Datenschutz-Tipps #disAbilityedition

2. Juli 2019

Die Datenschutzgrundverordnung (DSGVO) ist bereits seit über einem Jahr in Kraft, doch noch immer gibt es Unsicherheiten, vor allem im Umgang mit hochsensiblen Daten, wie Behinderung. Ein Expert Round Table des DisAbility Wirtschaftsforum schaffte Abhilfe und erklärte, wie man es richtig macht.

Auf Wunsch einiger Forumsmitglieder lud myAbility Ende Juni zu diesem Thema in das neue Büro zum unternehmensübergreifenden Austausch. Mit der Expertise des Rechtsanwalts und Datenschutz-Experten Dr. Armin Schwabl (CHSH) und einen Input aus der Praxis von Georg Arnold (SAP) wurde der gesamte Lebenszyklus eines Mitarbeiters beleuchtet. Hier können Sie die wichtigsten Resultate nachtlesen.

Darf ich bei Bewerbungen nach Behinderung fragen?

Personenbezogene Daten zu Behinderung und Gesundheit gelten als besondere Datenkategorie und erfordern eine besondere Rechtsgrundlage um sie zu verarbeiten, wie etwa eine ausdrückliche Einwilligung oder Pflichten nach dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes. Gesundheitsdaten dürfen aufgrund der Rücksicht der BewerberInnen abgefragt werden, wenn es die Stelle erfordert (z.B. ungeeignetes Arbeitsumfeld für Asthmatiker). Es ist zu berücksichtigen, dass der/die BewerberIn in der Regel nach arbeitsrechtlichen Bestimmungen nicht wahrheitsgemäß auf Fragen nach einer Behinderung oder nach dem Gesundheitszustand antworten muss.

Weisen Sie die BewerberInnen bereits frühzeitig im Bewerbungsprozess auf Ihre disability-friendly Lösungen hin (z.B. Bevorzugung von Menschen mit Behinderung bei gleicher Qualifikation). Damit zeigen Sie Ihre Offenheit und fördern ein konstruktives Gesprächsklima.
myAbility-Tipp #1

An wen und wie darf ich die Bewerbungsdaten weitergeben?

Es gilt das „Need-to-know-Prinzip“. Die Daten dürfen daher nur an jene Personen weitergegeben werden, die in den Einstellungsprozess involviert sind. Zudem sollte darauf geachtet werden, dass nur jene Daten weitergegeben werden, die auch wirklich relevant für eine Einstellung sind. Es sollte vermieden werden, dass die Daten unnötig vervielfältigt werden (Grundsatz der Datenminimierung). Es empfiehlt sich daher der Einsatz von Datenverarbeitungsprogrammen, die mit Zugriffsrechten arbeiten. So wird eine Weitergabe per Mail o.Ä. vermieden.

Die Experten raten dazu, Daten erst zu erheben, wenn diese wirklich relevant werden. So ist etwa das generelle Kopieren eines Feststellbescheides im Bewerbungsprozess meistens nicht notwendig und ein entsprechender Vermerk im Bewerbungsprotokoll ausreichend. Wenn es zu einer Anstellung kommt, könnten weitere sensible Daten notwendig sein. Diese dürfen dann auch erhoben werden und dann auch (nur) jenen Personen zugänglich gemacht werden, die diese Daten benötigen (z.B. Personalverrechnung).

Achten Sie darauf wie offen der/die BewerberIn selbst mit der eigenen Behinderung umgeht. Sie können so besser abschätzen wie direkt Sie behinderungsbezogenen Fragen stellen können und vermeiden unangenehme Situationen.
myAbility-Tipp #2

Wer darf Zugriff auf Daten während des Arbeitsverhältnisses haben?

Während eines aufrechten Arbeitsverhältnisses dürfen jene auf Daten im Kontext einer Behinderung zugreifen, die die Information zur Erfüllung der Fürsorgepflicht des Arbeitgebers benötigen. Das kann zum Beispiel Kantinenpersonal sein, wenn es darum geht, das Speisenangebot auf Unverträglichkeiten abzustimmen. Wenn es im Unternehmen Personen gibt, die in ihrer Rolle für die Inklusion von Menschen mit Behinderung beauftragt sind (z.B. Behindertenvertrauensperson, DisAbility ManagerIn), dann dürfen auch diesen Personen Daten zur Verfügung gestellt werden, die notwendig sind, um ihre unternehmensinterne Aufgabe wahrzunehmen. In der Praxis ist es wichtig, darauf zu achten, dass nur jene Daten weitergegeben werden, die auch relevant sind. Sollten von MitarbeiterInnen Informationen übermittelt werden, die in keiner Weise relevant für den Arbeitgeber sind (z.B. konkrete Diagnosen), dann sollte man diese ablehnen und nicht speichern.

