Umfassendes WKO Informationspaket
www.wko.at/datenschutz
2 Online-Ratgeber
Checklisten und Muster
Broschüre und Merkblätter
Präsentationsfilm über die Vorträge
Webinare
Veranstaltungen
Geförderte Beratung über Förderprogramm KMU digital
2
www.wko/datenschutz
Musterdokumente und –verträge:
Vereinbarung über Auftragsverarbeitung
Musterverarbeitungsverzeichnis und Anwendungsbeispiele für Verantwortliche und
Auftragsverarbeiter
Musterschreiben zur Auskunftserteilung
Mustermeldung an Aufsichtsbehörde bei Verlust der Kontrolle über Daten
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten
betroffenen Person
Information und Beratung
T 05-90909
wko.at/datenschutz
3
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Personalverwaltung & Datenschutz
Was ändert sich am 25.05.2018 ?
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
RA Dr. Thomas Schweiger, LL.M. (Duke)
Rechtsanwalt in Linz seit 09.09.1999
vorwiegend im Bereich Beratung tätig
diverse Publikationen im Bereich Datenschutz & IT-Recht
01/2018: CIPP/E – Certified International Privacy Professional
Spezialgebiet: Datenschutz
www.dataprotect.at
Newsletter zum Datenschutz & Blog auf der Website
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
DSGVO – Herausforderungen
Compliance
Rechenschaftsverpflichtung
Nachweispflicht
umfassende Informationspflichten
Schulung & Training
Dokumentation
Revision & Review
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Arbeitnehmerdaten im Unternehmen• Bewerberdaten
• Personalverwaltung („Personalakt“)
• Personalverrechnung
• Arbeitszeitaufzeichnung
• Ressourcenplanungen
bewusste Verarbeitung von AN-Daten
• Videoüberwachung
• Veranstaltungen (zB Fotos)
• Zugangs- oder Zutrittskontrollen
bewusste Verarbeitung von Daten > AN-Daten
als Nebenprodukt
• Internet & Kommunikationsmittel (Logfiles, Telefon, Mobiltelefon, Email)
• gemeinsames Arbeiten (Sharepoint, Skype for Business ..)
• Firmenfahrzeug (GPS), Office 365, Mitarbeiterbefragung
• Tätigkeiten in der Cloud, Ticketsysteme
• Computer Integrated Manufacturing, Call-Center
personenbezogene Daten als
„Nebenprodukt“ bei Arbeitsprozessen
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
DSGVO <> DSG (ab 25.05.2018) Datenschutz für „juristische Personen“ in Ö? Öffnungsklausel: Kinder – ab 14. Lebensjahr keine Geldbußen für Behörden / öff Stellen Geldbußen (primär): das Unternehmen Ergänzungen zur DSGVO: Datengeheimnis (§ 6)
Bildverarbeitung (§§ 11, 12)
Beschäftigtendatenschutz (Verweis auf das ArbVG)
Straftatbestand (Gewinn-, Schädigungsabsicht)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Was gibt es Neues ?VV (Verz. von Verarbeitungstätigkeiten) / ROPA – Art 30
DSFA (Datenschutz-Folgenabschätzung) / (D)PIA – Art 35 ff
DSB (Datenschutzbeauftragte/r) / DPO - Art 37 ff
DBN (Data Breach Notification) – Art 33 ff
Schadenersatz / Geldbußen – Art. 82, 83 / §§ 29, 30
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Verzeichnis von Verarbeitungstätigkeiten (VV)
Ausnahme: < 250 MA, kein Risiko, Verarbeitung gelegentlich, keine Art. 9 / 10 Daten
Inhalt:
Namen und Kontaktdaten des Verantwortlichen
Zweck(e) der Verarbeitung
Kategorien der betroffenen Personen & Daten
Kategorien der Empfänger
Löschungsfrist
technische u organisatorische Maßnahmen (TOMs)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
technische & organisatorische Maßnahmen
§ 54 DSG (PJ DSRL-Umsetzung)
zehn Maßnahmen
branchenspezifische Maßnahmen
Unterlagen der Wirtschaftskammer:
IT-Sicherheitshandbuch (it-safe.at)
IT- Sicherheitshandbuch für Mitarbeiterinnen und Mitarbeiter (it-safe.at)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Data Breach Notification (DBN)
Verletzung des Schutzes personenbezogener Daten
Verantwortlicher / Auftragsverarbeiter
Meldung an
Aufsichtsbehörde (unverzüglich, binnen 72 h)
betroffene Person (unverzüglich)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Recht-mäßigkeit
Transparenz Zweck(e)
Datenmini-mierung Richtigkeit
Speicher-begrenzung
Integrität & Vertraulichkeit
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Rechtmäßigkeit / Personalverwaltung „allgemeine Daten“
Einwilligung
Arbeitsvertrag
rechtl. (gesetzliche) Verpflichtung
berechtige Interessen
„Daten besonderer Kategorien“ (Art 9) Arbeitsrecht / Recht der sozialen Sicherheit
Arbeitsmedizin / Beurteilung der Arbeitsfähigkeit
Gesetz / Kollektivvereinbarung
geeignete Garantien
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Datenschutz im Beschäftigungskontext (Art 88 DSGVO)Rechtsvorschriften & Kollektivvereinbarungen
Zwecke
Einstellung
Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten
Management, Planung und Organisation der Arbeit
Gleichheit und Diversität am Arbeitsplatz
Gesundheit und Sicherheit am Arbeitsplatz
Schutzes des Eigentums der Arbeitgeber oder der Kunden
Inanspruchnahme von Rechten und Leistungen
Beendigung
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Zweck(e) - PersonalverwaltungVerarbeitung und Übermittlung von Daten für Lohn-,
Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in diesen Angelegenheiten
Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Transparenz / Information / Rechte
Informationsverpflichtung (allgemein)
bei der Erhebung (direkt; Art 13)
nicht bei der betroffenen Person erhobene Daten (Art 14)
Rechte der betroffenen Personen (individuell)
Auskunft, Berichtigung, Löschung, Einschränkung
Datenübertragbarkeit
Widerspruch
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Erfüllung der Informationspflicht beim Personal
Beschäftigte (direkt)
bei Eintritt / Unterfertigung des Dienstzettels/vertrages
keine „Zustimmung“, sondern Information!
