Datenschutz trifft HR – was dürfen Arbeitgeber? Interview mit Barbara Bartlmä
Business Circle: Sehr geehrte Frau Dr. Bartlmä, in unserem Seminar „HR-Daten, Erlaubtes und Verbotenes“ bewegen wir uns an der Schnittstelle von Datenschutz und HR-Management. Welche typischen Fallstricke begegnen Ihnen in der Praxis beim Abschluss von Betriebsvereinbarungen zur Verarbeitung von Mitarbeiterdaten?
Barbara Bartlmä: Die Anwendungsbereiche von Betriebsvereinbarungen zur Verarbeitung von Mitarbeiterdaten sind in der Praxis vielfältig – sei es beispielsweise für Videoüberwachung, Fuhrparkmanagement (mit GPS-Ortung), Kontrolle von E-Mail/Internet etc. Ansprechpartner seitens der Unternehmen ist hierbei häufig jemand aus der HR-/Personalabteilung. Klassische Schwierigkeiten und Fallstricke ergeben sich meist daraus, dass diese Personen zwar sehr gut über die arbeitsrechtlichen Themen und Erfordernisse (zB Einbindung des Betriebsrats) informiert sind, aber freilich keine „Datenschutzexperten“ sind, sodass sie ihrerseits auf den fachlichen Input und die Auskünfte der IT-Abteilung (zB über Funktionsweise der umzusetzenden Systeme) angewiesen sind. Das „Aufarbeiten des Sachverhalts“ innerhalb des Unternehmens (wie zB nun ein konkretes System funktioniert, welche Daten erfasst/verarbeitet werden, wo die Daten gespeichert werden, wer darauf Zugriff hat) ist oft die erste Hürde bei Gestaltung einer entsprechenden Betriebsvereinbarung. In weiterer Folge können sich natürlich auch Schwierigkeiten in den eigentlichen Verhandlungen mit dem Betriebsrat zum Abschluss einer Betriebsvereinbarung ergeben.
BC: Zum Thema E-Mail- Nutzung am Arbeitsplatz: Was passiert mit der dienstlichen E-Mail-Adresse nach dem Ausscheiden eines Mitarbeiters – darf der Arbeitgeber diese weiter nutzen oder gar mitlesen?
Bartlmä: Vieles hängt davon ab, ob man vor dem Ausscheiden des Mitarbeiters den Umgang mit dem E-Mail-Account und der E-Mail-Adresse des Mitarbeiters geregelt hat (zB im Rahmen einer IT-Policy oder einer Betriebsvereinbarung) oder nicht.
Ich empfehle jedenfalls, Regelungen vorzusehen, wonach der Arbeitgeber den E-Mail-Account des ausgeschiedenen Mitarbeiters für einige Zeit weiterhin aktiv halten und einlangende E-Mails darauf prüfen darf, ob es sich um dienstliche Korrespondenz handelt und bejahendenfalls geschäftsbezogene Korrespondenz auch an einen anderen Mitarbeiter/Ansprechpartner weiterleiten darf. Dies sichert, dass geschäftsbezogene Korrespondenz nicht verloren geht. Hierbei sollte auch geregelt werden, dass der ausscheidende Mitarbeiter allenfalls auf Netzwerken des Arbeitgebers gespeicherte private Daten/E-Mails vor seinem Ausscheiden (zB im Beisein der IT) sichern/speichern darf, sodass der Arbeitgeber nach dem Ausscheiden davon ausgehen kann, dass sich keine privaten Daten des Mitarbeiters mehr auf Unternehmens-Netzwerken befinden. Mitarbeiter sollten angehalten werden, in ihrem privaten Umfeld dafür zu sorgen, dass nach ihrem Ausscheiden keine privaten E-Mails mehr an die berufliche E-Mail-Adresse gesendet werden. Sollte dies dennoch geschehen, sollte sich der Arbeitgeber in einer Regelung das Recht zur Löschung von privaten E-Mails vorbehalten.
