Personaldatenverarbeitung und Datenschutz-Folgenabschätzung

Art 35 Abs 1 DSGVO schreibt vor, dass bei bestimmten Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zur Folge haben, eine Datenschutz-Folgenabschätzung („DSFA“) durchzuführen ist.

 

Art 35 Abs 3 DSGVO bringt (nicht abschließend) Beispiele für den Anwendungsfall einer DSFA, wobei bei der Verarbeitung von Daten von Arbeitnehmer*Innen insbes. folgende Verarbeitungsvorgänge von Bedeutung sein können:

 

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen

 

 

Der Europäische Datenschutzausschuss hat in den Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (17/DE WP 248 rev.01) auch auf die Verarbeitung von Daten im Beschäftigungskontext verwiesen.

Es wurde insbes. auch auf den ErwG 75 hingewiesen, wonach bei der Verarbeitung von Daten von besonders schutzbedürftigen Personen eine DSFA unter bestimmten Kriterien durchzuführen sei, und in den Leitlinien wird darauf verwiesen, dass auch bei Arbeitnehmern eine Situation gegeben ist, in der ein ungleiches Verhältnis zwischen der Stellung des Betroffenen und der des für die Verarbeitung Verantwortlichen vorliegt.

 

 

 

In Österreich bestehen im Rahmen der §§ 89 ff des ArbVG Mitwirkungsrechte des Betriebsrates, wie insbes. ein Einsichtsrecht bzw. eine Verpflichtung des Betriebsinhabers, dem Betriebsrat Informationen über diejenigen Verarbeitungsvorgänge zu geben, bei denen die personenbezogenen Daten von Arbeitnehmer*Innen verarbeitet werden. Die Verarbeitung von Daten im Beschäftigungskontext und die Aufgaben und Rechte des Betriebsrates wurden in einem anderen Blogeintrag bereits diskutiert.

 

Besondere Mitwirkungsrechte im Sinne von zwingenden oder erzwingbaren Betriebsvereinbarungen gibt es

 

·       bei Verarbeitungsvorgängen, die über die gesetzlich notwendigen Verarbeitungen von personenbezogenen Daten der Belegschaft und über die allgemeinen Angaben und die fachliche Qualifikation hinausgehen (siehe dazu § 96a Abs 1 Z 1 ArbVG = erwzingbare BV) oder

 

·       bei qualifizierten Personalfragebögen (siehe dazu § 96 Abs 1 Z 2 ArbVG = zwingende BV, bei der die Zustimmung des BR oder des Betriebsinhabers nicht durch eine Entscheidung der Schlichtungsstelle ersetzt werden kann) oder
 

 

·       bei Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren (siehe § 96 Abs 1 Z 3 ArbVG = zwingende BV)

 

 

 

In der DSFA-V wird u.a. in § 2 Abs 2 Z 1 DSFA-V auf die Verarbeitung von Daten von Arbeitnehmer*Innen Bezug genommen; eine DSFA ist für folgende Verarbeitungsvorgänge durchzuführen:

 

1.                  Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen – einschließlich des Erstellens von Profilen und Prognosen – umfassen für Zwecke, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen und ausschließlich auf einer automatisierten Verarbeitung beruhen und  negative rechtliche, physische oder finanzielle Auswirkungen haben können.

 

3.    Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen zum Ziel haben und

 

b)          öffentliche Orte, die gemäß § 27 Abs. 2 Sicherheitspolizeigesetz (SPG), BGBl. Nr. 566/1991, von einem nicht von vornherein bestimmten Personenkreis betreten werden können, erfassen,

 

 

 

Für Verarbeitung der Kategorien des § 2 Abs 2 DSFA-V gibt es eine Ausnahme, wenn diese Verarbeitungen im Beschäftigungskontext erfolgen. Diese bedürfen keiner DSFA, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

 

Dies bestätigt auch meine Ansicht, dass der Betriebsrat oder die Personalvertretung in einem Unternehmen gewissermaßen die Stellung eines „Datenschutz-Kontroll-Organs“ für die Belegschaft wahrnimmt, da die DSB offensichtlich davon ausgeht, dass durch die Einbindung der Belegschaftsvertretung bei der Festlegung der Kriterien für die Auswertung derartiger Verarbeitungsvorgänge, das Risiko für die Arbeitnehmer*Innen jedenfalls unter das Niveau „hoch“ reduziert werden kann.

 

In Unternehmen, in denen es keine Personalvertretung oder keinen Betriebsrat gibt, ist jedoch eine DSFA durchzuführen, wenn eines der Kriterien des § 2 Abs 2 DSFA erfüllt ist.

 

 

 

Fazit: Wenn es eine Betriebsvereinbarung oder eine Zustimmung der Personalvertretung gibt, dann ist keine DSFA für die in § 2 Abs 2 DSFA-V normierten Verarbeitungsvorgänge notwendig.

 

 

 

Für diejenigen Formen von Verarbeitungsvorgänge, die in § 2 Abs 3 DSFA genannt sind, und die bei Erfüllung von mindestens zwei der genannten Kriterien zur Verpflichtung der Durchführung führt, gibt es keine derartige Privilegierung durch Betriebsvereinbarung oder Zustimmung der Personalvertretung.

 

Dabei handelt es sich um folgende Kriterien:

 

1.       Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO,

 

2.       umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO,

 

3.       Erfassung von Standortdaten im Sinne des § 92 Abs. 3 Z 6 Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I. Nr. 70/2003, die in einem Kommunikationsnetz oder von einem Kommunikationsdienst verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben,

 

4.       Verarbeitung von Daten schutzbedürftiger betroffener Personen, wie unmündige Minderjährige, Arbeitnehmer, Patienten, psychisch Kranker und Asylwerber, wobei Abs. 2 letzter Satz sinngemäß anzuwenden ist, oder

 

5.       Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei der betroffenen Person erhoben wurden

 

 

 

Zusammenfassend ist festzuhalten, dass eine Betriebsvereinbarung oder die Zustimmung der Personalverwaltung wohl in den meisten Fällen der Verarbeitung von Personaldaten eine Datenschutz-Folgenabschätzung obsolet macht, da die Formen der Verarbeitungen, die in § 2 Abs 3 DSFA-V genannt sind, nur in seltenen Fällen im Arbeitsverhältnis verwirklicht sein werden.