Bewerber (direkt)
beim Inserat – Hinweis & Verweis auf Homepage
bei Bewerbungsportal
bei Bewerbungsgespräch
durch aktive Information bei Initiativbewerbung
dritte Personen (Ehegatten, Kinder, sonstige Personen) (indirekt)
sind bei der Erhebung zu informieren (max. 1 Monat!)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Speicherbegrenzung (zeitlich) Löschfristen / Speicherdauer (absolute, relative Angabe
unterschiedl Datenkategorien – unterschiedl Fristen
Personaldaten (generell)?
Dienstzeugnis?
Bewerber ?
andere Daten ?
Fotos Homepage / Mitarbeiterzeitung etc…
Videoüberwachung, Logfiles
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Was müssen Beschäftigte wissen? Datengeheimnis gem. § 6 DSG
Auftragsbezogenheit der Datenverarbeitung
besonderes Augenmerk: Übermittlung von pb Daten
Was ist bei „Anfragen“ zum Datenschutz zu beachten (Leitfaden für Betroffenenrechte)
Wann liegt ein Datenschutzvorfall vor? Was ist zu tun? (Leitfaden Datenschutzvorfälle)
Kenntnis über die zentrale Stelle zu Datenschutzfragen im Unternehmen (D-ICT, D-CERT)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Aktuelles & Judikatureinblicke
Videoüberwachung & Betriebsvereinbarung
Telefonanlage zeichnet Daten auf
GPS-Ortung des Fuhrparks
biometrische Zeiterfassung vs. Zutrittskontrolle
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Videoaufzeichnung (Post/Kundenbereich)
Videoüberwachung in Postfilialen / Kundenbereich
Kontrolle von Beschäftigten – nicht gewollt
erfasster Bereich – kein Arbeitsbereich, aber Zugang
Datenschutzbehörde prüft (zulässig) als Vorfrage
VwGH (23.10.2017) – BV (§§ 96, 96a ArbVG) ist notwendig
keine BV -> Verarbeitung unrechtmäßig
kein BR -> Einzelvereinbarung (§ 10 (1) AVRAG)
unrechtmäßige Verarbeitung – Geldbuße u Schadenersatz
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Aufzeichnung von Telefondaten
Telefonanlage speichert die Daten der Rufnummern der einzelnen Nebenstellen
Kontrollmaßnahme, die die Menschenwürde berührt?
Einführung nur mit Betriebsvereinbarung möglich (!)
keine BV – Unterlassungsklage durch BR ist möglich (!)
kein BR – Einzelvereinbarung gem. § 10 (1) AVRAG)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
GPS-Ortung des Fuhrparks
Daten über Fahrzeuge des Unternehmens / personenbezogene Daten ?
Zweck der Aufzeichnung
Auswertungsmöglichkeiten
Zulässigkeit: datenschutzrechtlich
arbeitsverfassungsrechtlich
sinnvolle Maßnahmen des BR
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
biometrisches Zeiterfassungssystem
Krankenhaus führt Zeiterfassungssystem mit biometrischen Daten ein (Fingerscan)
keine Befassung des Betriebsrates
Betriebsrat klagt auf Unterlassung (mit Antrag auf eV)
AZG: Aufzeichnungspflicht für AG
Problem: gespeicherte „Templates“
Abwägung: Zutrittskontrolle? Zweck
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Spezialteil
Arbeitnehmerdatenverarbeitung in Unternehmen
Was ist zu beachten?
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Regelungen im DSG, ArbVG, AVRAG
DSGVO -> DSG -> ArbVG
Betriebsvereinbarungen im ArbVG
mögliche Datenanwendungen
AVRAG (für betriebsratslose Unternehmen)
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
notwendige Betriebsvereinbarung
zustimmungspflichtige Maßnahmen keine Möglichkeit, die Zustimmung zu ersetzen
§ 96 Abs. 1 ArbVG Einführung von Z 1: betrieblicher Disziplinarordnung Z 2: Personalfragebögen Z 3: Kontrollmaßnahmen und technischen Systemen zur
Kontrolle der Arbeitnehmer, die die Menschenwürde berühren
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
erzwingbare Betriebsvereinbarungnotwendige, ersetzbare BVZustimmung kann durch Schlichtungsstelle ersetzt werden
§ 96a Abs. 1 Z 1 ArbVG: Einführung von Systemen
zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung
von personenbezogenen Daten des Arbeitnehmers,
die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen
© Dr. Thomas Schweiger, LLM (Duke) 24.01.2018 09:06
Danke für die Aufmerksamkeit
dataprotect | Dr. Thomas Schweiger, LL.M. (Duke)
www.dataprotect.at |05 05 10 10| www.s-m-p.at4020 Linz | Huemerstraße 1 | Kaplanhofstraße 2