Welche MitarbeiterInnendaten dürfen verarbeitet werden? Wo ist die Grenze?

Geburtstagslisten am Schwarzen Brett sind beliebt, oft gibt es mehrere Versionen dieser netten Möglichkeit, über  die persönlichen Verhältnisse der anderen MitarbeiterInnen informiert zu werden. Auch im Intranet, auf der Unternehmens-Website, Facebook-Seite oder der MitarbeiterInnenzeitung finden sich oft „Informationen über das Privatleben“ (zB Baby, Hochzeit …).

Erhebung und Verwendung von personenbezogenen MitarbeiterInnendaten

Aus datenschutzrechtlicher Sicht  stellt die Erhebung von personenbezogenen MitarbeiterInnendaten und deren Verwendung (zB in sogenannten Geburtstagslisten oder Informationen über andere persönliche Verhältnisse) eine Verwendung von persönlichen Daten von MitarbeiterInnen dar.

Datenübermittlung vom Verantwortlichen an andere Empfänger

Werden diese Geburtstagslisten aber öffentlich so zugänglich gemacht, dass auch Personen, die nicht zum eigenen Unter- nehmen oder Organisation gehören, Zugang haben und einsehen können, dann kommt es zu einer Datenübermittlung an einen unbestimmten Personenkreis.

Die Verarbeitung solcher Daten ist – verkürzt wiedergegeben – nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • die betroffene Person hat ihre Einwilligung zu der Verarbeitung gegeben
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder Vertragsanbahnung erforderlich
  • die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

 

Anwendung der gesetzlichen Regelungen bei der Beurteilung der Zulässigkeit

Zweck der Datenverarbeitung

Der Zweck dieser Informationen in den angeführten Beispielen ist es, dass MitarbeiterInnen im Unternehmen über private Ereignisse der KollegInnen informiert werden.

Die Regelungen der DSGVO beziehen sich auch auf die Datenverarbeitung im Beschäftigungskontext. Sie beschreiben ua die Zwecke der Verarbeitung von Daten im Beschäftigungskontext und beziehen sich zB auf den Arbeitsvertrag oder auch die Erfüllung von Rechtsvorschriften sowie die Abwicklung der Arbeitstätigkeit.

In diese Kategorien der von der DSGVO vorgesehenen Zwecke der Datenverarbeitung im Beschäftigungskontext fallen der- artige „private Informationen“ über die beschäftigten Personen nicht.

Datenerhebung für die Personalverwaltung

Der Umfang der Daten, die im Rahmen der Personalverwaltung verarbeitet werden dürfen, wird einerseits:

  • von der „Erforderlichkeit“ der (erhobenen) Daten für die (beiderseitige) Erfüllung des Arbeitsvertrages und andererseits
  • von gesetzlichen Vorschriften (Arbeitszeitaufzeichnung, Urlaubsaufzeichnungen, etc) definiert.

 

Dr. Thomas Schweiger, LL.M (Duke), CIPP/E ist:

  • ausgewiesener Datenschutzexperte
  • zertifizierter Datenschutzbeauftragter (DATB, TÜV)
  • selbständiger Rechtsanwalt bei SMP Schweiger Mohr & Partner Rechtsanwälte OG in Linz und
  • Betreiber der website www.dataprotect.at

Bild: Tim Reckmann/pixelio.de