6) Die Übermittlung automationsunterstützt verarbeiteter Personaldaten

Die Übermittlung automationsunterstützt verarbeiteter Personaldaten wird grundsätzlich unter Aufführung mannigfaltiger Ausnahmen durch § 18 DSG verboten. Die Übermittlung ist möglich, wenn der Betroffene der Übermittlung ausdrücklich zugestimmt hat, wenn die Übermittlung der Daten zum “berechtigten Zweck” (§ 17 DSG) des Datenverarbeitenden gehört[1]) oder die Übermittlung zur Wahrung überwiegender Interessen eines Dritten notwendig ist. Ausnahmen gelten auch hinsichtlich gesetzlicher Übermittlungspflichten[2]), vorvertraglicher Aufklärungspflichten[3]) und gesellschaftsrechtlicher Auskunftsrechte.

Nicht als Übermittlungsvorgang im Sinne des DSG wird die Weitergabe von Daten an Dienstleistungsunternehmen (Rechenzentren, Steuerberater, Rechtsanwälte, Betriebsberater, Kreditinstitute) verstanden, soweit die Daten dort nur für die in Auftrag gegebene Leistungserbringung verwendet werden. Dort ist aber für eine entsprechende Wahrnehmung der Geheimhaltungspflicht durch den Auftragnehmer zu sorgen (§ 19 DSG). Wieweit eine Auskunftserteilung über einen Arbeitnehmer zugunsten “berechtigter Interessen” eines Dritten (§ 18 Abs 1 Z 3 DSG) ansonsten erlaubt ist, muss in einer Interessenabwägung im Einzelfall geklärt werden. Diese Prüfung muss anhand des § 17 DSG erfolgen und wird im Zweifel einer ausdrücklichen schriftlichen Zustimmung[4]) des Betroffenen bedürfen (§ 18 Abs 1 Z 1 DSG).[5])

Durchaus nicht unproblematisch ist auch die Übermittlung von Personaldaten innerhalb von Konzernen und anderen Unternehmensverflechtungen.[6]) In der Regel wird eine Berufung auf gesellschaftliche Informationsrechte auf Grund der Beteiligungsverhältnisse (§ 18 Abs 2 DSG) bzw aus einem überwiegenden “berechtigten Interesse” (§ 18 Abs 1 Z 3 DSG) heraus – zB bei Organgesellschaften mit gemeinsamer Gewinn- und Verlustbeteiligung – möglich sein.

Soweit betriebsintern die Übermittlung erlaubt ist, muss noch ein Augenmerk auf die Datensicherung geworfen werden. Hier geht es insbesondere um die Ergreifung ausreichender Sicherungsmaßnahmen zur Gewährleistung der gesetzlich gebotenen Geheimhaltung von Daten (§ 21 DSG). Diese Sicherung[7]) kann durch personelle Maßnahmen wie entsprechende Dienstvorschriften, Zuständigkeitsregelungen, Belehrung über den Inhalt des Datenschutzes, Zutrittsregelungen, Identifikationsmethoden usw und durch organisatorische Maßnahmen wie zB durch die Einrichtung einer Datenbenützungsordnung, die genau festlegt wer eine Zugriffsberechtigung hat, erreicht werden.[8])

[1]) Hier könnte man an Fälle wie die Übermittlung von Daten anlässlich einer Schulung des Arbeitnehmers oder anlässlich einer Überlassung von Arbeitskräften an einen anderen Arbeitgeber denken (Leiharbeit).

[2]) Marhold, Datenschutz und Arbeitsrecht (1986) 27 ff.

[3]) Koziol - Welser, Grundriss des bürgerlichen Rechts I5, 173 (“culpa in contrahendo”).

[4]) Kuderna, Die Zustimmung des Betroffenen zur Übermittlung von Daten, DRdA 1992, 424: “Die Zustimmungserklärung muss schriftlich und ausdrücklich abgegeben werden. Dies bedeutet, dass eine schlüssige oder gar stillschweigende Willenserklärung diesem Erfordernis widerspricht.”

[5]) vgl auch Duschanek, Arbeitsverhältnis und Datenschutz, ZAS 1983, 90.

[6]) zu diesen Fragen Duschanek, Geheimnisschutz und Datenschutzgesetz, in : Ruppe, Geheimnisschutz im Wirtschaftsleben (1980) 311.

[7]) Gem § 21 Abs 3 können ÖNORMen über das Mindestmaß von Datensicherungsmaßnahmen mit Verordnung des Bundeskanzlers verbindlich gemacht werden.

[8]) Duschanek, Arbeitsverhältnis und Datenschutz, ZAS 1983, 91.