Daten­schutz und Betriebs­ratsfonds

Durch die Europäische Datenschutz-Grundverordnung (DS-GVO) kommen tiefgreifende Veränderungen auf Unternehmen und öffentliche Stellen zu. Sie ist unmittelbar anwendbares Gemeinschaftsrecht und derogiert damit bislang bestehende österreichische Gesetze. Die DS-GVO ist im Mai 2016 in Kraft getreten, jedoch erst ab 25. Mai 2018 anwendbar. Die DS-GVO bedürfe grundsätzlich keines weiteren innerstaatlichen Umsetzungsaktes. Da sie aber zahlreiche „Öffnungsklauseln" für den nationalen Gesetzgeber enthält, wird es neben der DS-GVO weiterhin auch ein Datenschutzgesetz (DSG) in Österreich geben.

Bedeutung für den Betriebsratsfonds

Der Betriebsratsfonds ist gemäß Arbeitsverfassungsgesetz (ArbVG) eine eigenständige juristische Person. Daher ist der Betriebsratsfonds, im Sinne der DS-GVO, als Verantwortlicher anzusehen und die Bestimmungen der DS-GVO sind auch für den Betriebsratsfonds anzuwenden.

Bei der Verarbeitung von personenbezogenen Daten muss sich der Betriebsratsfonds an die Grundsätze der DS-GVO halten. Er hat zudem die Datensicherheit und den Datenschutz der von ihm verarbeiteten personenbezogenen Beschäftigtendaten sicherzustellen und dies zu dokumentieren. Die entsprechenden Maßnahmen können technischer und/oder organisatorischer und/oder personeller Art sein.

Empfehlenswert ist daher auch für den Betriebsratsfonds, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dies schafft einen Überblick über die Datenverarbeitungen und der verwendeten Datenkategorien und es können alle Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz dokumentiert werden.

Eine rechtliche Verpflichtung zur Bestellung eines/einer Datenschutzbeauftragten liegt bei den BR-Fonds nicht vor.

Grundsätze der Datenverarbeitung

Bei jeder Verarbeitung von personenbezogenen Daten müssen nach der DS-GVO bestimmte Grundsätze eingehalten werden:

  • Die Daten müssen rechtmäßig, nach Treu und Glauben und transparent (nachvollziehbar) für den Betroffenen verarbeitet werden (Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz). 
  • Die Verarbeitung erfolgt für genau festgelegte, eindeutige und legitime Zwecke (Grundsatz der Zweckbindung). 
  • Die Verwendung ist auf das für die Zwecke ihrer Verarbeitung notwendige Maß zu beschränken (Grundsatz der Datenminimierung). 
  • Die Daten müssen sachlich richtig und wenn nötig auf den neuesten Stand gebracht werden (Grundsatz der Richtigkeit).
  • Die Speicherdauer identifizierbarer Personendaten ist auf das unbedingt erforderliche Mindestmaß zu begrenzen. Neu ist, dass Löschfristen vorzusehen sind. (Grundsatz der Speicherbegrenzung). 
  • Die Verarbeitung muss Sicherheit und Vertraulichkeit der personenbezogenen Daten gewährleisten, geeignete technische und organisatorische Maßnahmen sind vorzusehen (Grundsatz der Integrität und Vertraulichkeit).

Neu ist die sogenannte Rechenschaftspflicht. Das bedeutet, dass der Verantwortliche die Einhaltung der Grundsätze nachweisen muss.

Rechtmäßigkeit der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten muss rechtmäßig sein. Das heißt, es muss ein Erlaubnistatbestand gegeben sein.

Folgende Möglichkeiten bestehen:

  • Eine Datenverarbeitung ist grundsätzlich dann rechtmäßig, wenn die betroffene Person nachweislich ihre Zustimmung (Einwilligung) gegeben hat.  
  • Die Datenverarbeitung ist entweder zu Erfüllung einer vertraglichen Verpflichtung gegenüber der betroffenen Person oder zur Erfüllung einer rechtlichen Pflicht erforderlich.  
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.  
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder anderer natürlicher Personen zu schützen.  
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Verarbeitung von personenbezogenen Daten

Durch den Betriebsratsfonds werden allgemeine personenbezogene Daten, wie Namen, Adressen oder Telefonnummern etc. verarbeitet.

Es kann jedoch auch vorkommen, dass sogenannte „besondere Kategorien" von personenbezogenen Daten, also die „ehemals sensiblen" Daten verarbeitet werden. Darunter fallen insbesondere Gesundheitsdaten oder Daten zur Gewerkschaftszugehörigkeit. Die Verarbeitung dieser Daten wird hauptsächlich im Zuge von Auszahlungen auf Grund von Beschlüssen bzw. auf Basis eines Regulativs, erfolgen.

Werden Auszahlungen auf Grund von Beschlüssen bzw. eines Regulatives an Personen getätigt, so sind gemäß den Richtlinien zur Führung eines Betriebsratsfonds Daten, Belege bzw. bestimmte Nachweise zu erbringen. Eine Übernahme der Daten muss nicht bestätigt werden. Die Rechtsgrundlage für die Verarbeitung ist jedoch, wegen des Grundsatzes der Rechtmäßigkeit (siehe oben), zu prüfen.

