Arbeitnehmer-Datenschutz: Was ist zu beachten?
Wie können Sie Arbeitnehmer-Datenschutz gewährleisten und personenbezogene Daten schützen? Von der Einsichtnahme in betriebliche E-Mails über den Einsatz von Künstlicher Intelligenz bis hin zum HSchG. Einen Überblick finden Sie in diesem Beitrag.
Bezüglich des Datenschutzes ist in Österreich in der betrieblichen Praxis die Datenverarbeitung bzw der Arbeitnehmer-Datenschutz von zentraler Bedeutung. Dies liegt auch daran, dass gerade im Arbeitsverhältnis sehr viele personenbezogene Daten anfallen, und dass Unternehmen bedingt durch den technologischen Fortschritt immer mehr Daten verarbeiten. Moderne elektronische Personalverwaltungssysteme – etwa HCM (Human Capital Management) und HRMS (Human Resource Management System) – ermöglichen eine nahtlose Verknüpfung von Personalmanagement, Recruiting und Talentmanagement sowie Entgeltabrechnung und Zeiterfassung in einer einheitlichen Lösung.
Die Systeme bieten vielfältige Analysemöglichkeiten und versprechen transparente Einblicke in die globale Belegschaft. Damit steigt gleichzeitig die Gefahr eines unzulässigen Eingriffs in die Privatsphäre der Arbeitnehmer, etwa im Zuge der Abfrage von personenbezogenen Daten in Personalfragebögen oder bei der Verarbeitung, Aufbewahrung und Löschung von Personendaten im Records Management.
Rechtssicherer Umgang mit Arbeitnehmerdaten
Häufig herrscht in der Praxis beim Datenschutz in Österreich große Unsicherheit über den rechtmäßigen Umgang mit Arbeitnehmerdaten! Vor allem die Frage, ob die Internetnutzung und E-Mails der Beschäftigten kontrolliert werden dürfen, ob Arbeiten im Freien erlaubt ist oder inwieweit Überwachungsmaßnahmen, beispielsweise Softwareprogrammen zur Mitarbeiterüberwachung, zulässig sind, beschäftigt Arbeitgeber und Arbeitnehmer gleichermaßen.
Darüber hinaus ist Outsourcing ein wichtiges Thema in der Praxis. Werden einzelne Arbeitsschritte, Aufgaben oder Geschäftsprozesse ausgelagert, muss der Schutz personenbezogener Daten von Arbeitnehmern und Kunden gemäß DSGVO sichergestellt werden.
Auch die potenziellen Datenschutz- und Cybersicherheitsrisiken, die von den eigenen Arbeitnehmern ausgehen, sind nicht zu unterschätzen. Um Data Breaches durch Arbeitnehmer zu verhindern, sollten klare Richtlinien, technische Schutzmaßnahmen sowie regelmäßige Schulungen implementiert werden.
Arbeitnehmer-Datenschutz: Regelungen und Pflichten
Art 88 DSGVO sieht vor, dass die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können.
Die österreichischen Datenschutzvorschriften haben schon bisher keine systematische Regelung des Arbeitnehmer-Datenschutzes enthalten. Die entsprechenden Regelungen sind in den arbeitsrechtlichen Vorschriften zu finden. Datenschutzrechtliche Regelungen werden – unmittelbar auf Art 88 DSGVO gestützt – in den arbeitsrechtlichen Materiengesetzen geregelt.
Zu beachten ist, dass der Einsatz von Bildaufnahmen zur Mitarbeiterkontrolle gem § 12 Abs 4 Z 2 DSG gänzlich unzulässig ist.
Einsichtnahme in betriebliche E-Mails einer (ehemaligen) Mitarbeiterin
Die Einführung einer betrieblichen Disziplinarordnung und von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer bedürfen gem § 96 Arb VG iVm § 10 AVRAG zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates.
Kontrollmaßnahmen, die die Menschenwürde berühren, müssen durch eine Betriebsvereinbarung geregelt werden oder müssen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers erfolgen. Diese Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden.
