16.4.2018

Datenschutz und Betriebsrats-Fonds: FAQ

Die Datenschutzgrundverordnung der EU ( DSGVO) ist ab 25. Mai 2018 direkt anzuwenden. Dies bedeutet, dass ab diesem Datum die Bestimmungen der Datenschutzgrundverordnung umgesetzt sein müssen beziehungsweise angewendet werden.

1.Gilt die DSGVO auch für den Betriebsrats-Fonds (BR-Fonds)?
Der Betriebsratsfonds ist eine eigenständige juristische Person. Er ist daher als „Verantwortlicher“ im Sinne der DSGVO anzusehen. Die Bestimmungen der DSGVO gelten daher auch für den BR-Fonds.
2.Was heißt das genau?
Der BR-Fonds muss sich bei der Verarbeitung von personenbezogenen Daten an die Grundsätze der DSGVO halten. Darüber hinaus trifft ihn, wie auch den Betriebsrat, eine Dokumentationsverpflichtung. Der Betriebsrat hat ein „Verzeichnis von Verarbeitungstätigkeiten" zu führen.
3.Braucht der BR-Fonds einen Datenschutzbeauftragten?
Eine rechtliche Verpflichtung zur Bestellung eines/einer Datenschutzbeauftragten liegt beim BR-Fonds nicht vor.
4.Welche Grundsätze hat der BR-Fonds nach der DSGVO zu beachten?

In der DSGVO sind die Grundsätze für die Verarbeitung von personenbezogenen Daten geregelt. Diese Grundsätze sehen Folgendes vor:

  • Rechtmäßigkeit:
    Für jede Verarbeitung muss eine Rechtsgrundlage vorhanden sein. Diese kann sich entweder aus einem Gesetz, einem Kollektivvertrag oder der Einzelzustimmung der betroffenen Person ergeben.

  • Treu und Glauben:
    Die Verarbeitung muss nach Treu und Glauben erfolgen. Dies ist insbesondere bei Interessenabwägungen zu berücksichtigen.

  • Transparenz:
    Die personenbezogenen Daten müssen für die betroffene Person auf nachvollziehbare Weise verarbeitet werden.

  • Zweckbindung:
    Daten dürfen nur erhoben werden, wenn dafür ein legitimer Zweck festgelegt wurde. Die so erhobenen Daten dürfen auch nur für den ursprünglich festgelegten Zweck verarbeitet werden. Ist der neue Zweck mit dem ursprünglichen Zweck nicht vereinbar, so ist neuerlich die Frage nach der Rechtsgrundlage zu stellen.

  • Datenminimierung:
    Nur jene Daten sind zu verarbeiten, die angemessen sind, den festgelegten Zweck zu erreichen. Eine überschießende Datenerhebung oder Verwendung soll dadurch nicht möglich sein.

  • Richtigkeit:
    Die verarbeiteten Daten müssen auf dem neuesten Stand sein.

  • Speicherbegrenzung:
    Die verwendeten Daten dürfen nur solange gespeichert werden, bis der festgelegte Verarbeitungszweck erreicht ist. Nach Ablauf dieser Frist sind die Daten zu löschen oder zu anonymisieren.

  • Integrität und Vertraulichkeit:
    Die verwendeten Daten sollen vertraulich behandelt und geschützt werden.
5.Mit welchen Daten kommt der BR-Fonds in Kontakt?
Überwiegend wird der BR-Fonds „einfache“ personenbezogene Daten, wie Namen, Adressen oder Telefonnummern verarbeiten.

Unter Umständen kann es jedoch vorkommen, dass auch eine „besondere Kategorie von Daten“, also sensible Daten verarbeitet werden. Darunter fallen insbesondere Gesundheitsdaten oder zum Beispiel Daten zur Gewerkschaftszugehörigkeit. Die Verarbeitung dieser Daten wird hauptsächlich bei Auszahlungen auf Grund von Leistungen aus dem Regulativ erfolgen.
6.Hat sich der BR-Fonds die Übernahme der Daten/Belege/Nachweise bestätigen zu lassen?
Eine Bestätigung der Übernahme der Daten muss nicht erfolgen. Auf Grund des Rechtmäßigkeitsgrundsatzes ist jedoch die Rechtsgrundlage für die Verarbeitung zu überprüfen. Auch wenn es gesetzliche Bestimmungen zur Gebarung des BR-Fonds gibt, so ist es derzeit noch unklar, ob diese Bestimmungen als taugliche Rechtsgrundlage anzusehen sind.

