Leichter wird es durch die neue Datenschutz-Grundverordnung (DSGVO) nicht – nicht für Dienstnehmer, aber schon gar nicht für Dienstgeber. Das beginnt schon am Beginn einer jobmäßigen Verbindung, bei der Bewerbung: Was geschieht mit den Lebensläufen, in denen vom Geburtstag bis zum Schulabschluss zahlreiche persönliche Daten angeführt sind? Was passiert mit den Informationen, die der Arbeitgeber noch haben will – vom Religionsbekenntnis bis zur Schuhgröße? Die DSGVO ändert hier einiges.
Für Firmen gilt, dass sie nur jene Daten erheben und verarbeiten dürfen, die für die Erfüllung des Dienstvertrages nötig sind. Dazu gehören Adresse und Bankkonto des Mitarbeiters, um ihn korrekt entlohnen zu können. Dafür braucht das Unternehmen keine eigene Einwilligung. Auch sonst gibt es einige gesetzliche Verpflichtungen, die durch die DSGVO nicht berührt werden. Alles, was mit der Lohnverrechnung zu tun hat, muss sieben Jahre aufbewahrt werden. Auch Lebensläufe abgelehnter Bewerber sollten sechs Monate aufbewahrt werden, falls der Bewerber rechtlich gegen die Nichteinstellung vorgeht. Nach Ablauf dieser Fristen müssen die Daten jedenfalls gelöscht werden.
Schwieriger ist die Frage, welche Daten überhaupt erfasst werden. So wird ein Industriebetrieb von seinem Fabrikshallenmitarbeiter berechtigterweise die Schuhgröße erfragen dürfen, da ja Sicherheitsschuhe gekauft werden müssen. Doch bei einer reinen Bürokraft ist die Erhebung der Schuhgröße vermutlich nicht gerechtfertigt.
Der Teufel steckt im Detail...
„Generell gilt: Jede Datenverarbeitung, die über den Dienstvertrag hinausgeht, bedarf einer Zustimmung“, sagt Karl Schneeberger, Datenschutzexperte der Arbeiterkammer Steiermark. Der Teufel steckt dabei im Detail, wie er an einem Beispiel festmacht. „Die Aufzeichnung der Arbeitszeit ist in Österreich verpflichtend. Hier greift die DSGVO daher nicht. Doch die modernen Zeiterfassungssysteme können viel mehr.“ Dabei sei es gar nicht wichtig, ob die Zusatzfunktionen genutzt werden. Alleine die Existenz der Features macht eine Betriebsvereinbarung oder das Einverständnis der Mitarbeiter nötig. Dieses darf auch nicht Teil des Arbeitsvertrags sein, sondern muss gesondert unterschrieben werden.
Ähnliches gilt bei einer Überwachungskamera. Selbst wenn die Sicherheit des Unternehmens damit gewährleistet werden soll, braucht man die Bestätigung des Mitarbeiters oder eine Betriebsvereinbarung. „Eine Überwachung der Leistung oder des Verhaltens der Mitarbeiter ist schon jetzt nicht zulässig“, erklärt Katharina Kircher vom Rechtsservice der Wirtschaftskammer Kärnten. Selbiges gilt für den Einsatz von GPS-Navigationsgeräten in Dienstfahrzeugen.
Informationen am Firmenhandy
Firmenhandys sind ebenfalls heikel, können darauf doch Informationen über Kunden gespeichert sein. Hier braucht es zumindest ein sicheres Passwort und eine Verschlüsselung der Daten. Sollte das Handy gestohlen werden, ist das meldepflichtig – ansonsten droht eine Strafe. Außerdem sollte man eine Sicherheits-App installieren, mit der bei Diebstahl Daten aus der Ferne gelöscht werden können.
Das Dienstzeugnis ist ein weiterer Punkt, der unklar ist. Denn in Österreich hat ein Arbeitnehmer 30 Jahre lang das Recht, von ehemaligen Dienstgebern ein Zeugnis zu bekommen. Die Wirtschaftskammer geht davon aus, dass die für die Ausstellung eines Dienstzeugnisses erforderlichen Daten 30 Jahre lang aufbewahrt werden dürfen. Bei der Arbeiterkammer ist man zurückhaltender. Den ganzen Personalakt so lange zu speichern, würde wohl nicht dem Ziel der DSGVO entsprechen, heißt es.
EPU (Ein-Personen-Unternehmen) sind von der neuen DSGVO nicht ausgenommen. Auch sie müssen Kundendaten sicher speichern, nach einer gewissen Zeit vernichten und ihrer Auskunftspflicht nachkommen. Hat man eine eigene Website, muss dem Besucher erklärt werden, welche Daten abgefragt, wie lange sie aufbewahrt und an wen für welche Zwecke sie weitergegeben werden. Auch der Einsatz von Cookies muss abgefragt werden – wobei der Nutzer das „OK“ aber selbst aktiv anklicken muss.