Mag. Wolfram Hitz / Florian Schrenk, BA

Personalverrechnung für die Praxis, LexisNexis

Der Datenschutz ist ein sehr komplexes Thema. Trotzdem er in den vergangenen Jahren immer bedeutsamer geworden
ist, wird er bis dato kaum in Aus- und Weiterbildungen im Bereich Personalverrechnung und Arbeitsrecht behandelt,
obwohl es diesbezügliche Bestimmungen in Österreich seit den 70er-Jahren gibt (BGBl 1978/565).

Bereits jetzt sind Datenschutz-Bestimmungen zu beachten, bspw wenn

• Zeiterfassungssysteme mittels biometrischer Daten eingerichtet werden oder
• die Privatnutzung von Betriebsmitteln kontrolliert werden soll.

Durch die ab 25. 5. 2018 anzuwendende DSGVO und die damit verbundenen DN-Rechte wird das Thema Datenschutz
jedenfalls mehr als bisher an Bedeutung gewinnen. Neu ab 25. 5. 2018 sind zunehmende Verpflichtungen hinsichtlich
Transparenz und Offenlegung der Datenverarbeitung und der vom DG gesetzten Maßnahmen.
Wann und wie lange Daten der DN zulässigerweise gespeichert werden dürfen, wann diese gelöscht werden müssen,
diese Themen regelt die DSGVO präziser und strenger als das bisher geltende DSG 2000.
Der DG hat künftig sehr genau zu überlegen, welche Daten des (ehemaligen) DN er noch speichern muss/darf und
welche zu vernichten sind.
In der Praxis sind noch viele Antworten offen, etwa auf die Frage des „Wie“ der Datenvernichtung sowie der
grundsätzlichen Frage, ob sich das DN-Verhalten bezüglich ihrer Daten grundsätzlich ändern wird, dh, ob sie sensibler
darauf achten, dass die Datenschutzbestimmungen vom DG beachtet werden.

zur gesamten Artikelserie (pdf)

Link zur Seite der Zeitschrift

Mit 25.5.2018 tritt die DSGVO in Kraft. Da im Arbeitsverhältnis eine Vielzahl an Mitarbeiterdaten verarbeitet werden, sind in den Unternehmen auch die datenschutzrechtlichen Grundsätze zu beachten.

In den arbeitsrechtlichen Gesetzen kommt es zu keinen Änderungen – (zum Teil) neu sind die datenschutzrechtlichen Bestimmungen bzw Verpflichtungen.

Je nachdem, wie weit der Umsetzungsstand ist, kann die nachstehende Liste zur Überprüfung der bereits gesetzten Schritte dienen oder einen Einstieg in das Thema bieten.

1. Bestandsanalyse durchführen („Dateninventur“)

• Welche Daten von Mitarbeitern liegen vor?

2. Auf welcher Basis werden Daten verarbeitet?

• Gesetzliche Grundlage, berechtigtes Interesse, Zustimmung?

2. Verarbeitungsverzeichnis erstellen

• Verantwortlicher, Zweck der Datenverarbeitung, Kategorien der personenbezogenen Daten etc

4. Informationspflichten an Arbeitnehmer befolgen

• Was, wer, zu welchem Zweck, wie lange etc

5. Betroffenenrechte beachten

• Auskunft, Löschung etc

Umfangreiche Informationen, Muster und Umsetzungstipps zB unter wko.at/datenschutz

Mag. Wolfram Hitz

Das deutsche Höchstgericht (Bundesarbeitsgericht, BAG) hatte jüngst den Einsatz eines sogenannten „Keyloggers“ zu beurteilen. Diese Spähsoftware ermöglichte es dem Dienstgeber, jede Tastenbewegung aufzuzeichnen. Zudem wurden regelmäßig Bildschirmofotos erstellt.

Auf Basis dieser Auswertungen wurde ein Arbeitnehmer mit dem Vorwurf eines Arbeitszeitbetrugs entlassen.

Das BAG qualifizierte den Einsatz von „Keyloggern“ als unzulässig und da die verwendeten Daten rechtswidrig gewonnen wurden, dürften sie vor Gericht nicht verwendet werden. Die Auflösung des Arbeitsverhältnisses wurde als unwirksam qualifiziert (die Auswertung hatte übrigens ergeben, dass der Arbeitnehmer am Dienst-PC 5.221 eMails für die Firma seines eigenen Vaters empfangen und 5.835 Nachrichten zu diesem Zweck versendet hatte!).