Auch wenn es gesetzliche Bestimmungen zur Gebarung des Betriebsratsfonds gibt, so ist es derzeit noch unklar, ob diese Bestimmungen als taugliche Rechtsgrundlage anzusehen sind.

Es wird daher angeraten, die Einwilligung des einzelnen betroffenen Mitarbeiters/der einzelnen betroffenen Mitarbeiterin zur Verarbeitung seiner/ihrer Daten einzuholen. Diese Einwilligungserklärung hat freiwillig und zu einem konkreten Zweck zu erfolgen. Darüber hinaus ist der betroffene Mitarbeiter/die betroffene Mitarbeiterin auf sein/ihr Recht jederzeit grundlos die Einwilligung zu widerrufen hinzuweisen.

Einwilligungserklärung

Eine schriftliche Einwilligungserklärung ist nicht zwingend notwendig. Gemäß der laut DS-GVO vorgesehenen Rechenschaftspflicht muss jedoch der Datenschutzbehörde gegenüber dargelegt werden, wie die Einwilligung eingeholt wurde. Auch eine mündlich eingeholte Einwilligungserklärung mit dem Hinweis auf die Betroffenenrechte ist daher zulässig.

Anders als bei „allgemeinen" personenbezogenen Daten muss die Einwilligung zur Verarbeitung „sensibler" Daten ausdrücklich erteilt werden; eine konkludente Einwilligung ist nicht ausreichend.

Einsichtnahme in Unterlagen des Betriebsratsfonds

Nur der internen Rechnungsprüfung sowie den Betriebsratsfondsrevisoren/innen der Arbeiterkammer sind die Belege des Betriebsratsfonds offen zu legen. Ein Einsichtsrecht in das Verarbeitungsregister des Betriebsratsfonds besteht nur für die nationale Aufsichtsbehörde, somit für die Datenschutzbehörde.

Der Betriebsinhaber/Die Betriebsinhaberin hat weder ein Einsichtsrecht in die Unterlagen des Betriebsratsfonds, noch in das Verzeichnis der Verarbeitungstätigkeiten.

Einsichtnahme in das Register der Verarbeitungstätigkeiten

Ein Einsichtsrecht des Betriebsrates sowie des Betriebsratsfonds in das Verarbeitungsverzeichnis des Betriebsinhabers/der Betriebsinhaberin ist nicht vorgesehen. Dieses ist nur der Datenschutzbehörde vorbehalten. Der Betriebsrat kann jedoch sein allgemeines Informationsrecht geltend machen und hat auf diesem Wege die Information über die im Betrieb bestehenden Systeme, die personenbezogene Daten verarbeiten, zu erhalten.

Befugnisse der Datenschutzbehörde

Die Datenschutzbehörde hat die Einhaltung der DS-GVO zu überwachen und durchzusetzen. Dazu werden ihr umfangreiche Befugnisse eingeräumt. Diese umfassen Untersuchungsbefugnisse, wie etwa Einschau in Datenverarbeitungen und Unterlagen, bei der der Verantwortliche zur Mitwirkung und Unterstützung verpflichtet ist und sogenannte Abhilfebefugnisse. Damit kann die Behörde rechtswidriges Verhalten beenden. Sie kann Warnungen oder Verwarnungen aussprechen, Anweisungen erteilen, rechtswidrige Verarbeitungsvorgänge zu unterlassen oder sogar Verarbeitungen beschränken oder verbieten. Auch Geldbußen können verhängt werden. Dazu kommen Genehmigungsbefugnisse und Beratungsbefugnisse.

Aufbewahrungsfristen/Löschfristen von übergebenen Unterlagen  

Die DS-GVO sieht keine genauen Löschfristen vor. Sie bestimmt lediglich, dass nach Erfüllung des konkreten für die Verarbeitung maßgeblichen Zwecks die Daten zu löschen sind. Nach den Bestimmungen über die ordnungsgemäße Buchführung sowie abgeleitet aus den Bestimmungen der Betriebsratsfonds-Verordnung (BRF-VO) und des Arbeitsverfassungsgesetzes (ArbVG) raten wir vorerst zu einer Aufbewahrungsfrist von 7 Jahren. Danach sind die Daten zu löschen oder zu anonymisieren.

Aufbewahrung der Daten

Zur Umsetzung der DSGVO sind jedenfalls Datensicherheitsmaßnahmen zu ergreifen. Es empfiehlt sich grundsätzlich die handschriftlichen Belege in Kästen zu versperren und die digitalen Dokumente durch geeignete Passwörter zu schützen.

Darüber hinaus wird empfohlen, dass Urkunden zum Nachweis für die Auszahlung von Leistungen aus dem BR-Fonds in geschwärzter Form zum Auszahlungsbeleg genommen werden.

Dies bedeutet konkret, dass bei einer Geburtsurkunde lediglich der Name des beantragenden Mitarbeiters/der beantragenden Mitarbeiterin und das Ausstellungsdatum ersichtlich bleiben würden. Die Daten des anderen Elternteiles sowie die Daten des Kindes wären zu schwärzen. Diese Maßnahmen sind deshalb notwendig, um Einwilligungserklärungen zur Verarbeitung dieser Daten von Dritten, in diesem Fall vom anderen Elternteil sowie des betroffenen Kindes durch die Erziehungsberechtigten zu vermeiden.