Datenschutz-Basics für Betriebsrätinnen und Betriebsräte

Die Digitalisierung führt in den Betrieben zu immer mehr Daten: Produktionsdaten, Daten von Kund:innen und auch über Mitarbeiter:innen. Aufgrund der Datenflut und der Gefahr, dass Daten verknüpft werden, kommt dem Thema Datenschutz immer größere Bedeutung zu. Die Europäische Union hat dem Rechnung getragen und die Datenschutzgrundverordnung (DS-GVO) geschaffen. Sie ist seit 2018 gültig. 

Ziel der DS-GVO

Ziel der DS-GVO ist, ein Europaweit einheitliches Datenschutzrecht und Datenschutzniveau zu schaffen. Daher wurde die bisher geltende EU-Datenschutzrichtlinie aus 1995 durch die DS-GVO abgelöst. 

Was gilt nun in Österreich?

In Österreich sind folgende Bestimmungen anzuwenden:

• die Datenschutzgrundverordnung der EU (DS-GVO) sowie
• das österreichische Datenschutzgesetz (DSG)

Die DS-GVO ist direkt und zwingend anzuwenden. Nur in speziellen Bereichen (den sogenannten Öffnungsklauseln) ist der nationale Gesetzgeber berechtigt, eigene genauere Regelungen zu treffen.

Die Rechte des Betriebsrates gemäß Arbeitsverfassungsgesetzes (ArbVG) werden durch die DS-VGO nicht beschränkt. Daher kann sie der Arbeitgeber nicht beschneiden und sich dabei auch den Datenschutz berufen.

Wann und wo gilt die DS-GVO?

Die DS-GVO muss von "Verantwortlichen" und von "Auftragsverarbeitern" eingehalten werden.

• Unter "Verantwortlichen" versteht die DS-GVO natürliche und juristische Personen, die über die Verarbeitung von personenbezogenen Daten entscheiden. Dies ist beispielsweise der Arbeitgeber. Aber auch der Betriebsrat als Kollegialorgan gilt als "Verantwortlicher", da es als Gremium auch selbst personenbezogene Daten verarbeitet. Beispiel: Kontrolle der Lohnabrechnungen oder Arbeitszeiten.
  
  
• "Auftragsverarbeiter" ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines "Verantwortlichen" verarbeitet. Das ist zum Beispiel die ausgelagerte Lohnverrechnungsfirma.

Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich erstreckt sich auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Zusätzlich erstreckt er sich auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 

Was sind personenbezogene Daten?

Die DS-GVO versteht unter personenbezogene Daten Informationen, die sich auf natürliche Personen (etwa Kund:innen oder Beschäftigte) beziehen. Daten über juristische Personen, wie beispielsweise der Firmenname oder die Firmenbuchnummer, sind vom Anwendungsbereich der DS-GVO nicht erfasst.

Räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich ergibt sich grundsätzlich aus dem Niederlassungsprinzip. Das heißt, alle Verarbeitungen im Rahmen der Tätigkeiten einer Niederlassung eines:r Verantwortlichen oder Auftragsverarbeiter:in in der EU sind von der DS-GVO erfasst. 

Dieser Anwendungsbereich wird erweitert auf Niederlassungen außerhalb der EU, sofern diese Waren und Dienstleistungen in der EU anbieten oder das Verhalten eines:r Betroffenen in der EU beobachtet wird.

Strafen in der DS-GVO

Die DSGVO sieht bei Verstößen hohe Strafen vor: 

• Die Höchststrafe liegt bei mindestens 20 Millionen Euro beziehungsweise 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres.
  
  
• Zusätzlich kann in Österreich auch noch eine Verwaltungsstrafe von bis zu 50.000 Euro verhängt werden. 

Hinweis: Bezüglich der Strafhöhe im Falle einer Datenschutzverletzung - sofern nicht ohnehin nur eine Verwarnung ausgesprochen wird - kommt es immer auf die konkreten Umstände im Einzelfall an, sodass im Resultat nur angemessene Strafen verhängt werden.  

Grund­sätze der Daten­ver­arbeitung in der Betriebsrats­arbeit

Der Betriebsrat darf personenbezogene Daten verarbeiten. Dabei muss er allerdings einige Grundsätze berücksichtigen und einhalten.

