Darf ein Unternehmen personalisierte Geschenkgutscheine verteilen?
DSGVO Art 6-7, 9, 14, 17, 82-83
Ausgangslage - Rechtfertigungsgrund oder Einwilligungserklärung - Datenübermittlung an fremde Unternehmen - Einwilligung kann jederzeit widerrufen werden - Geldstrafe und Schadenersatz droht
Ausgangslage
Ein Arbeitgeber gibt Gutscheine (Einkaufs-, Essens-, Tankgutscheine) an seine Mitarbeiter aus. Diese Gutscheine werden vom Gutscheinprovider ABC ausgestellt. Die Mitarbeiter können diese Gutscheine bei Unternehmen einlösen, die mit dem Unternehmen ABC eine vertragliche Vereinbarung haben ("Vertragspartner").
Die Gutscheine sind nicht anonym, sondern enthalten persönliche Daten über die Mitarbeiter (Name, Personalnummer, Arbeitsort etc.). Bei Verwendung des Gutscheins erfährt der "Vertragspartner" persönliche Daten des Mitarbeiters. Eine anonyme Nutzung des Gutscheins ist nicht möglich.
Die Mitarbeiter haben keine Einwilligung zur Verarbeitung ihrer persönlichen Daten durch den Gutscheinprovider ABC gegeben. Der Arbeitgeber hat die Mitarbeiterdaten an den Gutscheinprovider im guten Glauben weitergegeben, den Mitarbeitern "Gutes zu tun".
Rechtfertigungsgrund oder Einwilligungserklärung
Die Gutscheine enthalten somit personenbezogene Daten gemäß Art 4 DSGVO. Für die Ausstellung der Gutscheine in dieser Form bedarf es daher einer Rechtfertigung gemäß DSGVO.
Ein derartiger Rechtfertigungsgrund könnte - ganz allgemein - eine Rechtsvorschrift, ein Dienstvertrag, ein überwiegendes berechtigtes Interesse des Arbeitgebers (Verantwortlichen) oder eine Einwilligung des Mitarbeiters (Betroffenen) sein (Art 6 DSGVO).
Keine rechtliche Verpflichtung des Arbeitgebers
Ein Unternehmen darf Daten von seinen Mitarbeitern aufgrund einer rechtlichen Verpflichtung verarbeiten. Die Steuerbestimmungen verlangen beispielsweise die Aufbewahrung und Weitergabe von Mitarbeiterdaten zur Prüfung der korrekten Verrechnung der Lohnsteuer. Folglich müssen aus steuerlichen Gründen Daten bis zu sieben Jahre aufbewahrt werden. Eine rechtliche Verpflichtung des Unternehmens über das Versehen von Gutscheinen mit persönlichen Angaben der Mitarbeiter besteht jedoch nicht. Dieser Rechtfertigungsgrund kommt daher nicht in Frage.
Kein berechtigtes Interesse des Arbeitgebers
Der Arbeitgeber könnte auch argumentieren, es sei in seinem berechtigten Interesse die Daten der Mitarbeiter weiter zu geben, da er dadurch vom Gutscheinprovider besonders günstige Rabatte erhalten würde.
Dieses Argument ist zwar grundsätzlich richtig, die DSGVO Art 6 beschränkt jedoch das berechtigte Interesse. Es muss sicher gestellt werden, dass die Datenschutzinteressen der Arbeitnehmer nicht beeinträchtigt sind. Es müssen die berechtigten Interessen des Unternehmens stärker sein als die Grundrechte und Grundfreiheiten der Mitarbeiter (Interessensabwägung).
Durch die Angaben des Arbeitnehmers am Gutschein ist ein anonymer Einkauf nicht mehr möglich, persönliche Daten werden "zwangsweise" gegenüber Dritten offen gelegt. Damit besteht jedenfalls ein Eingriff in die Datenschutzinteressen des Arbeitnehmers.
Das berechtigte - wirtschaftliche - Interesse des Unternehmens für das Versehen der Gutscheine mit persönlichen Daten der Mitarbeiter, wird in diesem Fall gegenüber den Datenschutzinteressen der Arbeitnehmer kein ausreichender Rechtfertigungsgrund sein. Die Interessensabwegung wird zu ungunsten des Arbeitgebers ausfallen.
Vereinbarung im Zuge der Anstellung theoretisch möglich
Zulässig ist auch die Verarbeitung von Mitarbeiterdaten, die für die Erfüllung eines Dienstvertrages erforderlich sind. Zu denken ist an die besondere Bestimmungen bei der Nutzung eines Firmenwagens zu Privatzewecken und ähnliches. Die Rechte und Pflichten von Arbeitgeber und Arbeitnehmer sind in diesem Fall vertraglich vereinbart und können nur gemeinsam geändert werden.
