Datenschutz: Das ist neu ab Mai
Die Datenschutzgrundverordnung der EU sowie das Datenschutzgesetz 2018 kommen ab 25. Mai unmittelbar zur Anwendung.
Die Datenschutzgrundverordnung der EU ( DSGVO) ist seit 25. Mai 2018 direkt anzuwenden. Dies bedeutet, dass ab diesem Datum die Bestimmungen der Datenschutzgrundverordnung umgesetzt sein müssen beziehungsweise angewendet werden.
Der Betriebsratsfonds ist eine eigenständige juristische Person. Er ist daher als „Verantwortlicher“ im Sinne der DSGVO anzusehen. Die Bestimmungen der DSGVO gelten daher auch für den BR-Fonds.
Der BR-Fonds muss sich bei der Verarbeitung von personenbezogenen Daten an die Grundsätze der DSGVO halten. Darüber hinaus trifft ihn, wie auch den Betriebsrat, eine Dokumentationsverpflichtung. Das bedeutet, dass sowohl der Betriebsrat als auch der BR-Fonds eigene, getrennte Verzeichnisse von Verarbeitungstätigkeiten zu führen haben.
Eine rechtliche Verpflichtung zur Bestellung eines/einer Datenschutzbeauftragten liegt beim BR-Fonds nicht vor.
In der DSGVO sind die Grundsätze für die Verarbeitung von personenbezogenen Daten geregelt. Diese Grundsätze sehen Folgendes vor:
Überwiegend wird der BR-Fonds „einfache“ personenbezogene Daten, wie Namen, Adressen oder Telefonnummern verarbeiten.
Unter Umständen kann es jedoch vorkommen, dass auch eine „besondere Kategorie von Daten“, also sensible Daten verarbeitet werden. Darunter fallen insbesondere Gesundheitsdaten oder zum Beispiel Daten zur Gewerkschaftszugehörigkeit. Die Verarbeitung dieser Daten wird hauptsächlich bei Auszahlungen auf Grund von Leistungen aus dem Regulativ erfolgen.
Eine Bestätigung der Übernahme der Daten muss nicht erfolgen. Auf Grund des Rechtmäßigkeitsgrundsatzes ist jedoch die Rechtsgrundlage für die Verarbeitung zu überprüfen. Auch wenn es gesetzliche Bestimmungen zur Gebarung des BR-Fonds gibt, so ist es derzeit noch unklar, ob diese Bestimmungen als taugliche Rechtsgrundlage anzusehen sind.
Es wird daher angeraten, die Einwilligung des einzelnen betroffenen Mitarbeiters/der einzelnen betroffenen Mitarbeiterin zur Verarbeitung seiner/ihrer Daten einzuholen. Diese Einwilligungserklärung hat freiwillig und zu einem konkreten Zweck zu erfolgen. Darüber hinaus ist der betroffene Mitarbeiter/die betroffene Mitarbeiterin auf sein/ihr Recht, jederzeit grundlos die Einwilligung zu widerrufen, hinzuweisen.
Eine schriftliche Einwilligungserklärung ist nicht zwingend notwendig. Im Zuge der in der DSGVO geregelten Rechenschaftspflicht muss jedoch der Datenschutzbehörde gegenüber dargelegt werden, wie die Einwilligung eingeholt wurde. Auch eine mündlich eingeholte Einwilligungserklärung mit dem Hinweis auf die Betroffenenrechte ist daher zulässig. Aufgrund der erwähnten Rechenschaftspflicht ist aber anzuraten die Einwilligungserklärung schriftlich einzuholen.
Der Betriebsinhaber/Die Betriebsinhaberin hat weder ein Einsichtsrecht in die Unterlagen des BR-Fonds, noch in das Register der Verarbeitungstätigkeiten. Nur der internen Rechnungsprüfung sowie den BR-Fonds-Revisoren/-innen der Arbeiterkammern sind die Belege des BR-Fonds offen zu legen. Ein Einsichtsrecht in das Verarbeitungsregister des BR-Fonds besteht nur für die nationale Aufsichtsbehörde, somit in Österreich, für die Datenschutzbehörde.
Ein Einsichtsrecht des Betriebsrates sowie des Betriebsratsfonds in das Verarbeitungsregister des Betriebsinhabers/der Betriebsinhaberin ist nicht vorgesehen. Dieses ist nur der Datenschutzbehörde vorbehalten. Der Betriebsrat kann jedoch sein allgemeines Informationsrecht geltend machen und hat auf diesem Wege die Information über die im Betrieb bestehenden Systeme, die personenbezogene Daten verarbeiten, zu erhalten.
Die Höchststrafen bei Verletzung der Grundsätze der Datenschutzgrundverordnung betragen bis zu 20 Millionen Euro beziehungsweise 4 Prozent des weltweit erzielten Jahresumsatzes - je nachdem welcher Betrag höher ist.
Die DSGVO sieht keine genauen Löschfristen vor. Sie bestimmt lediglich, dass nach Erfüllung des konkreten für die Verarbeitung maßgeblichen Zwecks die Daten zu löschen sind. Nach den Bestimmungen über die ordnungsgemäße Buchführung sowie abgeleitet aus den Bestimmungen der Betriebsratsfonds-Verordnung (RF-VO) und des Arbeitsverfassungsgesetzes (ArbVG) raten wir vorerst zu einer Aufbewahrungsfrist von 7 Jahren. Danach sind die Daten zu löschen oder zu anonymisieren.
Im Zuge der Umsetzung der DSGVO sind jedenfalls Datensicherheitsmaßnahmen zu ergreifen. Es empfiehlt sich die handschriftlichen Belege in versperrbaren Kästen und die digitalen Dokumente durch geeignete Passwörter zu schützen.
Darüber hinaus wird empfohlen, dass Urkunden zum Nachweis für die Auszahlung von Leistungen aus dem BR-Fonds in geschwärzter Form zum Auszahlungsbeleg genommen werden.
Dies bedeutet konkret, dass bei einer Geburtsurkunde lediglich der Name des beantragenden Mitarbeiters/der beantragenden Mitarbeiterin und das Ausstellungsdatum ersichtlich bleiben würden. Die Daten des anderen Elternteiles sowie die Daten des Kindes wären zu schwärzen. Diese Maßnahmen sind deshalb notwendig, um Einwilligungserklärungen zur Verarbeitung dieser Daten von Dritten, in diesem Fall vom anderen Elternteil sowie des betroffenen Kindes durch die Erziehungsberechtigten zu vermeiden.
Muster für Verarbeitungsverzeichnisse sowie Handlungsempfehlungen zur Umsetzung der DSGVO in der BR-Körperschaft sowie im BR-Fonds finden Sie hier:
Muster-Antragsformular auf Leistungen aus dem BR-Fonds (0,5 MB)
Broschüre "Datenschutz in der Betriebsratsarbeit" (1,0 MB)
Betriebsratsarbeit im Zeichen der EU Datenschutz-Grundverordnung (0,6 MB)
Weiterführende Informationen finden Sie
Publikationen
© 2021 AK Oberösterreich | Volksgartenstrasse 40 4020 Linz, +43 50 6906 0