Rechtstipp : Datenschutz neu im Arbeitsrecht

Arbeitgeber müssen bei der Verwendung von personenbezogenen Daten viel beachten. Daran ändert auch die ab 25. Mai 2018 geltende Datenschutz-Grundverordnung der EU (kurz „DSGVO“) nichts. Die DSGVO enthält aber in Bezug auf Daten im Beschäftigungskontext zusätzlich eine sogenannte „Öffnungsklausel“. Diese ermöglicht es den nationalen Gesetzgebern, eigene Regeln bis 25. Mai 2018 zu erlassen. Erst mit Ablauf dieser Frist wird sich daher herausstellen, was sich in Bezug auf Arbeitnehmerdaten im Speziellen ändern wird.

Klar ist aber, dass für die Arbeitnehmerdatenverarbeitung auch die allgemeinen Grundsätze rechtmäßiger Datenverarbeitung gelten werden. Diese bleiben im Vergleich zur aktuellen Rechtslage im Wesentlichen unverändert. Personenbezogene Daten sind daher auch künftig insbesondere rechtmäßig, nach Treu und Glauben und transparent zu verarbeiten.

Ersetzt wird jedoch etwa die Meldung von Datenanwendungen beim behördlichen Datenverarbeitungsregister. Verantwortliche (bisher „Auftraggeber“), aber auch bloße Auftragsverarbeiter (bislang „Dienstleister“) müssen künftig stattdessen interne Verfahrensverzeichnisse führen. Diese müssen auf Anfrage der Datenschutzbehörde zur Verfügung gestellt werden. Beschäftigt ein Unternehmen weniger als 250 Mitarbeiter, besteht hingegen keine Pflicht, ein Verfahrensverzeichnis zu führen, es sei denn, dass die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, sie nicht nur gelegentlich erfolgt oder sensible beziehungsweise strafrechtsbezogene Daten einschließt.

Verantwortliche müssen, sofern möglich, im Verfahrensverzeichnis künftig auch angeben, binnen welcher Fristen die jeweiligen Datenkategorien zu löschen sind. Die zulässige Speicherdauer hängt von der Art der Daten und dem konkreten Verwendungszweck ab und kann vor allem mit gesetzlichen Verjährungs-, Aufbewahrungs- oder sonstigen Fristen begründet werden. So verjähren Entgeltforderungen im Arbeitsrecht grundsätzlich nach drei Jahren. Die Frist zur Aufbewahrung von Geschäftsbüchern und Belegen beträgt sieben Jahre. Der Anspruch auf Ausstellung eines Dienstzeugnisses verjährt hingegen erst nach Ablauf von 30 Jahren.

Auch wenn die systematische Erfassung solcher Löschfristen erst durch die DSGVO vorgeschrieben wird, gilt bereits jetzt der Grundsatz, dass Daten nur so lange aufbewahrt werden dürfen, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist. Es sollte daher die verpflichtende Erstellung interner Verfahrensverzeichnisse zum Anlass genommen werden, die bisherige Löschpraxis zu überprüfen. Dies setzt voraus, dass zunächst erhoben wird, zu welchen Zwecken entsprechende Datenkategorien überhaupt verarbeitet werden. Erst auf Basis dessen lassen sich die dazu passenden Löschfristen ermitteln.

Die DSGVO verlangt Arbeitgebern bei der Verarbeitung von Arbeitnehmerdaten somit mehr Eigenverantwortung ab. Die Zulässigkeit von Datenanwendungen, die auch sensible Daten enthalten, wird künftig nicht mehr wie bisher bereits vorab durch die Datenschutzbehörde überprüft. Zugleich erhöhen sich jedoch die Strafdrohungen für Verstöße auf bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Bis zur Anwendbarkeit der DSGVO empfiehlt es sich somit, die eigenen Datenverwendungen sorgfältig zu prüfen und Verfahrensverzeichnisse zu erstellen.

Dr. Franz Lippe ist Rechtsanwalt bei Preslmayr Rechtsanwälte und vorwiegend im Medien- und Persönlichkeitsrecht, Datenschutzrecht und Urheberrecht tätig.

Im vergangenen Dezember hat sich der Europäische Gerichtshof (EuGH) erneut mit der Speicherung von Verkehrs- und Standortdaten aller Nutzer elektronischer Kommunikation

auf Vorrat auseinandergesetzt: Eine nationale Regelung, die eine solche für Zwecke der Bekämpfung von Straftaten allgemein und unterschiedslos vorsieht, ist demnach unzulässig.

Bereits im April 2014 hatte der EuGH die Richtlinie 2006/24/EG über die Vorratsdatenspeicherung für ungültig erklärt. Entsprechend wenig überraschend hielt er nun fest, dass die Speicherung von Verkehrs- und Standortdaten auf Vorrat keinesfalls die Regel sein darf, sondern die Ausnahme darstellen muss. Denn aus der Gesamtheit dieser Daten können genaue Schlüsse auf das Privatleben der Betroffenen gezogen werden, auch wenn nicht der Inhalt einer Kommunikation gespeichert wird, so der EuGH. Anlass der Prüfung durch den Gerichtshof waren diesmal nationale Regelungen in Schweden und Großbritannien.

Einer nationalen Regelung, die zur Bekämpfung schwerer Straftaten vorbeugend die gezielte Speicherung solcher Daten auf Vorrat ermöglicht, stehe das EU-Recht jedoch etwa dann nicht entgegen, wenn sie in Bezug auf die relevanten Datenkategorien, die erfassten Kommunikationsmittel, die betroffenen Personen und die vorgesehene Speicherdauer auf das absolut Notwendigste beschränkt ist.

Ob und wie auf Basis dieses Urteils eine Neuregelung der Vorratsdatenspeicherung in Österreich umgesetzt wird, bleibt abzuwarten.