In seiner Entscheidung 6 ObA 1/22y vom 28.06.2023 erklärte der OGH, dass sich Kontrollmaßnahmen von Mitarbeitern iSd § 96 Abs 1 iVm § 10 AVRAG auf betriebsbezogene Kollektivkontrolle beziehen und nicht auf individuelle Kontrollen eines Arbeitnehmers in einem konkreten Anlassfall. Im vorliegenden Anlassfall hatte der Arbeitgeber nach Kündigung einer Arbeitnehmerin in die betrieblichen E-Mails derselben Einsicht genommen. Eine Betriebsvereinbarung bzw Vereinbarung mit der Arbeitnehmerin lag nicht vor. Der OGH erklärte, dass Art 6 Abs 1 lit f DSGVO (berechtigtes Interesse des Verantwortlichen) eine taugliche Rechtsgrundlage für die Einsicht in die E-Mail der Arbeitnehmerin sein kann, wenn die Einsichtnahme zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist, sofern nicht die Interessen oder Grundrechte der betroffenen Arbeitnehmer überwiegen. Damit der Arbeitnehmer-Datenschutz gewährleistet ist, sollte eine Interessensabwägung erfolgen. Erforderlich ist diesbezüglich die dreistufige Prüfung dahingehend, dass
- der Arbeitgeber die Verarbeitung für ein berechtigtes Interesse vornimmt,
- die Verarbeitung zur Verwirklichung dieses berechtigten Interesses erforderlich ist und
- die Interessen oder Grundrechte und Grundfreiheiten des Arbeitnehmers nicht überwiegen.
Die Einsichtnahme in die betrieblichen E-Mails lag im wirtschaftlichen Interesse des Arbeitgebers und war erforderlich, um den Unternehmensbetrieb aufrecht zu erhalten. Ab Offensichtlichkeit bzw Erkennbarkeit, dass es sich um private E-Mails handelt, deren Einsichtnahme nicht betrieblich erforderlich ist, hat der Verantwortliche die Einsichtnahme abzubrechen. Die Einsichtnahme in als privat gekennzeichnete E-Mails ist jedenfalls nicht erforderlich. Im konkreten Anlassfall kann der OGH zum Schluss, dass von einem Überwiegen des Interesses des Arbeitgebers an der Einsichtnahme des E-Mail-Kontos gegenüber den Geheimhaltungsinteressen der Arbeitnehmerin ausgegangen werden kann.
Einsatz eines GPS-Systems in Dienstfahrzeugen
Die Verwendung eine GPS-Systems in Dienstfahrzeugen hat die Datenschutzbehörde in ihrem Bescheid vom 01.03.2022, 2021-0.789.408 D124-3950, als unzulässig erachtet.
Einem Mitarbeiter des Verantwortlichen war im konkreten Anlassfall ein Dienstfahrzeug, das er auch für private Fahrten nutzen durfte, zur Verfügung gestellt worden. In de Dienstfahrzeug war ein GPS-Gerät eingebaut, welches mit dem Start der Zündung aktiviert und mit dem Ausschalten der Zündung deaktiviert wurde. Zusätzlich gab es einen Schalter, mit welchem das GPS-System bei privaten Fahrten manuell deaktiviert werden konnte.
Die Datenschutzbehörde stellte fest, dass für die Datenverarbeitung beim Einsatz eines GPS-Systems keine geeignete Rechtsgrundlage bestand. Für Arbeitgeber ist daher die größte Sorgfalt bezüglich dem Arbeitnehmer-Datenschutz unerlässlich.
Einsatz von Künstlicher Intelligenz
Beim Einsatz von Künstlicher Intelligenz (KI) sind in Bezug auf den Arbeitnehmer-Datenschutz folgende Risiken zu berücksichtigen:
- Gefährdung der Interessen der Mitarbeiter beim Einsatz von KI, wenn personenbezogene Daten eingegeben werden. Dies kann sowohl die Privatsphäre der Beschäftigten als auch die Datensicherheit betreffen.
