Bitte warten - Ihr Zugang wird eingerichtet.

DatenschutzDarf der Chef alles über mich wissen?

Kontodaten, Geburtstag, Adressen. Firmen speichern viele Informationen über Mitarbeiter. Dürfen sie das und wenn ja, wie lange?

© Wellnhofer Designs - stock.adobe
 

Leichter wird es durch die neue Datenschutz-Grundverordnung (DSGVO) nicht – nicht für Dienstnehmer, aber schon gar nicht für Dienstgeber. Das beginnt schon am Beginn einer jobmäßigen Verbindung, bei der Bewerbung: Was geschieht mit den Lebensläufen, in denen vom Geburtstag bis zum Schulabschluss zahlreiche persönliche Daten angeführt sind? Was passiert mit den Informationen, die der Arbeitgeber noch haben will – vom Religionsbekenntnis bis zur Schuhgröße? Die DSGVO ändert hier einiges.

Für Firmen gilt, dass sie nur jene Daten erheben und verarbeiten dürfen, die für die Erfüllung des Dienstvertrages nötig sind. Dazu gehören Adresse und Bankkonto des Mitarbeiters, um ihn korrekt entlohnen zu können. Dafür braucht das Unternehmen keine eigene Einwilligung. Auch sonst gibt es einige gesetzliche Verpflichtungen, die durch die DSGVO nicht berührt werden. Alles, was mit der Lohnverrechnung zu tun hat, muss sieben Jahre aufbewahrt werden. Auch Lebensläufe abgelehnter Bewerber sollten sechs Monate aufbewahrt werden, falls der Bewerber rechtlich gegen die Nichteinstellung vorgeht. Nach Ablauf dieser Fristen müssen die Daten jedenfalls gelöscht werden.
Schwieriger ist die Frage, welche Daten überhaupt erfasst werden. So wird ein Industriebetrieb von seinem Fabrikshallenmitarbeiter berechtigterweise die Schuhgröße erfragen dürfen, da ja Sicherheitsschuhe gekauft werden müssen. Doch bei einer reinen Bürokraft ist die Erhebung der Schuhgröße vermutlich nicht gerechtfertigt.

Der Teufel steckt im Detail...

„Generell gilt: Jede Datenverarbeitung, die über den Dienstvertrag hinausgeht, bedarf einer Zustimmung“, sagt Karl Schneeberger, Datenschutzexperte der Arbeiterkammer Steiermark. Der Teufel steckt dabei im Detail, wie er an einem Beispiel festmacht. „Die Aufzeichnung der Arbeitszeit ist in Österreich verpflichtend. Hier greift die DSGVO daher nicht. Doch die modernen Zeiterfassungssysteme können viel mehr.“ Dabei sei es gar nicht wichtig, ob die Zusatzfunktionen genutzt werden. Alleine die Existenz der Features macht eine Betriebsvereinbarung oder das Einverständnis der Mitarbeiter nötig. Dieses darf auch nicht Teil des Arbeitsvertrags sein, sondern muss gesondert unterschrieben werden.

Ähnliches gilt bei einer Überwachungskamera. Selbst wenn die Sicherheit des Unternehmens damit gewährleistet werden soll, braucht man die Bestätigung des Mitarbeiters oder eine Betriebsvereinbarung. „Eine Überwachung der Leistung oder des Verhaltens der Mitarbeiter ist schon jetzt nicht zulässig“, erklärt Katharina Kircher vom Rechtsservice der Wirtschaftskammer Kärnten. Selbiges gilt für den Einsatz von GPS-Navigationsgeräten in Dienstfahrzeugen.

Informationen am Firmenhandy

Firmenhandys sind ebenfalls heikel, können darauf doch Informationen über Kunden gespeichert sein. Hier braucht es zumindest ein sicheres Passwort und eine Verschlüsselung der Daten. Sollte das Handy gestohlen werden, ist das meldepflichtig – ansonsten droht eine Strafe. Außerdem sollte man eine Sicherheits-App installieren, mit der bei Diebstahl Daten aus der Ferne gelöscht werden können.

Das Dienstzeugnis ist ein weiterer Punkt, der unklar ist. Denn in Österreich hat ein Arbeitnehmer 30 Jahre lang das Recht, von ehemaligen Dienstgebern ein Zeugnis zu bekommen. Die Wirtschaftskammer geht davon aus, dass die für die Ausstellung eines Dienstzeugnisses erforderlichen Daten 30 Jahre lang aufbewahrt werden dürfen. Bei der Arbeiterkammer ist man zurückhaltender. Den ganzen Personalakt so lange zu speichern, würde wohl nicht dem Ziel der DSGVO entsprechen, heißt es.

EPU (Ein-Personen-Unternehmen) sind von der neuen DSGVO nicht ausgenommen. Auch sie müssen Kundendaten sicher speichern, nach einer gewissen Zeit vernichten und ihrer Auskunftspflicht nachkommen. Hat man eine eigene Website, muss dem Besucher erklärt werden, welche Daten abgefragt, wie lange sie aufbewahrt und an wen für welche Zwecke sie weitergegeben werden. Auch der Einsatz von Cookies muss abgefragt werden – wobei der Nutzer das „OK“ aber selbst aktiv anklicken muss.

Drei Fragen an Stefan Schoeller, Rechtsanwalt in Graz

1. Die Behörde kann abmahnen, bevor sie straft – was halten Sie davon?
Stefan Schoeller: Abgesehen davon, dass nach einer ersten Abmahnung die Strafen bei weiteren Verstößen erst wieder zu verhängen sind, verstellt diese Ankündigung den Blick auf alle zivilrechtlichen Konsequenzen eines Verstoßes.


2. Was kann den Unternehmen drohen?
Zunehmend haben sich auch in Österreich solche Abmahnvereine auf Massenabmahnungen spezialisiert, mit denen geringe Verstöße im Bereich des Urheberrechts, E-Commerce-Gesetzes oder Fernabsatzgesetzes höchst lukrativ ausgenützt werden, da jedes Mal 1000 bis 2000 Euro Abmahnkosten kassiert werden können.


3. Was sollte man dagegen tun?
Man sollte einerseits die Möglichkeit einer Gerichtsklage davon abhängig machen, dass zuvor eine Abmahnung stattgefunden hat, und andererseits die Anwaltskosten für eine solche schriftliche Abmahnung z. B. mit 150 Euro begrenzen. Damit würden Massenabmahnungen wirtschaftlich unrentabel bleiben.

Kommentare (1)

Kommentieren
Ichweissetwas
2
4
Lesenswert?

nach über 40 Dienstjahren kann ich nur sagen,

nein, darf er nicht! Alles wird zu gegebener Zeit ausgenützt und breitgetreten.....