Hat man hingegen keine Regelung vorab getroffen, ist Vorsicht geboten: Der Arbeitgeber sollte – vor allem dann, wenn eine private Nutzung gestattet war – vor einer allfälligen Löschung von Daten dem Mitarbeiter jedenfalls ausreichend Gelegenheit geben, private Daten zu sichern. Die E-Mail-Adresse des Mitarbeiters sollte nur für kurze Zeit weiterhin aktiv gehalten und dann möglichst rasch stillgelegt werden. Nicht zu empfehlen ist, einlangende E-Mail an einen anderen Mitarbeiter/Kollegen einfach weiterzuleiten. Hier empfiehlt sich eher, eine automatic reply einzurichten, die (wertfrei) darauf hinweist, dass der Mitarbeiter ausgeschieden ist und wer der neue Ansprechpartner ist. Keinesfalls sollten (wegen möglicher Verletzung des Namensrechts) E-Mails vom E-Mail-Account des bereits ausgeschiedenen Mitarbeiters versendet werden.
In Österreich gibt es zum Umgang mit bzw Zugriff auf E-Mail-Accounts von ausgeschiedenen Mitarbeitern bereits ein paar Entscheidungen. Tenor der Gerichte ist hierbei, dass der E-Mail-Account für ein paar Monate weiter aktiv gehalten werden darf, eine automatic reply Funktion eingerichtet werden soll/darf, berechtigte Interessen des Arbeitgebers an der Einsicht in E-Mails (zur Aufrechterhaltung des Betriebs) bestehen und ein ausscheidender Mitarbeiter damit rechnen muss, dass sein Zugang zur EDV/IT gesperrt wird (und hinsichtlich Geheimhaltungsinteressen sogar gesperrt werden muss) und zu geschäftlichen Zwecken Einsicht in das E-Mail-Konto genommen werden kann.
BC: Ab wann berühren technische Kontrollmaßnahmen die Menschenwürde – Gibt es so etwas wie eine Faustregel, ab wann rote Linien überschritten sind?
Bartlmä: Leider nein – eine verlässliche Faustregel gibt es nicht wirklich. Wir bewegen uns in einem „Graubereich“ zwischen Kontrollmaßnahmen, die die Menschenwürde nicht einmal berühren (zB weil sie – wie die Erfassung von Arbeitszeit – gesetzlich vorgeschrieben sind) und Kontrollmaßnahmen, die die Menschenwürde jedenfalls verletzen (wie zB Videoüberwachung in Sanitär- und Umkleideräumen, Leibesvisitationen, key-logger Software, die jeden Tastendruck dokumentiert etc).
Bei der Frage des Berührens der Menschenwürde stellen Gerichte immer wieder auf die Intensität eines Eingriffs ab (Kontrolldichte), sodass auch einzelne Maßnahmen, die für sich genommen „harmlos“ erscheinen mögen, in Summe zu viel sein können, vor allem dann, wenn bei Mitarbeitern das dauernde Gefühl der Überwachung entsteht (zB Videoüberwachung, die sämtliche Bereiche und nicht nur Eingangsbereiche/schutzwürdige Bereiche erfasst). Gerichte untersuchen auch, ob der konkrete Eingriff in die Persönlichkeits- und Freiheitsrechte wirklich notwendig ist (Verhältnismäßigkeit), oder das Ziel der Kontrollmaßnahme nicht mit gelinderen Mitteln erreicht werden kann (zB Arbeitszeiterfassung ja, weil auch gesetzlich geboten, aber nicht im Wege von biometrischen Daten/Daumenabdruck, da herkömmliche Zeiterfassungssysteme ausreichen).
Etliche klassische Tools im HR-Bereich (wie zB Videoüberwachung, GPS-Ortungssysteme für Fuhrpark, Kontrolle von Telefon, E-Mail und Internet, Zutrittskontrollen, Hinweisgebersysteme, die über das HSchG hinausgehen) bedürfen nach Ansicht der Gerichte einer Betriebsvereinbarung, da die Menschenwürde als berührt erachtet wird.
Die gesetzlichen Regelungen hinken der betrieblichen Realität hinterher
BC: In vielen Fällen ist die Zusammenarbeit der Geschäftsführung mit dem Betriebsrat zwingend erforderlich – was passiert, wenn es im Unternehmen – zum Beispiel aufgrund geringer Mitarbeiterzahl oder mangels Betriebsratswahl - keinen Betriebsrat gibt?
