Kundeninformationsblatt

Stand: Oktober 2021


Dieses Kundeninformationsblatt bietet lediglich einen kurzen Überblick über die wesentlichsten datenschutz- und arbeitsrechtlichen Aspekte, erhebt jedoch keinen Anspruch auf Vollständigkeit der Information über rechtliche Erfordernisse im Zusammenhang mit dem Einsatz der McTime-Applikation. Das Informationsblatt ersetzt nicht die individuelle Rechtsberatung des Kunden unter Berücksichtigung all seiner rechtserheblichen Umstände. Der Kunde trägt die alleinige Verantwortung, sich vor Inbetriebnahme über alle für den Einsatz der McTime-Applikation relevanten nationalen und internationalen Rechtsvorschriften zu informieren. McTime haftet in keiner Weise für die Vollständigkeit, Richtigkeit und Eignung der in diesem Kundeninformationsblatt beinhalteten Informationen.

1. McTime-Applikation

Die McTime-Applikation der Infocom GmbH (im Nachfolgenden „McTime“) basiert auf der Erfassung und Verarbeitung von mitarbeitergenerierten Daten über die Arbeitszeit, Ort der Verrichtung, Abwesenheitszeiten und deren Begründung. Da der Arbeitnehmer Schutzsubjekt des Datenschutzrechteses ist, sind die Prinzipien des Datenschutzrechts auf diesen anzuwenden. Diese Prinzipien finden sich insbesondere in der EU Datenschutz-Grundverordnung (im Nachfolgenden „DSGVO“), welche unmittelbar für die Verarbeitung von personenbezogenen Daten natürlicher Personen anwendbar ist und dem Datenschutzgesetz (Datenschutzanpassungsgesetz 2018, im Nachfolgenden „DSG“).

2. Dokumentations- und Informationspflichten


2.1. Dokumentationspflicht

Der Verantwortliche und gegebenenfalls sein Vertreter führen ein schriftliches Verzeichnis aller Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis hat sämtliche folgenden Angaben zu enthalten:
  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.
Auch der Auftragsverarbeiter und gegebenenfalls sein Vertreter haben ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen, die folgende Informationen enthält:
  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.
2.2. Informationspflicht bei Datenmissbrauch

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Datenschutzbehörde, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte der betroffenen Personen, um deren Daten es sich handelt, führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

Die Meldung des Verantwortlichen hat zumindest folgende Informationen zu enthalten:
  • eine Beschreibung der Art der Datenschutzverletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. Der Verantwortliche dokumentiert die Datenschutzverletzung einschließlich aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte der betroffenen Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Die Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
  • der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

3. Überblick Datenschutz


3.1. Datenverarbeitung

Die McTime-Applikation zum Stand des Vertragsabschlusses erhebt keine besonderen Kategorien personenbezogener Daten im Sinne des DSGVO.

Die Verwendung der Daten ist gemäß Art 6 DSGVO grundsätzlich zulässig, wenn der einzelne Arbeitnehmer seine Einwilligung zur Datenverwendung erteilt hat, da in diesem Fall kein „schutzwürdiges Geheimhaltungsinteresse“ des Arbeitnehmers, welches bei einer rechtmäßigen Datenverwendung gewahrt werden muss, mehr gegeben ist. Allerdings ist wichtig, dass eine derartige Einwilligung des Arbeitnehmers jederzeit widerrufen werden kann, wobei der Widerruf eine weitere Verwendung der Daten grundsätzlich unzulässig macht.

3.2. Datenverwendung für statistische Zwecke

Nach § 46 DSG ist des Weiteren die explizite Zustimmung des einzelnen Betroffenen, hier also des einzelnen Mitarbeiters, zur systemimmanenten Auswertung der von den Mitarbeitern eingespeisten Daten erforderlich, da es sich um personenbezogene Daten handelt.

3.3. Weitergabe von Daten

Bei der McTime-Applikation handelt es sich um eine Cloud-basierten Applikation. Es findet daher eine Datenüberlassung an einen „Cloud Provider“ statt, da die Applikation nicht über den eigenen Server vom McTime läuft. Auch der Kunde gibt die über die McTime-Applikation erhobenen Daten an seine Auftragsverarbeiter (zB Steuerberater, Wirtschaftsprüfer, etc) weiter.

