Zum Inhalt Zum Hauptmenü

Search form

Autor

Übermittlung von Arbeitnehmerdaten ins Ausland

Datum: 
1998, January 1

Wenn ein österreichischer Arbeitgeber die über seine Arbeitnehmer gespeicherten Daten an eine zentrale Datenbank bei der Konzernmuttergesellschaft im Ausland übermitteln will, sind die Bestimmungen des Datenschutzgesetzes zu beachten. Das gleiche gilt, wenn etwa Schwestergesellschaften im Ausland Zugriff auf die Datenbank des österreichischen Arbeitgebers erhalten sollen (oder indirekt über die zentrale Datenbank der Muttergesellschaft).

In der Folge behandeln wir die österreichischen rechtlichen Rahmenbedingungen für die Durchführung dieses Vorhabens und zeigen, welche konkreten Voraussetzungen für die Zulässigkeit erfüllt sein müssen. Sie finden überblicksweise die für die geplante Datenübermittlung relevanten datenschutz- und arbeitsrechtlichen Vorschriften.

Lediglich der Vollständigkeit halber weisen wir darauf hin, daß sich die folgenden Ausführungen ausschließlich auf die österreichische Rechtslage beziehen.

I. Datenschutzrechtliche Aspekte

Die automationsunterstützte Verarbeitung von personenbezogenen Daten ist in Österreich im Datenschutzgesetz (DSG; BGBl 1978/565 idF BGBl 1994/632) geregelt. Die von Ihrem Unternehmen geplante Übermittlung mitarbeiterbezogener Daten in das Ausland ist zweifelsohne vom Anwendungsbereich des Gesetzes erfaßt.

Gemäß § 33 DSG erfordert die Übermittlung von automationsunterstützt verarbeitete Daten in das Ausland grundsätzlich eine Genehmigung der beim Bundeskanzleramt eingerichteten Datenschutzkommission. Ausgenommen von diesem Genehmigungsvorbehalt sind nur Übermittlungen von Daten in Staaten mit Datenschutzbestimmungen, die gemäß der Gleichwertigkeitsverordnung (BGBl 612/1980) dem österreichischen Datenschutzrecht gleichwertige Regelungen aufweisen. Auf der Grundlage dieser Verordnung sind Datenübermittlungen nach Dänemark, Luxemburg und Norwegen in jedem Fall, und in die Bundesrepublik Deutschland, Frankreich und Schweden hinsichtlich der Daten natürlicher Personen genehmigungsfrei. Die in § 32 Abs 2 DSG vorgesehenen Ausnahmen von der Genehmigungspflicht sind allenfalls zu prüfen, werden hier aber nicht näher erläutert.

Eine Genehmigung für Datenübertragungen in das Ausland ist gemäß § 33 DSG unter den folgenden Voraussetzungen zu erteilen:

a) Zunächst ist erforderlich, daß die betroffenen Daten zulässig iSd § 17 DSG ermittelt und verarbeitet wurden.

Gemäß § 17 DSG ist die Ermittlung und Verarbeitung personenbezogener Daten nur zulässig, soweit



  • Inhalt und Zweck der Datenverarbeitung im berechtigten Zweck des Rechtsträger gedeckt sind; und


  • schutzwürdige Interessen der Betroffenen, insbesondere im Hinblick auf die Achtung ihres Privat- und Familienlebens nicht verletzt werden.

 

Die Ermittlung und Verarbeitung von Daten ist vor allem dann vom berechtigten (dh von der Rechtsordnung anerkannten) Zweck des Rechtsträgers umfaßt, wenn der Rechtsträger die Datenermittlung und -erfassung im Rahmen seiner erlaubten Geschäftstätigkeit benötigt (Duschanek in Datenschutzrecht im Unternehmen 81).

 

Beim Kriterium der Verletzung schutzwürdiger Interessen der Betroffenen kommt es vor allem darauf an, daß nur das Arbeitsverhältnis betreffende Daten - und nicht solche des Privat- oder Familienlebens des Arbeitnehmers - ermittelt oder verarbeitet werden.

 

Die Ermittlung und Verarbeitung von personenbezogenen Daten alleine erfordert keine Genehmigung der Datenschutzkommission. Das Vorliegen der Voraussetzungen des § 17 DSG ist aber im Antrag auf Genehmigung einer Datenübermittlung in das Ausland nachzuweisen.