Bartlmä: Für manche Anwendungsbereiche (wie zB Kontrollmaßnahmen nach § 96 Abs 1 Z 3 ArbVG) gibt es in betriebsratslosen Betrieben eine gesetzliche „Ausweichvariante“, da § 10 AVRAG (in Anlehnung an eine Betriebsvereinbarung nach § 96 Abs 1 Z 3 ArbVG) den Abschluss einer Einzelvereinbarung mit den einzelnen Mitarbeitern ermöglicht. Handelt es sich allerdings nicht um Kontrollmaßnahmen, sondern die Einführung / Verwendung von Personaldaten- bzw Personalbeurteilungssystemen (§ 96a Abs 1 Z 1 und 2 ArbVG), ist es schwierig: Rechtlich gesehen kann man derartige Maßnahmen nämlich nur bei Bestehen eines Betriebsrats einführen/umsetzen – ist kein Betriebsrat vorhanden, hilft auch keine Einzelvereinbarung. Hier müsste dann argumentiert werden, warum einer der Ausnahmetatbestände in diesen Bestimmungen greift, man also gar keiner Zustimmung des Betriebsrats (und somit keines Betriebsrats) bedarf. In der Praxis werden derartige Fälle aber häufig mangels Bestehens eines Betriebsrats nicht von der Belegschaft beanstandet. Ich persönlich habe den Eindruck, dass sich Mitarbeiter auch nicht besonders an Personaldaten- bzw Personalbeurteilungssystemen stoßen, weil derartige Systeme in der heutigen Zeit einfach „üblich“ geworden sind und man ohne diese Tools nicht auskommt. Die gesetzlichen Regelungen hinken der betrieblichen Realität jedenfalls stark hinterher.
BC: Was raten Sie Unternehmen, die KI-gestützte Systeme einsetzen wollen (und das werden über kurz oder lang alle sein) – welche arbeitsrechtlichen Prüfungen sind notwendig?
Bartlmä: Ob und in welcher Form der Einsatz von KI-gestützten Systemen für ein Unternehmen Sinn macht, muss gut überlegt sein. Der Einsatz derartiger Systeme, so nützlich und hilfreich sie sein können, birgt bestimmte Gefahren und Risiken in sich. Grundsätzlich schuldet ein Arbeitnehmer seine persönliche Arbeitsleistung und ein sorgfältiges Bemühen. Fraglich kann sein, wer die (Arbeits)Ergebnisse überprüft, wenn KI-gestützte Systeme, die nach wie vor fehleranfällig sind, zum Einsatz kommen. Wer haftet hierfür?
Zu empfehlen sind jedenfalls Guidelines bzw Richtlinien über den Einsatz von KI-gestützten Systemen, die ua folgendes regeln sollten: Soll/darf ein Mitarbeiter derartige Systeme überhaupt einsetzen, oder ist der Einsatz untersagt? Für welche Zwecke dürfen derartige Systeme eingesetzt werden? Wer übernimmt die Überprüfung/Kontrolle von KI-Inhalten auf zB Richtigkeit, Verlässlichkeit der Quellen oder ethische Grundsätze? In welcher Form soll Dritten (zB Kunden) gegenüber auf den Einsatz von KI-gestützten Systemen hingewiesen werden? Wie muss auf Geheimhaltungsinteressen geachtet werden (zB keine Eingabe von Geschäftsdaten oder persönlichen Daten bei Recherche, mögliche Anonymisierung von Daten etc)? Ganz wichtig sind natürlich entsprechende Schulungen von Mitarbeitern – einerseits über den Umgang und die praktische Anwendung von KI-gestützten Systemen, andererseits auch über die rechtlichen Rahmenbedingungen.
Sofern KI-Systeme für automatisierte Personalentscheidungen verwendet werden sollen, rate ich zur Vorsicht: Abgesehen davon, dass hierfür eine Betriebsvereinbarung erforderlich sein kann, sollte am Ende des Entscheidungsprozesses eine Person stehen, die automatisierte Ergebnisse überprüft und verifiziert.
BC: Sehr geehrte Frau Dr. Bartlmä, wir danken Ihnen für dieses aufschlussreiche Gespräch. Schön, dass Sie uns schon so lange verbunden sind.
.png)