- Weitergabe von beruflichen Informationen bis hin zu Geschäftsgeheimnissen und/oder personenbezogene Daten durch Beschäftigte, wenn diese KI beruflich nutzen.
Bei der Anwendung von KI im beruflichen Umfeld ist zu gewährleisten, dass die Anforderungen an die Informationssicherheit und Datenschutz von Arbeitnehmern in Österreich eingehalten werden.
Zur Beherrschung dieser Risiken kann der verantwortliche Arbeitgeber den Einsatz von KI zu betrieblichen Zwecken und die Nutzung von KI-Werkzeugen auf Betriebsmitteln untersagen oder aber diese beschränkt erlauben und die Nutzung an bestimmte Voraussetzungen knüpfen.
Grundsätzlich empfiehlt sich, insbesondere im beruflichen Kontext, die Nutzung von Proxy-Lösungen, bei welchen die Eingabe, Logs oder die Prompt-Historie nicht an die KI-Anbieter gesendet werden.
KI: Regelungen in einer Unternehmensrichtlinie
Im Falle der beschränkten Zulassung von KI bedarf es jedenfalls eine Unternehmensrichtlinie. Diese sollte unter anderem folgende Regelungsinhalte umfassen:
- Geltungsbereich
- Definition des Tools, welches zulässig eingesetzt werden darf
- Festlegung der Zwecke, für welche KI-Tools eingesetzt werden dürfen (zB ChatGPT als Recruiting-Ressource)
- Verwendungseinschränkung
- Jegliche Art der Leistungs- und Verhaltenskontrolle von Beschäftigten unter Einsatz von KI ist untersagt
- Die Auswertung von Mitarbeiterdaten durch ein KI-System ist nicht zulässig
- Ausschluss der Nutzung von KI, wenn Informationen, die geeignet sind Geschäftsgeheimnisse darzustellen
- Ausschluss der Nutzung von KI-System mit Informationen Dritter insbesondere von Kunden und Lieferanten, insbesondere wenn Geheimhaltungsvereinbarungen mit diesen bestehen
- Ausschluss der Verarbeitung personenbezogener Daten, insbesondere das absolute Verbot der Verarbeitung sensibler Daten
- Ausschluss von urheberrechtlich geschützten Informationen, an welchen der Arbeitgeber keine entsprechenden Nutzungsrechte hat
- Prüfpflicht
- Die KI kann ungenaue Informationen erstellen. Beschäftigte sind verpflichtet, die sachliche und fachliche Korrektheit der Ergebnisse zu prüfen.
- Kennzeichnungspflicht
- Werden Ergebnisse der KI ganz oder teilweise zur Erstellung von Texten/Bildern/Grafiken verwendet, ist dies kenntlich zu machen: „Unter Verwendung des textbasierten/bildbasierten Assistenzsystems xxx (zB ChatGPT – https://chat.openai.com) erstellt“.
- Möglichkeit, dass KI-Texte mit einem digitalen Wasserzeichen versehen werden, sodass nachgewiesen werden kann, dass ein Text mit KI erstellt wurde.
- Die Nutzung von privaten Accounts ist verboten.
- Aufklärung
- Hinweis, dass die Ergebnisse der KI keiner Exklusivität unterliegen und auch von Dritten erzeugt werden können.
- Die KI kann gegebenenfalls ein Ergebnis produzieren, das einem urheberrechtlich geschützten Werk entspricht.
- Schulung
- Sanktionen
Auch die Mitbestimmung des Betriebsrats beim Einsatz von KI gewinnt zunehmend an Bedeutung.
HinweisgeberInnenschutzgesetz (HSchG)
Am 1. Februar 2023 wurde das langersehnte HinweisgeberInnenschutzgesetz (HSchG) im Nationalrat beschlossen. Damit kam Österreich der europarechtlichen Verpflichtung zur Umsetzung der sog „Whistleblower-Richtlinie“ nach.
