Beschäftigte junge elegante Frau mit Brille, die auf Laptop-Display schaut © pressmaster, stock.adobe.com
© pressmaster, stock.adobe.com

Datenschutz für Betriebsräte

Die Digitalisierung führt in den Betrieben zu immer mehr Daten: Produktionsdaten, Kundendaten und auch Daten über Mitarbeiter:innen. Aufgrund der zunehmenden Datenmengen und der damit zusammenhängenden Gefahren, wie etwa mannigfaltigen Datenverknüpfungen und –auswertungen sowie verstärkten Überwachungsmöglichkeiten kommt dem Thema Datenschutz immer größere Bedeutung zu. Die Europäische Union hat dem Rechnung getragen und die Datenschutz-Grundverordnung (kurz DSGVO) geschaffen, die seit 25. Mai 2018 gültig ist. 

Ziel der DSGVO

Ziel der DSGVO ist es, ein EU-weites einheitliches Datenschutzrecht und Datenschutzniveau zu schaffen. Daher wurde die bis dahin geltende EU-Datenschutzrichtlinie aus 1995 durch die DSGVO abgelöst. 

Was gilt in Österreich?

In Österreich sind folgende Bestimmungen anzuwenden:

Wichtig!

  • Die Mitwirkungsbefugnisse des Betriebsrates nach dem Arbeitsverfassungsgesetz (ArbVG) werden durch die DSVGO und das DSG nicht beschnitten. 

  • Die DSGVO und das DSG sind nicht nur von den Unternehmen anzuwenden, sondern auch von den Betriebsräten zu beachten. Diese verarbeiten unter Umständenpersonenbezogene Beschäftigtendaten, die sie aufgrund ihrer Mitwirkungsbefugnisse vom bzw von der Arbeitgeber:in erhalten und solche, die sie selbst erheben.

  • Die Datenverarbeitung durch den Betriebsrat und dessen Mitglieder hat ebenfalls datenschutzkonform, insbesondere unter Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO sowie entsprechender Datensicherheitsmaßnahmen, zu erfolgen. 

In diesem Artikel möchten wir

  • zentrale Begriffe erklären 
  • den Anwendungsbereich der DSGVO definieren 
  • die Grundsätze und Rechtmäßigkeit einer Datenverarbeitung erläutern
  • wichtige Rechte der Betroffenen darstellen und auf die
  • Dokumentations- und Nachweispflichten der Verantwortlichen hinweisen. 

Weitere Themen betreffen

  • die Aufgaben des bzw der Datenschutzbeauftragten und der Aufsichtsbehörde (= Datenschutzbehörde)

Begriffe

Das Datenschutzrecht verwendet rechtstechnische Begriffe, die vom normalen Sprachgebrauch abweichen. Hier eine kurze Erklärung: 

  • Personenbezogene Daten: darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

  • Besondere Kategorien personenbezogener Daten (bisher sensible Daten): Daten, aus denen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit hervorgehen sowie Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung, genetische Daten sowie biometrische Daten

  • Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang (oder Vorgangsreihe) im Zusammenhang mit personenbezogenen Daten

  • Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet

  • betroffene Person: natürliche Person (zB Arbeitnehmer:in), deren personenbezogene Daten von einem Verantwortlichen (zB Arbeitgeber:in) verarbeitet werden
     
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet 

Anwendungsbereich

Auf welche Datenverarbeitung ist das Datenschutzrecht anwendbar?

  • Sachlich: Der sachliche Anwendungsbereich erstreckt sich auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, welche in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

  • Örtlich: Die DSGVO ist anwendbar, wenn die Verarbeitung von einem Verantwortlichen vorgenommen wird, der seine Niederlassung in der EU hat – und das unabhängig davon, ob die Verarbeitung von personenbezogenen Daten selbst in der EU stattfindet oder nicht. 

Auch wenn ein Unternehmen keine Niederlassung in der EU hat, ist die DSGVO anwendbar und zwar dann, wenn dieses Unternehmen in der EU aufhältigen Personen Waren oder Dienstleistungen anbietet oder ihr Verhalten beobachtet und in diesem Zusammenhang deren personenbezogene Daten verarbeitet.

