Neben Dr. Thomas Schweiger, LL.M. (Duke), CIPP/E, zert DSBA sind noch weitere Personen in unserem Team tätig.
Seit Sommer 2019 unterstützt uns Florian Schweiger, der im Juni seine Matura an der HTL Neufelden im Bereich "Automatisierungstechnik" abgelegt hat.
Neben seinem Studium "Hard- und Softwaredesign" in Hagenberg supported er unsere Website in technischer Hinsicht.
RAA Mag. Hannes Huber, LL.B., M.Sc hat im Frühjahr 2019 die Prüfung zum Datenschutzbeauftragten des TÜV in Graz erfolgreich abgelegt, nachdem er seit 1.1.2019 bei uns tätig ist.
Er studierte Rechtswissenschaften, Wirtschaftsrecht und absolvierte das interdisziplinäre Studium "Technik und Recht" an der Johannes Kepler Universität Linz. Davor besuchte er die HTL Elektrotechnik in Braunau, und war auch als Programmierer während seines Studiums tätig.
Michael Schweiger absolvierte vor kurzem im Sommer 2018 den Lehrgang für Datenschutzbeauftragte und und ist zertifizierter Datenschutzbeauftragter (TÜV).
Michael Schweiger studiert Wirtschaftsrecht an der Wirtschaftsuniversität Wien und unterstützt unser Team im Bereich Datenschutzberatung und Datenschutzmanagement.
Er recherchiert laufend für neue Blog-Artikel.
DaKo 05/2018:
In der DaKo 5/2018 ist ein Artikel zu einer Entscheidung des Bundesverwaltungsgerichtes vom 25.06.2018 erschienen.
Das BVwG thematisiert in diesem Verfahren die Frage der Strafbarkeit der juristischen Person und hegt Zweifel. Dies hat auch Auswirkungen auf die Art und Weise der Bestrafung von juristischen Personen im Datenschutzrecht durch die Österreichische Datenschutzbehörde
Beispiel für Datenverarbeitung im Beschäftigungskontext (03.07.2017):
Wer kennt das nicht?
Geburtstagslisten auf dem Schwarzen Brett im Buffet
Hochzeitsgratulation in der Betriebszeitung
Foto des Neugeborenen der Kollegin im Intranet
Nahezu in jeder Organisation sind Geburtstagslisten beliebt; oft gibt es mehrere Version dieser netten Möglichkeit, über die persönlichen Verhältnisse der anderen MitarbeiterInnen informiert zu werden. Auch die „Information“ – z.B. durch den Betriebsrat in periodisch erscheinenden Zeitungen oder Newslettern – darüber, dass ein Mitarbeiter oder eine Mitarbeiterin geheiratet, ein Baby bekommen hat oder über andere Ereignisse im Privatleben ist in vielen Organisationen gang und gäbe.
Manchmal werden die Listen oder Informationen am Schwarzen Brett ausgehängt oder im Intranet veröffentlicht, um allen die Kenntnisnahme zu ermöglichen. Es kommt auch vor, dass die Listen zentral von der Personalabteilung oder vom Sekretariat ohne Wissen der betroffenen MitarbeiterInnen erstellt werden.
Erhebung und Verwendung von personenbezogenen MitarbeiterInnendaten
Aus datenschutzrechtlicher Sicht stellt die Erhebung von personenbezogenen Daten und Verwendung dieser „Geburtstagslisten“ oder Informationen über andere persönliche Verhältnisse eine Verwendung von Daten von MitarbeiterInnen dar.
Datenübermittlung vom Verantwortlichen an andere Empfänger
Werden diese Listen so verwendet, z.B. ausgehängt, dass diese auch von Personen außerhalb der eigenen Organisation gesehen werden können, dann kommt es zu einer Datenübermittlung und zwar sogar an einen unbestimmten Personenkreis.
Anwendung der gesetzlichen Reglungen bei der Beurteilung der Zulässigkeit
Zweck der Datenverarbeitung
Der Zweck der Geburtstagsliste oder einer sonstigen derartigen Liste ist, dass die MitarbeiterInnen im Unternehmen über den Geburtstag und andere private Ereignisse ihrer Kolleginnen und Kollegen informiert werden. Es stellt sich daher die Frage, ob dies ein legitimer Zweck bei der Verarbeitung von personenbezogenen Daten im Beschäftigungskontext sein kann.
ErwG 155 DSGVO sowie Art 88 DSGVO beziehen sich auf Datenverarbeitung im Beschäftigungskontext beschreiben u.a. die Zwecke der Verarbeitung von Daten im Beschäftigungskontext u.a. wie folgt:
· Einstellung & Erfüllung des Arbeitsvertrags
· Erfüllung von durch Rechtsvorschriften oder Kollektivvereinbarungen festgelegten Pflichten
· Managements, der Planung und der Organisation der Arbeit
· Gleichheit und Diversität am Arbeitsplatz
· Gesundheit und Sicherheit am Arbeitsplatz
· Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen
· Beendigung des Beschäftigungsverhältnisses.
