th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Mitarbeiterdaten nach EU-Datenschutz-Grundverordnung - FAQ

Antworten auf die wichtigsten Fragen

Achtung: Hier kommen nicht nur datenschutzrechtliche, sondern auch arbeits- und sozialrechtliche Bestimmungen zur Anwendung!

  1. Was ist bei der Personalverwaltung intern zu beachten?
  2. Muss ein Personalverrechner das Einverständnis zur Datenspeicherung vom jeweiligen Mitarbeiter des Auftraggebers einholen?
  3. Gibt es Ausnahmen beim Schutz von Mitarbeiterdaten?
  4. Wenn ich von meinen Mitarbeitern das Religionsbekenntnis und die Gewerkschaftszugehörigkeit für die Lohnverrechnung abspeichere und verarbeite. Habe ich dann bereits sensible Daten? Was sind die Folgen?
  5. Bewerberunterlagen werden von Personalunternehmen geschickt - ist die Verschlüsselung hier nötig?
  6. Gilt dieses Webinar auch als erste Einschulung für unsere Mitarbeiter?
  7. Personenbezogene Daten betreffen ja auch Daten von Mitarbeitern. Reicht es aus, wenn ich z.B. im Anstellungsvertrag darauf hinweise, "dass Daten elektronisch verarbeitet werden" und der Mitarbeiter mit dem Vertrag dem zustimmt.
  8. Wenn man Mitarbeitern zu Schulungen anmeldet und personenbezogene Daten bekannt geben muss; ist das noch erlaubt bzw. welche Maßnahmen muss ich im Sinne der DSGVO treffen?
  9. Wir nutzen intern Fahrzeugtracking. Die Daten werden im Betrieb gespeichert. Es ist dadurch nachvollziehbar wann ein Mitarbeiter mit seinem Fahrzeug wo war. Fallen diese Daten unter "sensible" Daten?
  10. Gibt es Vorschriften zur Archivierung der Personaldaten?
  11. Was passiert wenn Mitarbeiter einen Privaten Ordner auf einem Firmen PC haben, muss der auch gesichtet werden?
  12. Wie geht eine Personalvermittlungsfirma mit den Lebensläufen der BewerberInnen um?
  13. Was kann/muss im Dienstvertrag datenschutzrechtlich berücksichtigt werden? Zustimmung zur Datenverarbeitung? Widerrufsrecht bzw Löschungsrecht (im Ausmaß der gesetzlichen Frist?)?
  14. Wie ist mit Daten von Bewerbern, die nicht eingestellt wurden, umzugehen?
  15. Wie lange dürfen Bewerberdaten in Evidenz gehalten werden? Wie sieht es bei (Blind)bewerbungen bezüglich Archivierung/Speicherung aus, um beispielsweise später darauf zugreifen zu können? Wie geht man mit datenschutzkonform mit Initiativbewerbungen um?
  16. Ich bin eine HR Mitarbeiterin und arbeite mit allen Personaldaten (ua. Bankdaten etc) und gebe diese an ein externes Lohnbüro weiter, was muss ich hierbei beachten?
  17. Ich erhalte Mitarbeiterdaten eines Klienten aus der EU zur Bearbeitung und Erledigung von verschiedenen Aufgaben. Was muss ich beachten?
  18. Muss ich mir von meinen Mitarbeiterinnen schriftlich bestätigen lassen, dass sie zum Thema Datenschutz eingeschult wurden?
  19. Wir wollen in unserem Intranet einen Geburtstagskalender unserer Mitarbeiter veröffentlichen. Brauchen wir dazu die Zustimmung der einzelnen Mitarbeiter?
  20. Muss ich die Mitarbeiterdaten (Lohnzettel, Lebensläufe, Zeugnisse u.ä.) speziell schützen?
  21. Müssen in Arbeitsverträgen von Mitarbeitern eigene Passi eingefügt werden, die die Zustimmung personenbezogener Daten einholen?
  22. Muss ich die einzelnen Mitarbeiter fragen, ob ich ein Foto auf der Webseite unter den Ansprechpartnern veröffentlichen darf?
  23. Wir haben als Unternehmer natürlich Kontakt mit Mitarbeitern von Kunden. Müssen wir mit jedem Mitarbeiter des Kunden Vereinbarungen treffen, dass seine Daten bei uns gespeichert werden (Mail, etc), oder reicht eine Vereinbarung mit dem Kunden, welcher Sie auf seine Mitarbeiter überbindet?
  24. Wir sind Personalberater. Zählen Gehaltsangaben von Kandidaten zu den "sensiblen Daten"?
  25. Ich bin eine EPU-Personalvermittlerin und bekomme viele Lebensläufe und Zeugnisse von Bewerbern (auf konkrete Jobs aber auch als Blindbewerbungen). Reicht es, wenn ich in meiner Signatur einen Passus habe, dass die Bewerber mir ihre Daten zur Verfügung stellen.
    Oder brauche ich da eine separate Email mit dem ausdrücklichen Einverständnis des Bewerbers?
  26. Gibt es die gesetzliche Pflicht, die Mitarbeiter nachweislich zu schulen?
  27. Ist bei der Verarbeitung von sensiblen Daten die Einverständnis der Betroffenen Person in jedem Fall gefordert oder kann zB ein auf biometrischen Daten basierendes Zutrittssystem durch eine Betriebsvereinbarung genehmigt werden?