Grundsätze der Datenverarbeitung

Bei jeder Verarbeitung von personenbezogenen Daten müssen bestimmte Grundsätze eingehalten werden:

  • Die Daten müssen rechtmäßig, nach Treu und Glauben und transparent (nachvollziehbar) für den Betroffenen verarbeitet werden (Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz).

  • Die Verarbeitung erfolgt für genau festgelegte, eindeutige und legitime Zwecke (Grundsatz der Zweckbindung).

  • Die Verwendung ist auf das für die Zwecke ihrer Verarbeitung notwendige Maß zu beschränken (Grundsatz der Datenminimierung).

  • Die Daten müssen sachlich richtig und wenn nötig auf den neuesten Stand gebracht werden (Grundsatz der Richtigkeit).

  • Die Speicherdauer identifizierbarer Personendaten ist auf das unbedingt erforderliche Mindestmaß zu begrenzen. Es sind Löschfristen vorzusehen (Grundsatz der Speicherbegrenzung).

  • Die Verarbeitung muss Sicherheit und Vertraulichkeit der personenbezogenen Daten gewährleisten, geeignete technische und organisatorische Maßnahmen sind vorzusehen (Grundsatz der Integrität und Vertraulichkeit).

Neu ist die sogenannte Rechenschaftspflicht. Das bedeutet, dass der Verantwortliche die Einhaltung der Grundsätze nachweisen muss.

Rechtmäßigkeit der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten muss rechtmäßig sein. Das heißt, es muss ein Erlaubnistatbestand gegeben sein.

Die für das Arbeitsverhältnis wichtigsten sind: 

  • Eine Datenverarbeitung ist grundsätzlich dann rechtmäßig, wenn die betroffene Person nachweislich ihre Zustimmung (Einwilligung) gegeben hat.
  • Die Datenverarbeitung ist entweder zur Erfüllung einer vertraglichen Verpflichtung gegenüber der betroffenen Person oder zur Erfüllung einer rechtlichen Pflicht erforderlich.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder anderer natürlicher Personen zu schützen.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Wichtige Rechte der betroffenen Personen

  • Betroffene haben ein Recht auf transparente Information bei Erhebung bzw Verwendung ihrer Daten.
  • Die betroffene Person hat das Recht auf eine Bestätigung, ob personenbezogene Daten, die sie betreffen, verarbeitet werden (Recht auf Auskunft). Eine Kopie der Daten, die Gegenstand der Verarbeitung sind, ist vom Verantwortlichen zur Verfügung zu stellen. Die erste Kopie ist kostenfrei.
  • Sind Daten unrichtig oder unvollständig, kann eine unverzügliche Berichtigung oder Vervollständigung verlangt werden (Recht auf Berichtigung).
  • Wird die Einwilligung einer betroffenen Person zur Verarbeitung ihrer Daten widerrufen, kann die Löschung dieser Daten verlangt werden (Recht auf Löschung). Dieses Recht besteht auch, wenn die Daten für die Verarbeitungszwecke nicht mehr notwendig sind.
  • Ein Widerspruch gegen die Verarbeitung von personenbezogenen Daten kann eingelegt werden, wenn kein berechtigtes Interesse des Verantwortlichen zur Verarbeitung vorliegt (Recht auf Widerspruch).

Dokumentations- und Nachweispflichten für Verantwortliche

Die Verantwortlichen müssen die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO (etwa Rechtmäßigkeit, Zweckbindung, Transparenz oder Datenminimierung) nachweisen. Der Nachweis wird in der Regel durch eine entsprechende Dokumentation erfolgen.

Eigens gefordert wird auch die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen, die ein Schutzniveau bieten, das dem mit der beabsichtigten Verarbeitung geschaffenen Risiko für die betroffenen Personen angemessen ist (Datenschutz- und Datensicherheitsmaßnahmen). Diese Maßnahmen schließen auch die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein.

Verzeichnis von Verarbeitungstätigkeiten

Im Detail geregelt ist zudem die verpflichtende Führung eines Verzeichnisses von Verarbeitungstätigkeiten. 

Dieses hat folgende Informationen zu enthalten:

  • Name und Kontaktdaten des Verantwortlichen bzw eines allfälligen Vertreters sowie des Datenschutzbeauftragen (sofern einer bestellt wurde)
  • Zweck(e) der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern
  • gegebenenfalls Übermittlungen von personenbezogenen Daten in ein Drittland
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Das Verzeichnis ist schriftlich zur führen (allenfalls in einem elektronischen Format) und ist auf Anfrage der Datenschutzbehörde zur Verfügung zu stellen.

