Datenschutz, Datensicherheit, DSGVO

Personenbezogene Maßnahmen

Anonyme Gruppenauswertungen: Das Online-Verfahren IMPULS-Test|2® Professional stellt der Organisation bzw. dem Betrieb lediglich Gruppen- und keine Einzelpersonen-Auswertungen zur Verfügung. Die befragten Personen haben allerdings die Möglichkeit, sich ein Ergebnis auszudrucken, welches aber nur ihnen individuell zur Verfügung steht.
Keine Rohdaten: Es stehen befragten Personen und Organisationen/Betrieben daher auch keine Rohdaten, aus denen absichtlich oder unabsichtlich die Ergebnisse von Einzelpersonen sichtbar werden können, sondern nur die Auswertungen in pdf-Form zur Verfügung.
Mindestgruppengröße: Die Mindestgruppengröße für alle Gruppenauswertungen liegt bei 7 Personen bzw. Datensätzen pro Auswertungsvariable. Gruppen mit weniger als 7 Personen pro Auswertungsvariable werden nicht ausgewertet.
Datenschutzerklärung: Die Einhaltung der Anforderungen zum Datenschutz des IMPULS-Test|2® erklären und bestätigen die für die wissenschaftliche Konzeption verantwortliche Firma humanware GmbH, dessen EDV-Partner IXSOL GmbH und der für alle rechtlichen Fragen zuständige Fachanwalt Dr. Arpad Gered, der im „Who is Who Legal“ als einer der besten Anwälte in den Kategorien „Data Privacy and Protection“ sowie „Data Security“ gereiht ist.

Technische Maßnahmen

Die mit dem IMPULS-Test|2® erhobenen Daten sind im höchsten Maße vor Fremdzugriff gesichert. Alle Daten liegen geschützt auf den 15.000 Servern der Deutschen Firma Mittwald, die über ein hochprofessionelles Servermanagement samt Security-Garantien verfügen. Die Mittwald CM Service GmbH & Co. KG wurde 2016 vom TÜV Rheinland als “Reliable Data Center” zertifiziert.

Dort kommen die üblichen Sicherheitsstandards zur Anwendung: Doppelt gesicherte Stromversorgung und Ausfallsicherung, Modernster Brandschutz, Videoüberwachung, 24 Stunden Monitoring aller Services. Sämtliche Server und Storagesysteme sind mit automatischen Backup-Systemen ausgestattet und sind örtlich nur nach Zutrittskontrollen zugänglich.

Ende 2014 wurde von uns ein externes Datensicherheitsaudit (Pen-Test) bei einem spezialisierten IT-Fachunternehmen für den IMPULS-Test|2® beauftragt und durchgeführt.

Rechtsanwalt Dr. Winter

Rechtsanwalt Dr. Winter ist Experte für Arbeits- und Sozialrecht. Zum Thema Datenschutz in Betrieben trägt er häufig vor und publiziert einschlägige Fachbeiträge.

Mehr zu diesem Thema hat Herr Dr. Winter z.B. hier veröffentlicht: Evaluierung OnlineBuch, 2015, Kapitel Datenschutzrechtliche Aspekte, WEKA-Verlag, Wien: http://www.weka.at/evaluierung/

Auskünfte vom Rechtsanwalt

Antwort RA Dr. Winter: Diese Behauptung stimmt nur bedingt. Werden, was in der Praxis oftmals der Fall ist, personenbezogene Daten ermittelt oder sonst wie verarbeitet, ist das Datenschutzgesetz anwendbar und zu beachten. Es kann sein, dass für die konkrete Ermittlung und Verarbeitung von Daten, die für die gesetzliche Evaluierung verarbeitet werden, eine Rechtfertigung vorliegt. Dies ist jedoch nach dem Datenschutzgesetz vorab zu prüfen. Allenfalls bedarf es sogar einer Prüfung für sensible Daten, wie zB betreffend die Gesundheit eines Mitarbeiter, die nur eingeschränkt verarbeitet werden dürfen. Nur wenn keine personenbezogenen Daten vorliegen und ein Personenbezug mit rechtlich zulässigen Mitteln nicht herstellbar ist, sind Fragen des Datenschutzes von untergeordneter Bedeutung.

Antwort RA Dr. Winter: Teils sind die genannten Daten, wie zB das Befinden oder auch die allgemeine Gesundheit der Mitarbeiter, für die gesetzlich vorgeschriebene Evaluierung unmaßgeblich. Das Gesetz (ASchG) ordnet die verpflichtende Evaluierung von Arbeitsplätzen und Arbeitsabläufen an. Werden im Zuge der Evaluierung Daten erhoben, die für diesen Zweck nicht notwendig sind bzw. darüber hinausgehen, ist das Datenschutzgesetz jedenfalls und unbedingt zu beachten, um „böse Überraschungen“ zu vermeiden. Auch wenn der Arbeitgeber sich eines externen Spezialisten (Dienstleister) bedient, bleibt er in datenschutzrechtlicher Hinsicht stets verantwortlich. Alle Akteure sollten sich daher vor Beginn über mögliche datenschutzrechtliche Aspekte im Klaren sein. Wird dieser Aspekt bereits zu Beginn beachtet, kann die Anwendbarkeit des Datenschutzgesetzes mangels Vorliegen personenbezogene Daten allenfalls noch ganz vermieden werden. Weiters sind auch betriebsverfassungsrechtliche Aspekte nach dem Arbeitsverfassungsgesetz unbedingt zu beachten. Neben Informations- und Beratungsrechten des Betriebsrats, kann im Einzelfall auch der Abschluss einer Betriebsvereinbarung, allenfalls sogar unbedingt, notwendig sein.

Professionelle Lösungen  für verschiedene Anforderungen