 

b) Darüber hinaus erfordert § 33 DSG das Vorliegen der allgemeinen Zulässigkeitsvoraussetzungen für Datenübermittlungen gemäß § 18 DSG. Nach dieser Bestimmung ist die Übermittlung von gemäß § 17 DSG ermittelten Daten nur zulässig, wenn

 



  • die Betroffenen der Übermittlung ausdrücklich schriftlich zustimmen; oder


  • die Übermittlung von Daten zum berechtigten Zweck des Rechtsträger gehört; oder


  • die Übermittlung zur Wahrung überwiegender berechtigter Interessen eines Dritten notwendig ist.

 

Bei der Datenübermittlung ins Ausland wird die Einholung schriftlicher Zustimmungen der betroffenen Mitarbeiter notwendig sein, da die beiden anderen Alternativen des § 18 DSG wohl ausscheiden. Die Übermittlung von Daten gehört zum berechtigten Zweck vorwiegend jener Rechtsträger, die sich erwerbsmäßig mit der Datenweitergabe beschäftigen, wie etwa Auskunft oder Adressenverlage (Duschanek, Datenschutzrecht im Unternehmen 88; Dohr-Pollirer-Weiss, Datenschutzgesetz 88). Die geplanten Datenübermittlung dient auch nicht den schutzwürdigen Interessen Dritter.

 

Was den notwendigen Inhalt der schriftlichen Zustimmungserklärung der Mitarbeiter betrifft, verlangt die Datenschutzkommission in ihrer Entscheidungspraxis, daß die übermittelten Datenarten, die Empfänger und der Übermittlungszweck ausdrücklich bezeichnet werden muß. Darüber hinaus verlangt die Datenschutzkommission eine Erklärung in deutscher Sprache.

 

c) Letztlich darf die Genehmigung nicht aus einem der Gründe des § 33 Abs 2 DSG ausgeschlossen sein. Nach dieser Bestimmung ist die Genehmigung zu versagen, wenn

 



  • Bedenken bestehen, daß schutzwürdige Geheimhaltungsinteressen der Betroffenen gefährdet sind; oder


  • der Datenübermittlung öffentliche Interessen einschließlich völkerrechtlicher Verpflichtungen entgegenstehen.

 

Zum Nachweis, daß schutzwürdige Interessen der Betroffenen nicht verletzt werden, verlangt die Datenschutzkommission in manchen Fällen schriftliche Erklärungen der Empfänger der übermittelten Daten, in welchen sich diese verpflichten, die empfangenen Daten nur zu den in der allfälligen Genehmigung der Datenschutzkommission enthaltenen Zwecken zu verwenden. Diese Erklärungen können der Behörde bei Bedarf aber auch nachgereicht werden. Um Bedenken der Datenschutzkommission im Hinblick auf die Verletzung von schutzwürdigen Mitarbeiterinteressen zu zerstreuen, wird man im Genehmigungsantrag jedenfalls zu versichern haben, daß die Datenübermittlung mit keinen Nachteilen für die Mitarbeiter verbunden ist. Es ist aber nicht auszuschließen, daß die Datenschutzkommission darüber hinaus weiter Garantien verlangt.

 

Sollte die von Österreich an die zentrale ausländische Datenbank übermittelten Daten in dieser nochmals grundlegend verarbeitet werden, etwa durch eine weitere ins Gewicht fallende Verarbeitung der übermittelten Daten, müßte man einen zusätzlichen Antrag auf Genehmigung einer Dienstleistung im Ausland gemäß § 34 DSG stellen. In diesem Fall müßte eine schriftliche Erklärung der die zentrale Datenbank verwaltenden Gesellschaft eingeholt werden, in der sich diese zur Einhaltung bestimmter Verpflichtungen zum Schutz der betroffenen Mitarbeiter verpflichtet.



II. Arbeitsrechtliche Aspekte

Neben den datenschutzrechtlichen Bestimmungen sind bei einer automationsunterstützten Verarbeitung und Übermittlung von Mitarbeiterdaten auch die arbeitsrechtlichen Vorschriften des Arbeitsverfassungsgesetzes (ArbVG) zu beachten, die der Belegschaft bestimmte Mitwirkungsrechte bei der Einführung von entsprechenden EDV-Systemen einräumen.

