Personenbezogene Maßnahmen
Technische Maßnahmen
Die mit dem IMPULS-Test|2® erhobenen Daten sind im höchsten Maße vor Fremdzugriff gesichert. Alle Daten liegen geschützt auf den 15.000 Servern der Deutschen Firma Mittwald, die über ein hochprofessionelles Servermanagement samt Security-Garantien verfügen. Die Mittwald CM Service GmbH & Co. KG wurde 2016 vom TÜV Rheinland als “Reliable Data Center” zertifiziert.
Dort kommen die üblichen Sicherheitsstandards zur Anwendung: Doppelt gesicherte Stromversorgung und Ausfallsicherung, Modernster Brandschutz, Videoüberwachung, 24 Stunden Monitoring aller Services. Sämtliche Server und Storagesysteme sind mit automatischen Backup-Systemen ausgestattet und sind örtlich nur nach Zutrittskontrollen zugänglich.
Ende 2014 wurde von uns ein externes Datensicherheitsaudit (Pen-Test) bei einem spezialisierten IT-Fachunternehmen für den IMPULS-Test|2® beauftragt und durchgeführt.
Mehr zu diesem Thema hat Herr Dr. Winter z.B. hier veröffentlicht: Evaluierung OnlineBuch, 2015, Kapitel Datenschutzrechtliche Aspekte, WEKA-Verlag, Wien: http://www.weka.at/evaluierung/
Auskünfte vom Rechtsanwalt
Antwort RA Dr. Winter: Diese Behauptung stimmt nur bedingt. Werden, was in der Praxis oftmals der Fall ist, personenbezogene Daten ermittelt oder sonst wie verarbeitet, ist das Datenschutzgesetz anwendbar und zu beachten. Es kann sein, dass für die konkrete Ermittlung und Verarbeitung von Daten, die für die gesetzliche Evaluierung verarbeitet werden, eine Rechtfertigung vorliegt. Dies ist jedoch nach dem Datenschutzgesetz vorab zu prüfen. Allenfalls bedarf es sogar einer Prüfung für sensible Daten, wie zB betreffend die Gesundheit eines Mitarbeiter, die nur eingeschränkt verarbeitet werden dürfen. Nur wenn keine personenbezogenen Daten vorliegen und ein Personenbezug mit rechtlich zulässigen Mitteln nicht herstellbar ist, sind Fragen des Datenschutzes von untergeordneter Bedeutung.
Antwort RA Dr. Winter: Teils sind die genannten Daten, wie zB das Befinden oder auch die allgemeine Gesundheit der Mitarbeiter, für die gesetzlich vorgeschriebene Evaluierung unmaßgeblich. Das Gesetz (ASchG) ordnet die verpflichtende Evaluierung von Arbeitsplätzen und Arbeitsabläufen an. Werden im Zuge der Evaluierung Daten erhoben, die für diesen Zweck nicht notwendig sind bzw. darüber hinausgehen, ist das Datenschutzgesetz jedenfalls und unbedingt zu beachten, um „böse Überraschungen“ zu vermeiden. Auch wenn der Arbeitgeber sich eines externen Spezialisten (Dienstleister) bedient, bleibt er in datenschutzrechtlicher Hinsicht stets verantwortlich. Alle Akteure sollten sich daher vor Beginn über mögliche datenschutzrechtliche Aspekte im Klaren sein. Wird dieser Aspekt bereits zu Beginn beachtet, kann die Anwendbarkeit des Datenschutzgesetzes mangels Vorliegen personenbezogene Daten allenfalls noch ganz vermieden werden. Weiters sind auch betriebsverfassungsrechtliche Aspekte nach dem Arbeitsverfassungsgesetz unbedingt zu beachten. Neben Informations- und Beratungsrechten des Betriebsrats, kann im Einzelfall auch der Abschluss einer Betriebsvereinbarung, allenfalls sogar unbedingt, notwendig sein.
Professionelle Lösungen für verschiedene Anforderungen