1. Was ist bei der Personalverwaltung intern zu beachten?

Auch die Datenverarbeitung personenbezogener Daten von Mitarbeitern fällt unter die DSGVO. Es sollte hier geprüft werden, auf welcher Grundlage Daten verarbeitet werden (gesetzliche Verpflichtung, für die Dienstvertragserfüllung notwendig, Einwilligung?). Diese Verarbeitung ist genauso wie jede andere im Verarbeitungsverzeichnis auszuweisen.

2. Muss ein Personalverrechner das Einverständnis zur Datenspeicherung vom jeweiligen Mitarbeiter des Auftraggebers einholen?

Da der Personalverrechner üblicherweise auf Basis eines Auftragsverarbeitungsverhältnisses mit dem Auftraggeber (= Verantwortlichen) agiert und der Auftraggeber die Verpflichtung hat, aufgrund des Dienstverhältnisses auch entsprechend korrekt zu entlohnen, ist hierzu keine Einwilligung des jeweiligen Mitarbeiters des Auftraggebers nötig. Allerdings müssen Sie einen schriftlichen Auftragsverarbeitungsvertrag schließen, in welchem u.a. auch über diese Dinge abzusprechen ist. Muster finden Sie hier.

3. Gibt es Ausnahmen beim Schutz von Mitarbeiterdaten?

Ausnahmen iSv Ausnahmen von der DSGVO bestehen nur dann, wenn Daten anonymisiert verarbeitet werden, dh kein Personenbezug zum konkreten Mitarbeiter herstellbar ist.

4. Wenn ich von meinen Mitarbeitern das Religionsbekenntnis und die Gewerkschaftszugehörigkeit für die Lohnverrechnung abspeichere und verarbeite. Habe ich dann bereits sensible Daten? Was sind die Folgen?

Das sind sensible Daten. Für die Verarbeitung derartiger Daten brauchen Sie entweder eine ausdrückliche Einwilligung vom betroffenen Mitarbeiter oder das Erfordernis der Erfüllung gesetzlicher Verpflichtungen. Ersucht etwa der AN den Gewerkschaftsbeitrag über die Lohnverrechnung abzurechnen, ist von einer Zustimmung zur Verarbeitung dieser Daten auszugehen. Gleiches gilt, wenn der AN bspw sein Religionsbekenntnis „Evangelisch“ bekanntgibt, um den Karfreitag als Feiertag iSd Arbeitsruhegesetzes zu erhalten.

5. Bewerberunterlagen werden von Personalunternehmen geschickt - ist die Verschlüsselung hier nötig?

Emails müssen auf Basis der DSGVO nicht zwingend verschlüsselt werden, das ist so nirgends ausgewiesen. Man kann sich aber aus Gründen der Datensicherheit dafür entschließen. Sinnvoll ist die Verschlüsselung jedenfalls bei der Handhabe mit heiklen Daten wie Bankverbindungen, Kreditkartendaten usw, aber natürlich auch bei der Handhabe mit sensiblen oder strafrechtlich relevanten Daten.

