Betrieblicher Datenschutz - DSGVO Gegenstand und Ziele personenbezogene Daten natürlicher Personen mit „EU-Bezug“ sollen vor (teil)automatisierter /„systematischer“ Verarbeitung geschützt werden
Betrieblicher Datenschutz - DSGVO personenbezogene Daten sind sämtliche Informationen die sich auf identifizierte ODER identifizierbare natürliche Personen beziehen es genügt, dass jemand anderer personenbezogenes Datum zuordnen kann daher auch „pseudonymisierte“ Daten zB Kontonummer anonyme Daten fallen NICHT darunter
Betrieblicher Datenschutz - DSGVO besondere Kategorien personenbezogener Daten („sensible Daten“) zB Gewerkschaftszugehörigkeit, Gesundheitsdaten, sexuelle Orientierung etc. ACHTUNG für diese gelten strengere Schutzbestimmungen / Rechtfertigungsgründe! (Art. 9)
Betrieblicher Datenschutz - DSGVO Verarbeitung sehr weit gefasst: speichern, ändern, übermitteln, ordnen, anpassen, erheben, organisieren, verbreiten … etc. (teil)automatisiert = EDV = Regelfall AUCH systematische Handdateien können darunter fallen
Betrieblicher Datenschutz - DSGVO Grundprinzipien (Art. 5) Rechtmäßigkeit / Treu und Glauben / Transparenz Zweckbindung Datenminimierung Richtigkeit („Aktualität“) Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht
Betrieblicher Datenschutz - DSGVO Rechtfertigungsgründe (Art. 6) grundsätzlich jegliche Verarbeitung personenbezogener Daten verboten AUSSER mind. einer der nachfolgenden Rechtfertigungsgründe liegt vor: Einwilligung des Betroffenen (Art. 7) Vertragsverhältnis mit Betroffenem Rechtliche Verpflichtung des Verantwortlichen Schutz lebenswichtiger Interessen des Betroffenen / eines Anderen Wahrnehmung einer Aufgabe im öffentlichen Interesse / Ausübung öffentlicher Gewalt Berechtigtes Interesse des Verantwortlichen oder eines Dritten
Betrieblicher Datenschutz - DSGVO Rechte der Betroffenen (Art. 12 – 22) - Informations- und Auskunftsrechte - Recht auf Berichtigung - Recht auf Löschung - Recht auf Einschränkung der Verarbeitung - Recht auf Datenübertragbarkeit - Widerspruchsrecht
Betrieblicher Datenschutz - DSGVO Sanktionen Geldbußen bis zu 20 Mill € oder 4% des weltweit erzielten Jahresumsatzes bei Verstößen gegen DS-Grundsätze und Bedingungen für die Einwilligung Verstößen gegen die Rechte der betroffenen Person Verstößen gegen die Bestimmungen betreffend Übermittlung personenbezogener Daten in ein Drittland Geldbußen bis zu 10 Mill € oder 2% des weltweit erzielten Jahresumsatzes bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter Die Pflichten der Zertifizierungsstelle Verstößen gegen die Pflichten der Überwachungsstelle Schadenersatz
Betrieblicher Datenschutz - DSGVO Datenverarbeitung im Beschäftigungskontext spezifischere Vorschriften durch Gesetz oder Kollektivvereinbarungen in den Mitgliedstaaten möglich (Art. 88) Betriebsvereinbarungen als Erlaubnistatbestand iSd DSGVO Bestehende und neue BV‘s müssen im Einklang mit der DSGVO stehen und die zentralen Grundsätze der DSGVO abbilden
Betrieblicher Datenschutz - DSGVO Kontrollrechte des BR (§ 89 ArbVG) Überwachung der geltenden Rechtsvorschriften Informationspflichten des AG gegenüber BR (§ 91 Abs 2 ArbVG) AG muss informieren, welche Arten von personenbezogenen Arbeitnehmerdaten er automationsunterstützt aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht AG muss Überprüfung der Grundlagen für die Verarbeitung und Übermittlung ermöglichen Beratungsrechte BR (§ 92 Abs 1 ArbVG) zumindest vierteljährlich in sozialer, personeller, wirtschaftlicher und technischer Hinsicht
Betrieblicher Datenschutz - DSGVO Mitbestimmungsrechte (§ 96 Abs 1 Z 3 ArbVG) Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der AN, die die Menschenwürde berühren ersatzweise Zustimmung des Gerichtes oder der Schlichtungsstelle ist nicht möglich Mitbestimmungsrechte mit Zwangsschlichtung (§ 96a Abs 1 Z 1 ArbVG) bei Systemen zur automationsunterstützten Ermittlung, Verarbeitung oder Übermittlung von personenbezogenen Daten des AN, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen UND die Verwendung dieser Daten über die Erfüllung von gesetzlichen, kollektivvertraglichen oder arbeitsvertraglichen Verpflichtung NICHT hinausgehen Zustimmung des BR durch Entscheidung der Schlichtungsstelle ersetzbar
Betrieblicher Datenschutz - DSGVO Was sollte BV im Hinblick auf DSGVO berücksichtigen? Zielsetzung bzw. Verwendungszweck Welche personenbezogenen Daten werden ermittelt? Welche personenbezogenen Auswertungen werden gemacht? Welche personenbezogenen Daten werden übermittelt? Wann werden die Daten gelöscht? Rechte des BR (Information, Mitbestimmung, Kontrolle) Rechte der Arbeitnehmer (Einsicht, Richtigstellung, Löschung) Vorgehen bei Einsichtnahme (stufenweise Kontrollverdichtung) Systembeschreibung als Bestandteil der BV
Betrieblicher Datenschutz - DSGVO Sonderstellung BR AG kann die dem BR aufgrund ArbVG zukommenden Rechte nicht mit Hinweis auf Datenschutz aushebeln! Recht auf Datenschutz ist ein höchstpersönliches – Geltendmachung von Ansprüchen steht nur dem Betroffenen zu, nicht dem BR ABER BR hat generelles Interventionsrecht, wenn gegen datenschutzrechtliche Bestimmungen im Betrieb verstoßen wird bzw. diese nicht eingehalten werden Datenschutzbehörde, bei mehr als 3 AN Feststellungsklage beim ASG, Unterlassungsanspruch gegenüber AG „Motivation“ seitens AG hinsichtlich dem Abschluss von BV hinsichtlich § 96 Abs 1 Z 3 bzw. § 96a Abs 1 Z 1 ArbVG Materien steigt drohende Sanktionen BR ist auch Verantwortlicher Erstellung eines Verarbeitungsverzeichnisses (Art. 30)
Betrieblicher Datenschutz - DSGVO Keine Sorge – die Welt wird auch nach dem 25.05.2018 bestehen!