Es wird daher angeraten, die Einwilligung des einzelnen betroffenen Mitarbeiters/der einzelnen betroffenen Mitarbeiterin zur Verarbeitung seiner/ihrer Daten einzuholen. Diese Einwilligungserklärung hat freiwillig und zu einem konkreten Zweck zu erfolgen. Darüber hinaus ist der betroffene Mitarbeiter/die betroffene Mitarbeiterin auf sein/ihr Recht, jederzeit grundlos die Einwilligung zu widerrufen, hinzuweisen.
7.Hat der BR-Fonds die Einwilligungserklärung schriftlich aufzuzeichnen?
 Eine schriftliche Einwilligungserklärung ist nicht zwingend notwendig. Im Zuge der in der DSGVO geregelten Rechenschaftspflicht muss jedoch der Datenschutzbehörde gegenüber dargelegt werden, wie die Einwilligung eingeholt wurde. Auch eine mündlich eingeholte Einwilligungserklärung mit dem Hinweis auf die Betroffenenrechte ist daher zulässig.
8.Darf der Betriebsinhaber Einsicht in die Unterlagen des BR-Fonds nehmen?
Der Betriebsinhaber/Die Betriebsinhaberin hat weder ein Einsichtsrecht in die Unterlagen des BR-Fonds, noch in das Register der Verarbeitungstätigkeiten. Nur der internen Rechnungsprüfung sowie den BR-Fonds-Revisoren/-innen der Arbeiterkammern sind die Belege des BR-Fonds offen zu legen. Ein Einsichtsrecht in das Verarbeitungsregister des BR-Fonds besteht nur für die nationale Aufsichtsbehörde, somit in Österreich, für die Datenschutzbehörde.
9.Darf der BR-Fonds Einsicht in das Register der Verarbeitungstätigkeiten des Betriebsinhabers nehmen?
 Ein Einsichtsrecht des Betriebsrates sowie des Betriebsratsfonds in das Verarbeitungsregister des Betriebsinhabers/der Betriebsinhaberin ist nicht vorgesehen. Dieses ist nur der Datenschutzbehörde vorbehalten. Der Betriebsrat kann jedoch sein allgemeines Informationsrecht geltend machen und hat auf diesem Wege die Information über die im Betrieb bestehenden Systeme, die personenbezogene Daten verarbeiten, zu erhalten.
10.Mit welchen Strafen ist zu rechnen, wenn die DSGVO nicht eingehalten wird?
 Die Höchststrafen bei Verletzung der Grundsätze der Datenschutzgrundverordnung betragen bis zu 20 Millionen Euro beziehungsweise 4 Prozent des weltweit erzielten Jahresumsatzes - je nachdem welcher Betrag höher ist.
11.Wie lange darf der BR-Fonds ihm übergebene Unterlagen und Belege aufbewahren, die er für die Auszahlung von Leistungen aus dem BR-Fonds benötigt?
 Die DSGVO sieht keine genauen Löschfristen vor. Sie bestimmt lediglich, dass nach Erfüllung des konkreten für die Verarbeitung maßgeblichen Zwecks die Daten zu löschen sind. Nach den Bestimmungen über die ordnungsgemäße Buchführung sowie abgeleitet aus den Bestimmungen der Betriebsratsfonds-Verordnung (RF-VO) und des Arbeitsverfassungsgesetzes (ArbVG) raten wir vorerst zu einer Aufbewahrungsfrist von 7 Jahren. Danach sind die Daten zu löschen oder zu anonymisieren.
12.Wie sind die Belege/Nachweise vom BR-Fonds zu behandeln?
 Im Zuge der Umsetzung der DSGVO sind jedenfalls Datensicherheitsmaßnahmen zu ergreifen. Es empfiehlt sich die handschriftlichen Belege in versperrbaren Kästen und die digitalen Dokumente durch geeignete Passwörter zu schützen.

Darüber hinaus wird empfohlen, dass Urkunden zum Nachweis für die Auszahlung von Leistungen aus dem BR-Fonds in geschwärzter Form zum Auszahlungsbeleg genommen werden.

Dies bedeutet konkret, dass bei einer Geburtsurkunde lediglich der Name des beantragenden Mitarbeiters/der beantragenden Mitarbeiterin und das Ausstellungsdatum ersichtlich bleiben würden. Die Daten des anderen Elternteiles sowie die Daten des Kindes wären zu schwärzen. Diese Maßnahmen sind deshalb notwendig, um Einwilligungserklärungen zur Verarbeitung dieser Daten von Dritten, in diesem Fall vom anderen Elternteil sowie des betroffenen Kindes durch die Erziehungsberechtigten zu vermeiden.
13.Gibt es Muster oder Hilfsmittel, die der BR-Fonds verwenden kann?
 

Muster für Verarbeitungsverzeichnisse sowie Handlungsempfehlungen zur Umsetzung der DSGVO in der BR-Körperschaft sowie im BR-Fonds finden Sie im Artikel "Datenschutz in der Betriebsratsarbeit".

Muster-Antragsformular auf Leistungen aus dem BR-Fonds

 

Informationen

Weiterführende Informationen finden Sie in der Broschüre „Datenschutz in der Betriebsratsarbeit“ der AK Oberösterreich oder in der FORBA-Publikation „Betriebsratsarbeit im Zeichen der Datenschutzgrundverordnung“.


Das könnte Sie auch interessieren

Verschlüsselte Daten © peshkova, stock.adobe.com

Datenschutz: Das ist neu ab Mai

Die Datenschutzgrundverordnung der EU sowie das Datenschutzgesetz 2018 kommen ab 25. Mai unmittelbar zur Anwendung.

Datenschutz © ktsdesign, Fotolia

Datenschutz in der Betriebsratsarbeit

Ab Mai 2018 ist der Datenschutz in der EU neu geregelt. Hier finden Sie eine Zusammenfassung der neuen Bestimmungen.

  • © 2018 AK Oberösterreich | Volksgartenstrasse 40 4020 Linz, +43 50 6906 0

  • Datenschutz
  • Impressum