6. Gilt dieses Webinar auch als erste Einschulung für unsere Mitarbeiter?

Es ist ein erster Schritt, allerdings dauert das Webinar nur 30 Minuten und bietet nur einen ersten Einblick in datenschutz- und datensicherheitsrelevante Themenstellungen. Wir empfehlen auch, sich das Mitarbeiter-Handbuch auf www.it-safe.at zumindest herunter zu laden und den Mitarbeitern zur Verfügung zu stellen. Auch interne Regelungen wären sinnvoll (zB private Internetnutzung, wohin soll sich der Mitarbeiter mit datenschutzrechtlichen Fragen wenden, usw).

7. Personenbezogene Daten betreffen ja auch Daten von Mitarbeitern. Reicht es aus, wenn ich z.B. im Anstellungsvertrag darauf hinweise, "dass Daten elektronisch verarbeitet werden" und der Mitarbeiter mit dem Vertrag dem zustimmt.

Wohl eher nicht, allein schon deshalb, weil die Einwilligung sehr pauschal abgeholt wird und nicht auf konkrete Datenarten, Zwecke der Verarbeitung etc verwiesen wird. Viele der Verarbeitungsvorgänge im Zusammenhang mit Mitarbeiterndaten werden Ihnen durch Arbeits- und Sozialrecht bzw Kollektivverträge vorgegeben, sind somit „zur Erfüllung einer rechtlichen Verpflichtung erforderlich“ und rechtmäßig gemäß Art 6 DSGVO. 

Weitere Verarbeitungen wie zB die Veröffentlichung der Fotos der Mitarbeiter im Intranet usw sollten Sie im Zweifel allerdings nochmals durch individuelle Einwilligungen absichern.

8. Wenn man Mitarbeitern zu Schulungen anmeldet und personenbezogene Daten bekannt geben muss; ist das noch erlaubt bzw. welche Maßnahmen muss ich im Sinne der DSGVO treffen?

Ja, das ist noch erlaubt. Es sollten nur so viele Daten weitergegeben werden, wie konkret für den Zweck notwendig (Anmeldung zur Schulungsmaßnahmen) und sichergestellt werden, dass Daten nicht weitergegeben werden.

9. Wir nutzen intern Fahrzeugtracking. Die Daten werden im Betrieb gespeichert. Es ist dadurch nachvollziehbar wann ein Mitarbeiter mit seinem Fahrzeug wo war. Fallen diese Daten unter "sensible" Daten?

Es sind personenbezogene Daten, allerdings keine sensiblen Datensätze.

10. Gibt es Vorschriften zur Archivierung der Personaldaten?

Es gibt einige Vorschriften im Arbeitsrecht, wie lange Daten aufbewahrt werden müssen (zB Dienstzeugnisses nach § 1163 iVm § 1478 ABGB: 30 Jahre). Wie Daten archiviert werden, gibt das Gesetz allerdings nicht vor.

11. Was passiert wenn Mitarbeiter einen Privaten Ordner auf einem Firmen PC haben, muss der auch gesichtet werden?

Private Datenverarbeitungen von Mitarbeitern würden nicht in die DSGVO fallen, allerdings wäre es natürlich ein Problem, wenn der Arbeitgeber (IT oÄ) auf die Daten zugreifen kann. Bzgl. der Zulässigkeit privater Nutzung der Betriebs-EDV sollte es idealerweise klare Vereinbarungen und Vorgaben geben.

12. Wie geht eine Personalvermittlungsfirma mit den Lebensläufen der BewerberInnen um?

Lebensläufe sind personenbezogene Datensätze iSd DSGVO. Dh Sie haben diese Art der Datenverarbeitung im Verarbeitungsverzeichnis zu protokollieren, Sicherheitsmaßnahmen zu implementieren, etc. Es gibt keine Sondervorschriften für diese Art der Datenverarbeitung.

