Mag. Wolfram Hitz

Im Zusammenhang mit dem Inkrafttreten der DSGVO gibt es viele Rechtsfragen, insbesondere im Hinblick auf die zulässige Speicherung bzw notwendige Löschung von personenbezogenen Daten.

In einer mittlerweile rechtskräftigen Entscheidung der Datenschutzbehörde (DSB) war die Frage zu beantworten, zu welchem Zeitpunkt die personenbezogenen Daten eines abgelehnten Bewerbers aus einer Datenbank gelöscht werden müssen. Der Beschwerdeführer hatte gemäß Art 17 DSGVO die Löschung seiner Daten aus der Bewerberdatenbank beantragt. Dies wurde jedoch von der Beschwerdegegnerin mit der Begründung abgelehnt, das die Daten auf Basis der Fristen nach dem Gleichbehandlungsgesetz (GlBG) aufbewahrt werden, um sich bei allfälligen Anfechtungen schützen zu können. Gleichzeitig wurde aber erklärt, dass die Daten zum ehestmöglichen Zeitpunkt, nämlich nach den sich aus dem GlBG ergebenden sechs Monaten (zuzüglich eines Monats für den potentiellen Klageweg) gelöscht werden.

Die DSB hat erkannt, dass eine Speicherung im genannten Zeitrahmen rechtskonform und unter Art 17 Abs 3 lit e DSGVO fallend ist. Die Speicherung der Daten ist notwendig, um sich gegen allfällige Ansprüche innerhalb der Fristen gem §§ 15 und 29 GlBG verteidigen zu können. Auch der zusätzlich berechnete Monat, um einen potenziellen Klageweg einzuberechnen, ist angemessen und nicht unverhältnismäßig lange.

Bewerberdaten dürfen somit rechtssicher für einen Zeitraum von 7 Monaten nach Absage des Bewerbers gespeichert werden.

DSB, 27.8.2018, DSB-D123.085/0003-DSB/2018

Mag. Wolfram Hitz / Florian Schrenk, BA

Personalverrechnung für die Praxis, LexisNexis

Der Datenschutz ist ein sehr komplexes Thema. Trotzdem er in den vergangenen Jahren immer bedeutsamer geworden
ist, wird er bis dato kaum in Aus- und Weiterbildungen im Bereich Personalverrechnung und Arbeitsrecht behandelt,
obwohl es diesbezügliche Bestimmungen in Österreich seit den 70er-Jahren gibt (BGBl 1978/565).

Bereits jetzt sind Datenschutz-Bestimmungen zu beachten, bspw wenn

• Zeiterfassungssysteme mittels biometrischer Daten eingerichtet werden oder
• die Privatnutzung von Betriebsmitteln kontrolliert werden soll.

Durch die ab 25. 5. 2018 anzuwendende DSGVO und die damit verbundenen DN-Rechte wird das Thema Datenschutz
jedenfalls mehr als bisher an Bedeutung gewinnen. Neu ab 25. 5. 2018 sind zunehmende Verpflichtungen hinsichtlich
Transparenz und Offenlegung der Datenverarbeitung und der vom DG gesetzten Maßnahmen.
Wann und wie lange Daten der DN zulässigerweise gespeichert werden dürfen, wann diese gelöscht werden müssen,
diese Themen regelt die DSGVO präziser und strenger als das bisher geltende DSG 2000.
Der DG hat künftig sehr genau zu überlegen, welche Daten des (ehemaligen) DN er noch speichern muss/darf und
welche zu vernichten sind.
In der Praxis sind noch viele Antworten offen, etwa auf die Frage des „Wie“ der Datenvernichtung sowie der
grundsätzlichen Frage, ob sich das DN-Verhalten bezüglich ihrer Daten grundsätzlich ändern wird, dh, ob sie sensibler
darauf achten, dass die Datenschutzbestimmungen vom DG beachtet werden.

zur gesamten Artikelserie (pdf)

Link zur Seite der Zeitschrift

Mit 25.5.2018 tritt die DSGVO in Kraft. Da im Arbeitsverhältnis eine Vielzahl an Mitarbeiterdaten verarbeitet werden, sind in den Unternehmen auch die datenschutzrechtlichen Grundsätze zu beachten.

In den arbeitsrechtlichen Gesetzen kommt es zu keinen Änderungen – (zum Teil) neu sind die datenschutzrechtlichen Bestimmungen bzw Verpflichtungen.

Je nachdem, wie weit der Umsetzungsstand ist, kann die nachstehende Liste zur Überprüfung der bereits gesetzten Schritte dienen oder einen Einstieg in das Thema bieten.

1. Bestandsanalyse durchführen („Dateninventur“)

• Welche Daten von Mitarbeitern liegen vor?

2. Auf welcher Basis werden Daten verarbeitet?

• Gesetzliche Grundlage, berechtigtes Interesse, Zustimmung?

2. Verarbeitungsverzeichnis erstellen

• Verantwortlicher, Zweck der Datenverarbeitung, Kategorien der personenbezogenen Daten etc

4. Informationspflichten an Arbeitnehmer befolgen

• Was, wer, zu welchem Zweck, wie lange etc

5. Betroffenenrechte beachten

• Auskunft, Löschung etc

Umfangreiche Informationen, Muster und Umsetzungstipps zB unter wko.at/datenschutz

Mag. Wolfram Hitz

Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) beschlossen, am 25.5.2018 wird sie in Kraft treten. Gleichzeitig wird an diesem Tag auch das neue österreichische Datenschutzgesetz anzuwenden sein.

Grundsätzlich ändert sich nichts an den innerstaatlichen arbeitsrechtlichen Regelungen zum Beschäftigtendatenschutz. Allerdings sind die Inhalte einer EU-Verordnung direkt rechtsverbindlich, sodass künftig auch einige Punkte der DSGVO für Adaptierungsnotwendigkeiten in den Betrieben sorgen werden.

In den nächsten Wochen und Monaten werden wir in einer unregelmäßigen Serie immer wieder auf Teilaspekte der DSGVO hinweisen und versuchen, das Bewusstsein für dieses Thema zu schärfen, die Rechtsfragen greifbar zu machen sowie Handlungsanleitungen zu geben.