Durch das Whistleblowing-System wird Personen, die aufgrund laufender oder früherer beruflicher Verbindungen zu einem Unternehmen oder einer Einrichtung Informationen über Rechtsverletzungen erlangt haben, ein regulärer Weg zur Meldung eröffnet. Der Hinweisgeberschutz ist in Unternehmen ab 50 Mitarbeiter:innen sowie juristische Personen des öffentlichen Sektors durch interne Meldewege zu gewährleisten.
In der Regel geht mit der Meldung von Verstößen gegen Verhaltenspflichten die Verarbeitung personenbezogener Daten einher, einerseits über die meldende Person andererseits auch über betroffene Personen im Zusammenhang mit Meldungen. Die Verarbeitung personenbezogener Daten im Zusammenhang mit der Hinweisgebung muss im Einklang mit der DSGVO erfolgen. Auch hier ist daher der Arbeitnehmer-Datenschutz besonders zu beachten.
Unternehmen, die interne Hinweisgebersysteme betreiben, sind Verantwortliche iSd Art 4 Z 7 DSGVO. Betreiben mehrere Verantwortliche zusammen ein Hinweisgebersystem, sind sie gemeinsam Verantwortliche gem Art 4 Z 7 in Verbindung mit Art 26 DSGVO (§ 8 Abs 4 HSchG). In diesem Fall haben die Verantwortlichen einen entsprechenden Vertrag über die gemeinsame Verantwortlichkeit verpflichtend abzuschließen.
Zieht der Verantwortliche zum Betrieb des Meldesystems Auftragsverarbeiter hinzu, so gelten die Verpflichtungen des Verantwortlichen zum Schutz von Hinweisgebern nach dem HSchG auch für Auftragsverarbeiter (§ 8 Abs 4 letzter Satz HSchG).
Verantwortliche und Auftragsverarbeiter haben ein Verarbeitungsverzeichnis gem Art 30 DSGVO über das Hinweisgeber-Meldesystem zu führen.
Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit Hinweisgeber-Meldungen ist § 8 HSchG.
Zweck der Datenverarbeitung ist das Betreiben eine Meldesystems gemäß HinweisgeberInnenschutzgesetz. Die Datenverarbeitung muss gem § 8 Abs 2 HSchG im öffentlichen Interesse liegen, Rechtsverletzungen zu verhindern oder zu ahnden und zu diesem Zweck Hinweise zu geben und ihre Stichhaltigkeit zu überprüfen und auf Daten eingeschränkt werden, die zur Feststellung und Ahndung einer Rechtsverletzung benötigt werden.
§ 8 Abs 1 HSchG erklärt die Verarbeitung personenbezogener Daten folgender Kategorien betroffener Personen für zulässig:
- der Hinweisgeber,
- von der Hinweisgebung betroffenen Personen,
- von Personen, die Hinweisgeber bei der Hinweisgebung unterstützen,
- von Personen im Umkreis des Hinweisgebers, die, ohne die Hinweisgebung zu unterstützen, von nachteiligen Folgen der Hinweisgebung wie Vergeltungsmaßnahmen betroffen sein können sowie
- von Folgemaßnahmen betroffenen oder in Folgemaßnahmen involvierten Personen.
Die Verarbeitung umfasst jene Daten, die vom Hinweisgeber übermittelt werden (§ 8 Abs 3 HSchG). Alle eingehenden Hinweise sind gem § 9 HSchG zu dokumentieren.
Die Verarbeitung von sensiblen Daten iSd Art 9 Abs 1 DSGVO ist zulässig, wenn diese erforderlich ist, um Rechtsverletzungen in Lebensbereichen von besonderem öffentlichem Interesse bekannt werden zu lassen (§ 1 HSchG) bzw im öffentlichen Interesse liegende Rechtsverletzungen verhindert oder geahndet werden können und/oder diese benötigt werden, um die Stichhaltigkeit der Informationen zu überprüfen (§ 8 Abs 2 Z 1 HSchG).