Stand: Juli 2019
Dieses Kundeninformationsblatt bietet lediglich einen kurzen Überblick über die wesentlichsten datenschutz- und arbeitsrechtlichen Aspekte, erhebt jedoch keinen Anspruch auf Vollständigkeit der Information über rechtliche Erfordernisse im Zusammenhang mit dem Einsatz der Lohnroboter-Applikation. Das Informationsblatt ersetzt nicht die individuelle Rechtsberatung des Kunden unter Berücksichtigung all seiner rechtserheblichen Umstände. Der Kunde trägt die alleinige Verantwortung, sich vor Inbetriebnahme über alle für den Einsatz der Lohnroboter-Applikation relevanten nationalen und internationalen Rechtsvorschriften zu informieren. Lohnroboter haftet in keiner Weise für die Vollständigkeit, Richtigkeit und Eignung der in diesem Kundeninformationsblatt beinhalteten Informationen.
1. Lohnroboter-ApplikationDie Lohnroboter-Applikation der Infocom GmbH (im Nachfolgenden „Lohnroboter“) basiert auf der Erfassung und Verarbeitung von mitarbeitergenerierten Daten über die Arbeitszeit, Ort der Verrichtung, Abwesenheitszeiten und deren Begründung. Da der Arbeitnehmer Schutzsubjekt des Datenschutzrechteses ist, sind die Prinzipien des Datenschutzrechts auf diesen anzuwenden. Diese Prinzipien finden sich insbesondere in der EU Datenschutz-Grundverordnung (im Nachfolgenden „DSGVO“), welche unmittelbar für die Verarbeitung von personenbezogenen Daten natürlicher Personen anwendbar ist und dem Datenschutzgesetz (Datenschutzanpassungsgesetz 2018, im Nachfolgenden „DSG“).,
2. DOKUMENTATIONS- UND INFORMATIONSPFLICHTEN2.1. Dokumentationspflicht
Der Verantwortliche und gegebenenfalls sein Vertreter führen ein schriftliches Verzeichnis aller Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis hat sämtliche folgenden Angaben zu enthalten:
Auch der Auftragsverarbeiter und gegebenenfalls sein Vertreter haben ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen, die folgende Informationen enthält:
2.2. Informationspflicht bei Datenmissbrauch
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Datenschutzbehörde, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte der betroffenen Personen, um deren Daten es sich handelt, führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
Die Meldung des Verantwortlichen hat zumindest folgende Informationen zu enthalten:
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. Der Verantwortliche dokumentiert die Datenschutzverletzung einschließlich aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte der betroffenen Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
Die Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
3.1. Datenverarbeitung
Die Lohnroboter-Applikation zum Stand des Vertragsabschlusses erhebt keine besonderen Kategorien personenbezogener Daten im Sinne des DSGVO.
Die Verwendung der Daten ist gemäß Art 6 DSGVO grundsätzlich zulässig, wenn der einzelne Arbeitnehmer seine Einwilligung zur Datenverwendung erteilt hat, da in diesem Fall kein „schutzwürdiges Geheimhaltungsinteresse“ des Arbeitnehmers, welches bei einer rechtmäßigen Datenverwendung gewahrt werden muss, mehr gegeben ist. Allerdings ist wichtig, dass eine derartige Einwilligung des Arbeitnehmers jederzeit widerrufen werden kann, wobei der Widerruf eine weitere Verwendung der Daten grundsätzlich unzulässig macht.
3.2. Datenverwendung für statistische Zwecke
Nach § 46 DSG ist des Weiteren die explizite Zustimmung des einzelnen Betroffenen, hier also des einzelnen Mitarbeiters, zur systemimmanenten Auswertung der von den Mitarbeitern eingespeisten Daten erforderlich, da es sich um personenbezogene Daten handelt.
3.3. Weitergabe von Daten
Bei der Lohnroboter-Applikation handelt es sich um eine Cloud-basierten Applikation. Es findet daher eine Datenüberlassung an einen „Cloud Provider“ statt, da die Applikation nicht über den eigenen Server vom Lohnroboter läuft. Auch der Kunde gibt die über die Lohnroboter-Applikation erhobenen Daten an seine Auftragsverarbeiter (zB Steuerberater, Wirtschaftsprüfer, etc) weiter.