In diese Kategorien der von der DSGVO vorgesehenen Zwecke der Datenverarbeitung im Beschäftigungskontext wird eine „Geburtstagsliste“ oder sonstige Information über private Ereignisse der MitarbeiterInnen wohl nicht fallen, sodass diese Listen wohl nicht der notwendigen angemessenen Zweckdefinition iSd DSGVO entsprechen werden, und derartige Listen keine Datenverarbeitung von Beschäftigungsdaten nach Treu und Glauben darstellen.
Grundlage für die Rechtmäßigkeit iSd Art. 6 (1) lit a bis f DSGVO
Wenn man davon ausgeht, dass die Verwendung derartiger Geburtstagslisten in die angemessene Datenverarbeitung aufgrund eines möglichen notwendigen Zusammenhangs mit dem Arbeitsverhältnis fallen könnte, ist (überdies) eine Grundlage für die Rechtmäßigkeit für die Verarbeitung zu finden, wobei hier die Möglichkeiten des Art 6 (1) lit a bis f DSGVO genutzt werden könnten.
Einen Möglichkeit für die Rechtmäßigkeit könnte die Einwilligung der MitarbeiterInnen gem. Art. 6 (1) lit a DSGVO in die Verwendung der Geburtstagsliste bieten. In diesem Zusammenhang ist darauf hinzuweisen, dass auch die Art. 29 Datenschutzgruppe davon ausgeht, dass die Freiwilligkeit, die für die Einwilligung gefordert wird (siehe ErwG 32, 42, 43 und Art. 4 Z 11, Art. 7 (4) DSGVO) im Arbeitsverhältnis nur sehr schwer erzielt werden kann.
Die anderen Gründe, z.B. Vertragserfüllung, lebenswichtige Interessen der betroffenen Person, Erfüllung einer Rechtspflicht, Erfüllung einer Aufgabe im öffentlichen Interesse oder überwiegend berechtigtes Interesse des Verantwortlichen oder eines Dritten werden für die Realisierung des konkreten Zweckes dieser Listen nicht in Frage kommen.
Das Bayerische Landesamt für Datenschutzaufsicht beurteilte derartige Geburtstagslisten (siehe auch 2. Tätigkeitsbericht im Jahr 2014) als unzulässig.
Wie könnte es dennoch gehen, diese Listen zu verwenden?
Freiwillige Einwilligung – wie kann diese Vorgabe umgesetzt werden?
Ein „workaround“ wäre wohl, dass von der Organisation eine nicht vorausgefüllte Geburtstagsliste oder Zustimmungserklärung zur Bekanntgabe von privaten Ereignissen mit beispielhafter Anführung der Ereignisse (Hochzeit, Geburt eines Kindes …) zur Verfügung gestellt wird. Diese Information bei der Datenerhebung müsste mit einem Hinweis auf die Freiwilligkeit der Zustimmung versehen werden, und es sollte sichergestellt werden, dass die MitarbeiterInnen frei und ohne Sanktionen befürchten zu müssen, entscheiden können, ob sie möchten, dass die konkreten personenbezogenenn Daten im Unternehmen für den konkreten Zweck verwendet (und insbes. anderen MitarbeiterInnen zugänglich gemacht) werden.
Die MitarbeiterInnen, die zustimmen möchten, dass ihre Daten verwendet werden, können die Daten eintragen. Es wäre damit sichergestellt, dass eine freiwillige Einwilligung in die Verwendung des personenbezogenen Datums „Geburtstag“ oder der anderen Ereignisse im Privatleben der MitarbeiterInnen durch die natürlichen Personen erfolgt.
Informierte Einwilligung – wie kann das erfolgen?
Den MitarbeiterInnen muss auch die Möglichkeit gegeben werden, dass sie sich wieder von der Liste entfernen (lassen) (Widerrufsmöglichkeit) und sie müssen iSd Art. 13 DSGVO u.a. auch über die konkrete Verwendung der Daten (Zweck) informiert werden, und zwar bei der Datenerhebung.
Art. 13 DSGVO schreibt vor, dass bei der Erhebung der Daten (dh bei der Eintragung in die „Geburtstagsliste“ oder „Liste privater Ereignisse“ die betroffenen Personen über folgende Sachverhalte zu informieren sind, sofern sie über diese Informationen nicht schon verfügen (Art 13 (4) DSGVO), damit die betroffene Person eine informierte Einwilligung erteilen kann:
Wenn Sie noch Fragen zu Verwendung derartiger „Geburtstagslisten“ oder „Listen über Jubiläen und private Ereignisse“ haben, kontaktieren Sie uns; wir beraten Sie gerne bei Fragen des Datenschutz- und Informationstechnologierechts.