Auch der Kunde hat demnach vor Überlassung der durch die McTime-Applikation erhobenen Daten an seine Auftragsverarbeiter die Pflichten nach Art 28 ff DSGVO zu beachten. Unter anderem ist sicherzustellen, dass der Betroffene, dessen Daten weitergegeben werden, über alle Übermittlungsempfänger, den Zweck der Datenüberlassung und die rechtlichen Rahmenbedingungen der Datenüberlassung umfassend informiert ist und die Möglichkeit hat, der Datenüberlassung zu widersprechen. Auch sieht das Datenschutzgesetz unterschiedliche Voraussetzungen für die Überlassung von Daten an Auftragsverarbeiter im EU-Raum sowie solcher, die ihre Niederlassung außerhalb des EU-Raums haben, vor.

3.4. Aufbewahrungsfristen

Die Höchstdauer der zulässigen Datenaufbewahrung im Personalwesen, besteht grundsätzlich bis zu dem Zeitpunkt an dem die vertragliche Beziehung mit dem Betroffenen beendet ist bzw. solange gesetzliche Aufbewahrungsfristen (etwa aus dem Abgabenrecht) bestehen oder Rechtsansprüche aus dem Arbeitsverhältnis geltend gemacht werden können. Besteht nach Ablauf der oben dargelegten Frist kein anderer gesetzlicher Grund für die Aufbewahrung der Daten (mehr), so sind diese umgehend zu löschen.

4. Arbeitsrechtliche Aspekte


Die datenschutzrechtlichen Rechtfertigungen der Datenverwendung bzw. die Einwilligung des Arbeitnehmers zur Datenverwendung lassen die nach dem Arbeitsverfassungsgesetz relevanten Zustimmungserfordernisse bzw. Befugnisse des Betriebsrates im Hinblick auf eine Datenverwendung unberührt.

4.1. Erforderlichkeit einer Betriebsvereinbarung

Gemäß § 96a Abs 1 Z 1 ArbVG ist der Abschluss einer Betriebsvereinbarung erforderlich, wenn Systeme zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers eingeführt werden, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen („Personaldatensysteme“).

§ 97 Abs 1 Z 1 ArbVG normiert, dass Maßnahmen, welche das Verhalten der Arbeitnehmer im Betrieb regeln (zB Anwesenheitsprotokollierung), der erzwingbaren Mitbestimmung der Mitarbeiter unterliegen. Aus diesem Grund kann durch den Betriebsrat der Abschluss einer Betriebsvereinbarung über die betreffende Maßnahme erzwungen werden.

Die McTime-Applikation ist einerseits als Personaldatensystem gemäß § 96a ArbVG, andererseits als Ordnungsvorschrift gemäß § 97 ArbVG zu qualifizieren. In betriebsratspflichtigen Betrieben sowie in solchen Betrieben, die freiwillig einen Betriebsrat installiert haben, bedarf daher der Einsatz der McTime-Applikation des Abschlusses einer Betriebsvereinbarung gemäß § 96a ArbVG (Einsatz eines Personaldatensystems) sowie gemäß § 97 ArbVG (Einsatz eines Ordnungssystems) bedarf. In Betrieben, die nicht betriebsratspflichtig sind, ist die arbeitsrechtliche Zustimmung jedes einzelnen Mitarbeiters vor Inbetriebnahme der McTime-Applikation einzuholen.

Ohne Vorliegen der entsprechenden Betriebsvereinbarung darf die Maßnahme nicht durchgeführt werden, allerdings besteht die Möglichkeit, die Schlichtungsstelle anzurufen. Die Zustimmung des Betriebsrates, kann somit durch eine Entscheidung der Schlichtungsstelle ersetzt werden.

5. Dualität von Arbeitsrecht und Datenschutzrecht


Da die arbeitsrechtlichen Bestimmungen jedoch immer parallel zu den datenschutzrechtlichen Voraussetzungen einer Datenanwendung zur Anwendung gelangen, ersetzt die Mitwirkung des Betriebsrates bzw. der Abschluss einer Betriebsvereinbarung nicht eine datenschutzrechtlich erforderliche Einwilligung des Arbeitnehmers.

Es müssen somit vor Einsatz der McTime-Applikation sowohl die datenschutzrechtliche Einwilligung des einzelnen Anwenders sowie die arbeitsrechtliche Zustimmung im Wege einer Betriebsvereinbarung oder der Individualerklärung des einzelnen Mitarbeiters vorliegen.
small_c_popup.png

Interesse an einer modernen Zeiterfassung-Software?

Vertrieb kontaktieren