Die Experten schlagen vor, bei der Weitergabe solcher Daten immer zu vermerken, dass es sich um sensible Daten handelt und man diese nicht zusätzlich herunterladen oder speichern darf und nach Bearbeitung auch wieder löschen sollte.

Binden Sie Ihre unternehmensinternen ExpertInnen bei Unsicherheiten über die Weitergabe spezifischer Daten ein, da z.B. ein Disability Manager besser abschätzen kann, ob diese Daten für die Führungskraft relevant sind oder nicht.
myAbility-Tipp #3

Wann muss ich Daten löschen?

Prinzipiell müssen alle personenbezogenen Daten irgendwann einmal gelöscht werden. Hierfür müssen sich Arbeitgeber überlegen, welche Daten sie für welchen Zeitraum benötigen oder überhaupt aufbewahren müssen (z.B. bis zum Ausscheiden, 6 Monate, 3 Jahre, 7 Jahre usw). Falls steuerrechtlich relevant, sind die mit der Ausgleichstaxe zusammenhängenden Daten für die Dauer von sieben Jahren, gerechnet vom Ende des jeweiligen Kalenderjahres, aufzubewahren.

Die Experten raten, ein detailliertes „Löschkonzept“ zu erstellen und darin die einzelnen Fristen und den Löschprozess detailliert zu dokumentieren.

Informieren Sie die ausgeschiedene Person proaktiv über die Löschung Ihrer personenbezogenen Daten und bieten Sie Ansprechpersonen für Rückfragen an (z.B. Behindertenvertrauensperson).
myAbility-Tipp #4
Impression des Expert Round Table, Publikum und Vortragender

4-Punkte-Check-Liste

Mit dieser 4-Punke-Check-Liste können Sie den richtigen Umgang mit Daten Ihrer MitarbeiterInnen mit Behinderung weitreichend sicherstellen. Bei Unsicherheiten im Kontext Datenschutz & Behinderung sollten Sie sich folgende Fragen stellen:

1) Habe ich mehr Daten als ich benötige?

Ob die Erhebung und Verarbeitung bestimmter Daten notwendig und damit zulässig ist, hängt u.a. von der Phase ab, in der sich das Anstellungsverhältnis aktuell befindet. - Vermeiden Sie daher, unnötige Information zu Behinderungen zu speichern oder abzufragen, wenn Sie diese (noch) gar nicht benötigen. Ganz nach dem Prinzip „Weniger ist SICHERER.“

2) Weiß ich, wer welche Daten benötigt?

Grundsätzlich gilt, dass nur jene Personen Zugang zu personenbezogenen Gesundheitsdaten haben sollen, die diese auch benötigen, um ihre Aufgabe im Unternehmen wahrzunehmen und ihre Fürsorgepflicht zu erfüllen. Achten Sie daher darauf, dass Daten empfängerspezifisch gefiltert werden und nur an jene Personen weitergegen werden, die Sie auch wirklich brauchen. Ganz nach dem „Need-to-know-Prinzip.“

3) Kann Technologie bei der Datenverarbeitung helfen?

Personenbezogene Daten sollten nicht unnötigerweise vermehrt werden, wie dies etwa beim internen Versand via E-Mail passiert. Nutzen Sie daher moderne Technologien wie SAP-Systeme oder Cloudlösungen, um auf der sicheren Seite zu sein. Ganz nach dem Prinzip „Ein sicherer Ort für alle Daten.“

4) Wer kann mir bei Problemen helfen?

Selbstverständlich wird es weiterhin Unsicherheiten bei der Verarbeitung von behinderungsbezogenen Daten geben. Lassen Sie sich daher von unternehmensinternen Experten, wie Ihren Datenschutzbeauftragten oder DisAbiltiy ManagerInnen, beraten. Ganz nach dem Prinzip „Ask the expert!“

Wir bedanken uns bei unserem Premiummitglied REWE International und der Caritas für die Initiierung dieses Expert Round Table.

LOGO REWE International und Caritas

Besonderen Dank gilt den Experten von CHSH Rechtsanwälte und SAP dieses Expert Round Tables.

LOGO CHSH und SAP