neue Datenanwendungen und Empfängerkreise in Standardanwendungen entdeckt
Es gibt in Österreich die Pflicht, jede Verwendung personenbezogener Daten zu melden, in besonderen Fällen auch vorab prüfen zu lassen. Die Datenverwendungen werden dann ins Datenverarbeitungsregister (DVR) eingetragen. Damit nicht jede Kleinigkeit gemeldet werden muss, gibt es bestimmte Verwendungen, die mit bestimmten Daten gemacht werden dürfen, ohne vorher zu melden. Welche das sind, sind in den “Standard- und Musteranwendungen” festgehalten.
Eine dieser Standardanwendungen bestimmt beispielsweise, was Vereine mit ihren Mitgliederdaten machen dürfen, ohne dass das extra gemeldet werden muss. In einer anderen ist festgelegt, welche personenbezogenen Daten zur Personalverwaltung in der Privatwirtschaft verwendet werden dürfen – das ist die so genannte SA 002.
Die Standardanwendungen werden immer wieder “aktualisiert”, das heißt in der Praxis: ausgeweitet, sodass mehr Daten ohne Meldung verwendet werden dürfen (wie in diesem Blog bereits berichtet wurde), weil immer wieder neue Datenbegehrlichkeiten von verschiedenen Seiten – mitunter auch seitens der UnternehmerInnen – geäußert werden.
Und jetzt is scho wieder was passiert….
Diesmal betrifft es die BewerberInnendaten. Die darf der/die ArbeitgeberIn jetzt auch ohne weitere Meldeverfahren sammeln. Alles unter der Prämisse, dass die BewerberInnen diese Daten auch “freiwillig” zur Verfügung stellen – wobei es angesichts des Machtgleichgewichtes bei einem Bewerbungsgespräch sicherlich gut vorstellbar ist, dass BewerberInnen Fotos, Testergebnisse und dergleichen ihrem/ihrer zukünftigen ArbeitgeberIn vorenthalten.
Diese Daten der potentiellen Mitarbeiterinnen dürfen nun ohne Meldung beim DVR festgehalten werden:
- Ordnungszahl(en)
- Name
- Geburtsdatum
- Staatsbürgerschaft
- Geschlecht
- Anschrift
- Telefonnummer
- E-Mail-Adresse
- Lichtbild
- Ausbildungsdaten
- Berufserfahrung und Lebenslauf
- Angestrebte Beschäftigung
- Beginn der angestrebten Beschäftigung
- Sprachkenntnisse
- Spezielle Berufserfordernisse
- Testergebnisse
Einen Pluspunkt hat die Sache: Diese BewerberInnen-Daten dürfen nicht weitergegeben werden – das müsste dann wiederum extra gemeldet werden und bräuchte somit einen guten Grund.
Dass einige dieser Daten erforderlich sind für Bewerbungen, steht außer Streit, es geht darum, dass insbesondere die beiden letzten Punkte wenig konkret sind und somit Tür und Tor für unsinnige Abfragen öffnen.
Die Angabe “spezielle Berufserfordernisse” könnte sehr weitreichend interpretiert werden, da es auch ja offenbar nicht um die allgemeinen Voraussetzungen für die offene Stelle handelt, sondern eben um “spezielle”. Eine nähere Erläuterung, was darunter zu verstehen ist, täte der Standardanwendung sicherlich gut.
Und die Angabe “Testergebnisse” ist höchst problematisch, weil nicht festgelegt ist, ob es sich um Wissenstests, psychologische Eignungstest oder gar medizinische Tests handelt. Reine Wissensabfragen, die Bezug nehmen auf die voraussichtlichen Arbeitsaufgaben, mögen noch sinnvoll erscheinen. Psychologische Tests stellen sich schon problematischer dar, weil sie entweder “no-na-ned-Ergebnisse” produzieren (“geraten sie rasch in Wut?” “Ja, und dann brülle ich meine Vorgesetzten an”) oder unklare Fragen stellen, die die Befragten in die Irre führen (“Könnten sie sich vorstellen, in fünf Jahren das Unternehmen zu verlassen” “jein”). Gesundheitstest wiederum fallen in die Kategorie “sensible Daten”, sind folglich genehmigungspflichtig (außerdem bezüglich Gen-Tests sowieso völlig verboten, § 67 Gentechnikgesetz) und ihre Ergebnisse unterliegen einer ärztlichen Schweigepflicht. Sie sind nur in den wenigsten Fällen tatsächlich zur Berufsausübung notwendig.
Und ganz nebenbei wurde noch ein neuer Empfängerkreis eingefügt: die “Kunden und Interessenten des Auftraggebers”. Denen dürfen nun alle betrieblichen Kontaktdaten (Fon, Fax, Mobile, Mail, etc.) sowie die organisatorische Zuordnung der MitarbeiterInnen bekannt gegeben werden. Brauchen die das? (eine Anfrage an Radio Jerewan…)
Danke für die Information. Und was geschieht nun weiter?
Laut DSG dürfen die Daten ja nur so lange gespeichert werden, also sie für deren Zweck gebracht werden, also nur während des Bewerbungsverfahrens. Nachher müsste das Unternehmen fragen, ob es die Daten weiter in Evidenz halten darf.
LG
Mag. Ing. Martin Mair
Obmann “AKTIVE ARBEITSLOSE”
Lieber Martin Mair,
das mit dem DSG und der Speicherdauer sehe ich ganz genau so. ArbeitgeberInnen, die Daten von BewerberInnen für ein Arbeitsverhältnis weiter behalten wollen, müssen bei bestimmten Daten (z.B. Testergebnisse, sensible Daten) eine Zustimmung der Betroffenen einholen. Bei bestimmten Daten wiederum brauchts die Zustimmung des Betriebsrates (vgl. §§96, 96a und 97 ArbVG oder z.B. http://blog.gpa-djp.at/arbeitundtechnik/2010/03/02/regelungserfordernisse-der-internetnutzung-am-arbeitsplatz-und-erweiterung-um-web-2-0-aspekte/#comments). Manche dürfen sie einfach so verwenden – für bestimmte Zwecke – (z.B. was sie für die Personalverwaltung wirklich brauchen) und bei wieder anderen geht sie das gar nix an (z.B. sensible Daten nach §4 Z 2 DSG oder genetische Aussagen).