Auch in Österreich herrscht ein weitverbreiteter Konsens, dass der Einsatz von „Keyloggern“ jedenfalls an der Grenze der Rechtswidrigkeit sei, wenn nicht sogar als generell rechtswidrig zu qualifizieren ist. Zu beachen ist dabei, ob mit dieser Kontrollmaßnahme die Menschenwürde des Einzelnen berührt oder verletzt wird.

Sollte es nur zu einem Berühren der Menschenwürde kommen, wäre der Einsatz eines derartigen Programmes dann zulässig, wenn entweder eine Betriebsvereinbarung oder (in Ermangelung eines BR) eine Einzelvereinbarung abgeschlossen wird.

Die Frage der Verwertbarkeit von (allenfalls) rechtswidrig erlangten Beweisen wäre in Österreich vermutlich auch anders gelöst worden:

Grundsätzlich gibt es in Österreich kein Beweisverwertungsverbot, sodass Beweise jedenfalls vor Gericht vorgelegt werden können, unabhängig von der Erlangung dieser. Im Einzelfall wird zu prüfen sein, inwiefern die konkrete Rechtswidrigkeit Persönlichkeitsrecht des Arbeitnehmers verletzt haben könnte. In der Regel wird die Verwertung der Beweise jedoch möglich sein.

https://rsw.beck.de/aktuell/meldung/bag-arbeitgeber-darf-arbeitnehmer-nicht-anlasslos-mittels-keyloggers-ueberwachen

zur Einschätzung der österreichischen Rechtslage etwa ARD 6577/5/2017

Mag. Wolfram Hitz

Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) beschlossen, am 25.5.2018 wird sie in Kraft treten. Gleichzeitig wird an diesem Tag auch das neue österreichische Datenschutzgesetz anzuwenden sein.

Grundsätzlich ändert sich nichts an den innerstaatlichen arbeitsrechtlichen Regelungen zum Beschäftigtendatenschutz. Allerdings sind die Inhalte einer EU-Verordnung direkt rechtsverbindlich, sodass künftig auch einige Punkte der DSGVO für Adaptierungsnotwendigkeiten in den Betrieben sorgen werden.

In den nächsten Wochen und Monaten werden wir in einer unregelmäßigen Serie immer wieder auf Teilaspekte der DSGVO hinweisen und versuchen, das Bewusstsein für dieses Thema zu schärfen, die Rechtsfragen greifbar zu machen sowie Handlungsanleitungen zu geben.

Florian Schrenk, BA

Der Europäische Gerichtshof für Menschenrechte (EGMR) entschied am 12. Jänner 2016 zugunsten eines Arbeitgebers, der die private Kommunikation des Dienstnehmers auf dem Firmen-Computer überwachte.

Im gegenständlichen Fall (Barbulescu v. Romania, Application no. 61496/08) wurde auf dem Firmen-Computer des Arbeitnehmers ein Messenger („Chat-Software“) installiert. Dieses Programm war für die Beantwortung von Kundenanfragen gedacht. Der Mitarbeiter schrieb über dieses Programm jedoch auch ausgiebig mit seiner Verlobten und seinem Bruder, obwohl die private Nutzung eindeutig untersagt war.

Bislang war eine Überwachung in Österreich ohne Zustimmung des Betriebsrates oder des einzelnen Mitarbeiters (in Betrieben ohne BR) nicht möglich. (§§ 96, 96a, 97 ArbVG, § 10 AVRAG) – außer es lag ein konkreter Verdacht auf eine strafbare Handlung vor.

Auch das Lesen privater E-Mails ist grundsätzlich nicht erlaubt.

Fraglich ist, ob das gegenständliche Urteil hier einen Paradigmenwechsel einleitet oder ob dieser Fall keine Auswirkung auf die Handhabe der Überwachung in Österreich hat. Wohl wird dieses Urteil für jene Fälle „Rückenwind“ geben, in denen die private Nutzung – wie auch im gegenständlichen Sachverhalt – ausdrücklich untersagt wurde.

Für Arbeitgeber empfiehlt sich jedenfalls eine klare Regelung zur privaten Nutzung des Firmen-Computers. Regelt der Arbeitgeber hierzu nichts und toleriert er eine Nutzung über einen längeren Zeitraum, wird auch dieses Urteil wohl keine Rechtfertigung für eine willkürliche Überwachung darstellen.

§ 96 ArbVG

§ 96a ArbVG

§ 97 ArbVG

§ 10 AVRAG