 

Gemäß § 96a Abs 1 Z 1 ArbVG bedarf die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers grundsätzlich der Zustimmung des Betriebsrates in Form einer Betriebsvereinbarung. Keine Zustimmung des Betriebsrates ist jedoch erforderlich

 



  • wenn die betroffenen Daten über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen nicht hinausgehen; und


  • wenn die Verwendung dieser Daten über die Erfüllung von Verpflichtungen des Arbeitgebers nicht hinausgeht, die sich aus Gesetz, Kollektiv- oder Arbeitsvertrag ergeben.

 

Allgemeine persönliche Daten, wie Angaben des Vor- und Zunamens, des Geburtsdatums, der Wohnanschrift und des Familienstandes fallen daher genauso wenig unter das Zustimmungsrecht des Betriebsrates wie jene Daten, zu deren Aufzeichnung der Arbeitgeber gesetzlich verpflichtet ist. Zu letzteren Daten zählen insbesondere Urlaubsaufzeichnungen, Arbeitszeitaufzeichnungen und die Registrierung von Krankenständen (siehe dazu Schrank, ZAS 1990, 37).

 

Sollte die angestrebte Datenübermittlung - zumindest teilweise - unter § 96a Abs 1 Z 1 ArbVG fallen, dürften die betroffenen Daten vor Abschluß einer Betriebsvereinbarung oder einer Entscheidung der Schlichtungsstelle nicht übermittelt werden. Es bestünde auch nicht die Möglichkeit, die Betriebsvereinbarung durch eine einzelvertragliche Regelung mit den Arbeitnehmern zu ersetzen (Holzer, RdA 1988, 316).

 

Wenn in einem Unternehmen kein Betriebsrat eingerichtet ist, stellt sich die Frage, ob eine automationsunterstützte Datenverarbeitung im Hinblick auf § 96a ArbVG überhaupt zulässig ist, da mangels Betriebsrat der Abschluß einer in der genannten Bestimmung vorgesehenen Betriebsvereinbarung gar nicht möglich ist.

 

Soweit ersichtlich, haben die Gerichte zu dieser Frage noch nicht Stellung genommen. In der Lehre wird aber überwiegend vertreten, daß in diesem Fall die Betriebsvereinbarung durch eine individuelle Vereinbarung mit den Arbeitnehmern ersetzt wird.



III. Fragenliste

Für die konkrete Bearbeitung muß man folgfende Fragen klären:

 



  • Welche Daten sind von der geplanten Übermittlung umfaßt? In Frage kommen zB folgende Daten: Name; Personalnummer; Geburtsdatum; Geburtsort; Eintrittsdatum; Austrittsdatum; Geschlecht; Staatsbürgerschaft; Sozialversicherungsnummer und -anstalt; Familienstand; Religion; Urlaube; Arbeitszeit; Arbeitszeitentgelt und -abzüge; Aufwandsentschädigung; Bezüge und Abzüge; gesetzliche und vertragliche Grundlagen der Entgeltberechnung; Sozialleistungen; Dauer des Krankenstandes; Art und Dauer der sonstigen Dienstverhinderung; organisatorische Zuordnung; Art der Arbeit; Arbeitsort; Ausbildung; Dienstgrad.


  • Wie lauten die genauen Firmenbezeichnungen und Anschriften der direkten oder indirekten Empfänger der Daten?


  • Bei welchen der betroffenen österreichischen Gesellschaften ist ein Betriebsrat eingerichet?


  • Werden die an die zentrale Datenbank übermittelten Daten in dieser weiterverarbeitet, und wenn ja in welcher Weise?


  • Haben die betroffenen österreichischen Gesellschaften bereits eine DVR-Registeranmeldung durchgeführt?


  • Sind die zur Übermittlung bestimmten Daten bereits automationsunterstützt verarbeitet oder müssen vor der Übermittlung noch ermittelt und verarbeitet werden?


  • Gibt es schriftliche Zustimmungserklärungen der betroffenen Mitarbeiter?


  • Für den Fall, daß in einer der betroffenen Gesellschaften ein Betriebsrat eingerichtet ist, könnte zusätzlich dessen Zustimmung für die geplante Datenübermittlung erforderlich sein.



III. Allgemeine Hinweise:

Die Datenübermittlung darf nicht durchgeführt werden, bevor sie von der Datenschutzkommission genehmigt wurde. Bei Zuwiderhandeln droht eine Verwaltungsstrafe in Höhe von bis zu S 150.000,-- (§ 50 DSG).

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.



© 2021 · DORDA   PODCAST

we deliver clartity