So könnte im Dienstvertrag auch vereinbart werden, dass Geschenk-Gutscheine oder sonstige freiwillige Sozialleistungen nur dann gewährt werden, wenn der Arbeitnehmer mit der Weitergabe bestimmter, im Dienstvertrag genau angeführter Daten an einen Gutscheinprovider einverstanden ist.
Einer der Gründe für diese Vorgangsweise könnten besonders günstige Konditionen für den Einkauf der Gutscheine sein. Sozusagen Datenhandel im Gegengeschäft zu Gutscheinrabatten.
Der ARGE DATEN sind jedoch keinerlei derartige Dienstverträge bekannt und es bestehen auch berechtigte Zweifel, ob ein derartiger Dienstvertragspassus vor dem Arbeitsgericht hält.
Einwilligung des Mitarbeiters erforderlich
Um Mitarbeiterdaten auf Gutscheinen aufzudrucken ist somit eine Einwilligung des Mitarbeiters einzuholen.
Die Einwilligung nach der DSGVO muss gemäß Art. 7 DSGVO für jede Verarbeitung, der sie als Rechtfertigung dienen soll, ausdrücklich erklärt werden. Es muss auch angegeben werden welche Daten zu welchen Zweck an wen verarbeitet und übermittelt werden. Pauschaleinwilligungen á la "das Unternehmen darf Daten weiter geben" sind unzulässig.
Der Arbeitgeber muss den Mitarbeitern über den Zweck der Verarbeitung, über die konkret zu verarbeitenden Daten und ihre jederzeitige Widerrufbarkeit aufklären. Diese Aufklärung muss den Bestimmungen des DSGVO Art. 14 entsprechen.
Einwilligung kann jederzeit widerrufen werden
Hat der Arbeitgeber eine gültige Einwilligung erwirkt, dann muss er mit dem jederzeitigen Widerruf einer Einwilligung rechnen. Derartige Widerrufe können unbegründet und jederzeit erfolgen. Mit dem Widerruf verbunden ist das Recht auf Löschung gemäß Art 17 DSGVO.
Zustimmung ist nicht ersetzbar
Es ist ein weit verbreiteter Irrglaube, dass die verpflichtende persönliche Zustimmung durch eine Betriebsvereinbarung ersetz werden könnte. Die DSGVO verlangt eindeutig und klar eine persönliche Zustimmung jedes Einzelnen. Im Rahmen einer Betriebsvereinabrung könnte jedoch Höhe der Gutscheine, Ausgabemodus, Gültigkeitsdauer oder dergleichen geregelt werden.
Sonderfall unternehmensinterne Gutscheine
Einen Sonderfall stellen unternehmensinterne Gutscheine dar. Ein Arbeitgeber gibt seinen Mitarbeitern in den Geschäften seines Unternehmens einen bestimmten Rabatt oder stellt Einkaufsgutscheine aus.
In diesem Fall werden keine Daten an andere Verarbeiter als dem Arbeitgeber weiter gegeben. Hier kann der Arbeitgeber erfolgreich argumentieren, dass der Gutschein zur Verhinderung des Missbrauchs personalisiert wird und daher ein überwiegendes berechtigtes Interesse besteht. Die Datenschutzinteressen des Arbeitnehmers werden in diesem Fall in den Hintergrund treten, da das Unternehmen nur wenige zusätzliche Informationen erhält.
Dieser Sonderfall kann aber nicht bei besonders schutzwürdigen Daten in Anspruch genommen werden. So dürften Spitäler - ohne Zustimmung der Mitarbeiter - keine Behandlungs-Gutscheine ausstellen und dadurch Einblick in den gesundheitlichen Status der Mitarbeiter erhalten.
Geldstrafe und Schadenersatz droht
Verstöße gegen die unrechtmäßige Datenverarbeitung persönlichen Daten können eine Geldstrafe von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des letzten weltweiten Jahresumsatzes verhängt werden (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde ist für die Verhängung der Geldstrafe zuständig.
Weiters können Betroffene bei materiellen oder immateriellen Schäden Schadenersatz geltend machen (Art 82 DSGVO). Die Zivilgerichte (NICHT die Datenschutzbehörde) sind zuständig für Schadenersatzklagen.
Im Zuge des - ohne Einwilligung - personalisierten Gutscheins könnte mit recht guten Erfolgschancen argumentiert werden, dass der Gutschein de facto nicht ohne unerwünschter Offenlegung persönlicher Daten einlösbar ist und daher keinen Wert hat. Der - nominale - Gutscheinwert könnte als Schaden beim Arbeitgeber eingeklagt werden.
mehr --> Welche Informationspflichten bestehen durch die Datenschutz-Gr...
mehr --> Auskunftsrecht gemäß Datenschutz-Grundverordnung (DSGVO)
mehr --> Darf ein Arbeitgeber Mitarbeiterfotos veröffentlichen?
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Was ist eine gültige Einwilligung (Zustimmung) gemäß DSGVO?
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|
