganz von der Schwere des Verstoßes ab. Bei sehr kleinen Verstößen kann es anfangs in manchen Fällen auch nur eine Verwarnung geben. Bei schwerwiegenden, sich wiederholenden oder mutwilligen Verstößen können Geldbußen auch in Millionenhöhe verhängt werden bzw. in Höhe von bis zu 4 Prozent des Jahresumsatzes des Unternehmens. Gehen Sie daher kein Risiko ein und halten Sie sich an die Vorgaben der DSGVO.
Verstöße durch Arbeitnehmer
Genauso können auch Arbeitnehmer*innen, die gegen den Datenschutz am Arbeitsplatz verstoßen, belangt werden. Hier stehen privatrechtliche Möglichkeiten zur Verfügung. Bei sehr groben Verstößen, aus denen sich schwerwiegende Konsequenzen für das Unternehmen ergeben, können auch Privatklagen eingereicht werden, in denen über Schadensersatz oder Schmerzensgeld entschieden wird.
Autorin: Beatrix Mittermann
Bildnachweis: istock/guvendemir