13. Was kann/muss im Dienstvertrag datenschutzrechtlich berücksichtigt werden? Zustimmung zur Datenverarbeitung? Widerrufsrecht bzw Löschungsrecht (im Ausmaß der gesetzlichen Frist?)?

In dieser Generalität nicht zu beantworten. Die wesentlichen Punkte der Datenverarbeitung, zB zu Zwecken der Personalverrechnung, sind gesetzlich legitimiert und bedürfen keiner weiteren Zustimmung.

Die allenfalls notwendigen Zustimmungserklärungen hängen von der Situation im Einzelfall ab.

14. Wie ist mit Daten von Bewerbern, die nicht eingestellt wurden, umzugehen?

Die „Speicherbegrenzung“ (gemäß Art 5 Abs 1 lit e DSGVO) bedeutet, dass Daten nur solange gespeichert werden dürfen, als dies erforderlich ist. Wird ein Bewerber abgelehnt, kann eine Aufbewahrung jedenfalls noch 6 Monate argumentiert werden (Frist zur Geltendmachung von Ansprüchen nach §§ 15 Abs 1 und 29 GlBG wegen Diskriminierung bei Bewerbungen: 6 Monate ab Ablehnung der Beförderung bzw der Bewerbung). Möchte man Bewerberdaten länger speichern, ist dazu die Zustimmung des Bewerbers einzuholen.

15. Wie lange dürfen Bewerberdaten in Evidenz gehalten werden? Wie sieht es bei (Blind)bewerbungen bezüglich Archivierung/Speicherung aus, um beispielsweise später darauf zugreifen zu können? Wie geht man mit datenschutzkonform mit Initiativbewerbungen um?

Die Frist zur Geltendmachung von Ansprüchen nach §§ 15 Abs 1 und 29 GlBG wegen Diskriminierung bei Bewerbungen beträgt 6 Monate ab Ablehnung der Beförderung bzw der Bewerbung. Sollte eine Evidenzhaltung danach geplant sein, muss das im Einzelfall mit einem „berechtigten Interesse“ des Unternehmens begründet werden können oder man holt sich die Einwilligung ein. Bei einer Initiativbewerbung/ Blindbewerbung kann das Unternehmen/ der Personalvermittler wahrscheinlich sogar mit einer längeren Aufbewahrungsfrist argumentieren, da der Bewerber sich nicht auf einen konkreten Posten bewirbt, sondern wohl (zumindest schlüssig) die Evidenzhaltung wünscht.

16. Ich bin eine HR Mitarbeiterin und arbeite mit allen Personaldaten (ua. Bankdaten etc) und gebe diese an ein externes Lohnbüro weiter, was muss ich hierbei beachten?

Es muss hierbei ein schriftlicher Auftragsverarbeitervertrag mit dem externen Lohnbüro geschlossen werden. Muster finden Sie hier.

17. Ich erhalte Mitarbeiterdaten eines Klienten aus der EU zur Bearbeitung und Erledigung von verschiedenen Aufgaben. Was muss ich beachten?

Es muss hierbei ein schriftlicher Auftragsverarbeitervertrag mit dem externen Lohnbüro geschlossen werden. Muster finden Sie hier.

18. Muss ich mir von meinen Mitarbeiterinnen schriftlich bestätigen lassen, dass sie zum Thema Datenschutz eingeschult wurden?

Eine schriftliche Bestätigung ist wohl weniger sinnvoll, wie der tatsächliche Nachweis einer Schulung, wie zB Zeugnisse externer Anbieter, Anwesenheitsbestätigungen interner Schulungen etc.

19. Wir wollen in unserem Intranet einen Geburtstagskalender unserer Mitarbeiter veröffentlichen. Brauchen wir dazu die Zustimmung der einzelnen Mitarbeiter?

Ja, in diesem Fall sollten Sie sich eine Einwilligung einholen.

20. Muss ich die Mitarbeiterdaten (Lohnzettel, Lebensläufe, Zeugnisse u.ä.) speziell schützen?

Es sind keine speziellen Datenschutzmaßnahmen im Arbeitsrecht vorgeschrieben. Bei heiklen, aber v.a. sensiblen Daten wäre aber natürlich das Augenmerk auf die Sicherheit der Daten zu erhöhen.