Der bzw. die Datenschutzbeauftragte

Die Benennung von Datenschutzbeauftragten ist verpflichtend vorgesehen bei allen öffentlichen Stellen und bei solchen nicht-öffentlichen Stellen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen. Dies ist der Fall, wenn

  • deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Beobachtung der betroffenen Personen erforderlich macht, oder
  • wenn deren Kerntätigkeit die Verarbeitung besonderer Kategorien von Daten (vormals sensible Daten) betrifft.

Den Unternehmen ist es allerdings unbenommen, freiwillig eine bzw einen Datenschutzbeauftragte:n zu benennen.

Datenschutzbeauftragte benötigen eine entsprechende Qualifikation und Fachwissen, sie sind in ihrer Funktion weisungsfrei, dürfen wegen ihrer Tätigkeit nicht abberufen oder benachteiligt werden und unterliegen einer Verschwiegenheitspflicht.

Die für die betriebliche Ebene wichtigsten Aufgaben der bzw des Datenschutzbeauftragten bestehen darin:

  • die Betroffenen unterrichten und ihnen Auskunft erteilen
  • die Einhaltung des Datenschutzrechts überwachen (zB die Abhaltung von Schulungen für die Mitarbeiter:innen)
  • die Verantwortlichen/die Unternehmensführung unterstützen
  • der höchsten Managementebene berichten
  • mit der Behörde zusammenarbeiten, insbesondere im Zusammenhang mit der Datenschutz-Folgenabschätzung

Die Datenschutzbehörde (=Aufsichtsbehörde)

Die Datenschutzbehörde sorgt für die Einhaltung des Datenschutzes in Österreich. Sie ist bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig und daher weisungsfrei und zur Verschwiegenheit verpflichtet.

Die Datenschutzbehörde hat eine Vielzahl an Aufgaben, wesentliche davon sind:

  • Überwachung und Durchsetzung der DSGVO
  • Sensibilisierung und Aufklärung der Öffentlichkeit, Sensibilisierung der Verantwortlichen und Auftragsverarbeiter
  • Beratung des Parlaments, der Regierung und Gremien
  • Befassung mit Beschwerden einer betroffenen Person oder einer sie vertretenden Stelle oder Organisation
  • Zusammenarbeit mit anderen Aufsichtsbehörden
  • Untersuchungen über die Anwendung dieser Verordnung durchführen, Entwicklungen verfolgen
  • Festlegung von Standardvertragsklauseln, Liste der Verarbeitungen erstellen, für die eine Datenschutz-Folgenabschätzung erforderlich ist, Ausarbeitung von Verhaltensregeln fördern, Aufgaben im Zusammenhang mit Zertifizierungsmechanismen usw

Um die Aufgaben erfüllen zu können, wurden der Datenschutzbehörde umfangreiche Befugnisse eingeräumt. Diese umfassen Untersuchungsbefugnisse, wie etwa Einschau in Datenverarbeitungen und Unterlagen, bei der der Verantwortliche bzw. Auftragsverarbeiter zur Mitwirkung und Unterstützung verpflichtet ist. Zusätzlich hat die Datenschutzbehörde sogenannte Abhilfebefugnisse. Damit kann die Behörde rechtswidriges Verhalten beenden. Sie kann Warnungen oder Verwarnungen aussprechen, Anweisungen erteilen, rechtswidrige Verarbeitungsvorgänge zu unterlassen oder sogar Verarbeitungen beschränken oder verbieten. Auch Geldbußen können verhängt werden. Dazu kommen Genehmigungsbefugnisse und Beratungsbefugnisse.

Tipps

Weitere Infos zum Thema Datenschutz finden Sie

auf der Website der Datenschutzbehörde
bei FORBA, der Forschungs- und Beratungsstelle Arbeitswelt

Kontakt

Kontakt

Mitgliederservice

Telefon +43 50 258 1500
oder 05522 306 1500
Fax +43 50 258 1501
E-Mail: mitgliederservice@ak-vorarlberg.at