• Grundsatz: Rechtmäßigkeit der Verarbeitung
  Jede Verarbeitung braucht eine Rechtsgrundlage. Sie kann sich beispielsweise aus einem Gesetz, einem Kollektivvertrag oder einer Einzelzustimmung der betroffenen Person ergeben.
   
• Grundsatz: Zweckbindung
  Daten dürfen zu einem festgelegten, legitimen Zweck verarbeitet werden. Die dabei erhobenen Daten dürfen nur in einem sehr engen Rahmen und unter bestimmten Voraussetzungen für andere Zwecke weiter verarbeitet werden.
  
  
• Grundsatz: Richtigkeit
  Die verarbeiteten Daten müssen auf dem neuesten Stand sein.
  
  
• Grundsatz: Datenminimierung
  Es dürfen nur jene Daten verarbeitet werden, die angemessen sind, um den festgelegten Zweck zu erreichen. Eine "überschießende" Datenverarbeitung soll dadurch unterbunden werden.
  
  
• Grundsatz: Treu und Glauben
  Die Verarbeitung muss nach Treu und Glauben erfolgen. Dies ist insbesondere bei Interessenabwägungen zu berücksichtigen.
  
  
• Grundsatz: Transparenz
  Die personenbezogene Datenverarbeitung muss für die betroffene Person nachvollziehbar sein.
  
  
• Grundsatz: Speicherbegrenzung
  Die verwendeten Daten dürfen nur solange gespeichert werden, bis der festgelegte Verarbeitungszweck erreicht ist. Ausnahme: Es bestehen besondere organisatorische oder gesetzliche Aufbewahrungspflichten. Nach Ablauf dieser Frist sind die Daten zu löschen oder zu anonymisieren.
  
  
• Grundsatz: Integrität und Vertraulichkeit
  Die verwendeten Daten müssen vertraulich behandelt und geschützt werden.

Hinweis

Um datenschutzkonform zu sein, müssen bei jeder einzelnen Verwendung von personenbezogenen Daten alle Grundsätze erfüllt sein.

Rechen­schaftspflicht

Rechenschaftspflicht bedeutet: Verantwortliche haben all diese Grundsätze bei jeder Datenverarbeitung anzuwenden und die Einhaltung nachzuweisen.

Dazu hat man als Verantwortliche:r (und somit auch als Betriebsrat und Betriebsratsfonds) ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Darin müssen alle Verarbeitungen einzeln aufgelistet werden, jeweils mit Angabe von Zweck, Löschfrist und allen weiteren sich aus den Grundsätzen ergebenden notwendigen Informationen (vgl Art 30 DS-GVO).

Der Betriebsrat braucht keinen Datenschutzbeauftragten!

Es ist wichtig, dass sich jemand um den Datenschutz kümmert. Diese Person sollte aber nicht als Datenschutzbeauftragte:r bezeichnet werden, da sie sonst unter die strengen Vorschriften des Datenschutzbeauftragten in der DS-GVO fallen würde.

Check­liste: Das sollten Sie als BR beim Datenschutz beachten

1. Zuständigkeit klären
   Wer kümmert sich im BR-Büro um den Datenschutz?
   
   
2. Daten auflisten
   Welche Daten habe ich als BR (elektronisch / nicht elektronisch)?
   
   
3. Zwischen sensiblen und nicht sensiblen Daten unterscheiden
   Verarbeite ich beispielsweise Gesundheitsdaten?
   
   
4. Betroffene ermitteln
   Wer ist von der Datenverarbeitung betroffen?
   
   
5. Empfängerkreise auflisten
   An wen werden die Daten übermittelt? Wer kann sie sehen?
   
   
6. Rechtmäßigkeit prüfen
   Habe ich für jede Datenverarbeitung eine rechtliche Grundlage?
   
   
7. Erhebungen (1-6) im Verarbeitungsverzeichnis festhalten
   (inklusive Löschfristen)
   
   
8. Datensicherheitsmaßnahmen (technisch, personell und organisatorisch) Einführen und im Verarbeitungsverzeichnis dokumentieren
   
   
9. Auftragsverarbeiter erfassen
   Beauftrage ich jemand Externen für mich, eine Datenverarbeitung durchzuführen? (spezielle Vorschriften)
   
   
10. Umgang mit Begehren von der Datenverarbeitung betroffener Personen festlegen
    Wie gehe ich als BR mit Anfragen der Betroffenen bezüglich ihrer Rechte auf Auskunft, Berichtigung und Löschung um?