21. Müssen in Arbeitsverträgen von Mitarbeitern eigene Passi eingefügt werden, die die Zustimmung personenbezogener Daten einholen?

Nein, es kann jedoch eine Möglichkeit sein, eine datenschutzrechtliche Einwilligung, sofern nötig, einzuholen. Dabei ist jedoch das „Kopplungsverbot“ zu beachten. Es kann kritisch sein, die Zustimmungserklärung als Teil des Arbeitsvertrages aufzunehmen, da der Mitarbeiter somit nur den Job erhält, wenn er auch die Zustimmung erteilt. Es ist vermutlich sinnvoller, die Zustimmungserklärungen separat zu regeln.

22. Muss ich die einzelnen Mitarbeiter fragen, ob ich ein Foto auf der Webseite unter den Ansprechpartnern veröffentlichen darf?

Man könnte auch argumentieren, dass das Unternehmen ein berechtigtes Interesse hat, das Foto der Mitarbeiter hier zu veröffentlichen. Auf Nummer sicher gehen Sie allerdings, wenn Sie sich die Einwilligung hierzu einholen.

23. Wir haben als Unternehmer natürlich Kontakt mit Mitarbeitern von Kunden. Müssen wir mit jedem Mitarbeiter des Kunden Vereinbarungen treffen, dass seine Daten bei uns gespeichert werden (Mail, etc), oder reicht eine Vereinbarung mit dem Kunden, welcher Sie auf seine Mitarbeiter überbindet?

Es reicht eine Vereinbarung mit Ihrem Kunden.

24. Wir sind Personalberater. Zählen Gehaltsangaben von Kandidaten zu den "sensiblen Daten"?

Nein.

25. Ich bin eine EPU-Personalvermittlerin und bekomme viele Lebensläufe und Zeugnisse von Bewerbern (auf konkrete Jobs aber auch als Blindbewerbungen). Reicht es, wenn ich in meiner Signatur einen Passus habe, dass die Bewerber mir ihre Daten zur Verfügung stellen. Oder brauche ich da eine separate Email mit dem ausdrücklichen Einverständnis des Bewerbers?

Nein, in diesem Fall ist die Einwilligung wohl auch dadurch gegeben, dass die jeweiligen Personen Ihnen die Lebensläufe zuschicken. Allerdings haben Sie über die Datenverarbeitung (hier eben die Speicherung) zu informieren. Es würde sich ein Verweis in Ihrer E-Mail Signatur auf eine allfällige Datenschutzerklärung auf Ihrer Website anbieten (Muster im Online-Ratgeber).

26. Gibt es die gesetzliche Pflicht, die Mitarbeiter nachweislich zu schulen?

Die Belehrung von Mitarbeitern über das Datengeheimnis ist in § 6 des österreichischen Datenschutz-Anpassungsgesetzes konkret angesprochen. Wie diese Belehrung auszusehen hat, bzw welche Schulungsmaßnahmen sinnvoll sind, ergibt sich aus dem jeweiligen Unternehmen selbst. Tipps und Vergleiche können Sie sich unter www.it-safe.at holen!

27. Ist bei der Verarbeitung von sensiblen Daten die Einverständnis der Betroffenen Person in jedem Fall gefordert oder kann zB ein auf biometrischen Daten basierendes Zutrittssystem durch eine Betriebsvereinbarung genehmigt werden?

Die Frage der Zulässigkeit bzw die notwendigen Maßnahmen sind im Einzelfall von der Konstellation abhängig. Wenn ein legitimer Rechtfertigungsgrund vorliegen sollte (zB Zutritt zu Hochsicherheitstrakt/-labor etc), ist eine Umsetzung dieser Maßnahme auch ohne Zustimmung denkbar. Fehlt diese Legitimation (zB Zeiterfassung mittels Biometrie) liegt eine Kontrollmaßnahme vor, die die Menschenwürde berührt und wäre entweder eine Betriebsvereinbarung notwendig oder ohne Betriebsrat die Zustimmung des einzelnen Arbeitnehmers.

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.