Auch der Kunde hat demnach vor Überlassung der durch die Lohnroboter-Applikation erhobenen Daten an seine Auftragsverarbeiter die Pflichten nach Art 28 ff DSGVO zu beachten. Unter anderem ist sicherzustellen, dass der Betroffene, dessen Daten weitergegeben werden, über alle Übermittlungsempfänger, den Zweck der Datenüberlassung und die rechtlichen Rahmenbedingungen der Datenüberlassung umfassend informiert ist und die Möglichkeit hat, der Datenüberlassung zu widersprechen. Auch sieht das Datenschutzgesetz unterschiedliche Voraussetzungen für die Überlassung von Daten an Auftragsverarbeiter im EU-Raum sowie solcher, die ihre Niederlassung außerhalb des EU-Raums haben, vor.
3.4. Aufbewahrungsfristen
Die Höchstdauer der zulässigen Datenaufbewahrung im Personalwesen, besteht grundsätzlich bis zu dem Zeitpunkt an dem die vertragliche Beziehung mit dem Betroffenen beendet ist bzw. solange gesetzliche Aufbewahrungsfristen (etwa aus dem Abgabenrecht) bestehen oder Rechtsansprüche aus dem Arbeitsverhältnis geltend gemacht werden können. Besteht nach Ablauf der oben dargelegten Frist kein anderer gesetzlicher Grund für die Aufbewahrung der Daten (mehr), so sind diese umgehend zu löschen.
4. ARBEITSRECHTLICHE ASPEKTEDie datenschutzrechtlichen Rechtfertigungen der Datenverwendung bzw. die Einwilligung des Arbeitnehmers zur Datenverwendung lassen die nach dem Arbeitsverfassungsgesetz relevanten Zustimmungserfordernisse bzw. Befugnisse des Betriebsrates im Hinblick auf eine Datenverwendung unberührt.
4.1. Erforderlichkeit einer Betriebsvereinbarung
Gemäß § 96a Abs 1 Z 1 ArbVG ist der Abschluss einer Betriebsvereinbarung erforderlich, wenn Systeme zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers eingeführt werden, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen („Personaldatensysteme“).
§ 97 Abs 1 Z 1 ArbVG normiert, dass Maßnahmen, welche das Verhalten der Arbeitnehmer im Betrieb regeln (zB Anwesenheitsprotokollierung), der erzwingbaren Mitbestimmung der Mitarbeiter unterliegen. Aus diesem Grund kann durch den Betriebsrat der Abschluss einer Betriebsvereinbarung über die betreffende Maßnahme erzwungen werden.
Die Lohnroboter-Applikation ist einerseits als Personaldatensystem gemäß § 96a ArbVG, andererseits als Ordnungsvorschrift gemäß § 97 ArbVG zu qualifizieren. In betriebsratspflichtigen Betrieben sowie in solchen Betrieben, die freiwillig einen Betriebsrat installiert haben, bedarf daher der Einsatz der Lohnroboter-Applikation des Abschlusses einer Betriebsvereinbarung gemäß § 96a ArbVG (Einsatz eines Personaldatensystems) sowie gemäß § 97 ArbVG (Einsatz eines Ordnungssystems) bedarf. In Betrieben, die nicht betriebsratspflichtig sind, ist die arbeitsrechtliche Zustimmung jedes einzelnen Mitarbeiters vor Inbetriebnahme der Lohnroboter-Applikation einzuholen.
Ohne Vorliegen der entsprechenden Betriebsvereinbarung darf die Maßnahme nicht durchgeführt werden, allerdings besteht die Möglichkeit, die Schlichtungsstelle anzurufen. Die Zustimmung des Betriebsrates, kann somit durch eine Entscheidung der Schlichtungsstelle ersetzt werden.
5. DUALITÄT VON ARBEITSRECHT UND DATENSCHUTZRECHTDa die arbeitsrechtlichen Bestimmungen jedoch immer parallel zu den datenschutzrechtlichen Voraussetzungen einer Datenanwendung zur Anwendung gelangen, ersetzt die Mitwirkung des Betriebsrates bzw. der Abschluss einer Betriebsvereinbarung nicht eine datenschutzrechtlich erforderliche Einwilligung des Arbeitnehmers.
Es müssen somit vor Einsatz der Lohnroboter-Applikation sowohl die datenschutzrechtliche Einwilligung des einzelnen Anwenders sowie die arbeitsrechtliche Zustimmung im Wege einer Betriebsvereinbarung oder der Individualerklärung des einzelnen Mitarbeiters vorliegen.