Auswertung Zutrittsdaten
FloBru

Auswertungen von Zutrittsdaten fürs Finanzamt

/0 Kommentare/in /von

Darf ich Zutrittsdaten bei einer GPLB verwenden und an das Finanzamt übermitteln?

Die einmalige, anlassbezogene Auswertung von Zutrittsdaten zu den Betriebsräumlichkeiten eines elektronischen Zutrittssystems zur Überprüfung eines (hier: aufgrund von Meldungen von Verstößen gegen die Homeoffice-Regelung) begründeten Verdachts auf falsche Anwesenheitsaufzeichnungen im Arbeitszeiterfassungssystem, ist von Art 6 Abs 1 lit f DSGVO gedeckt und daher datenschutzrechtlich zulässig, wenn (wie hier) ein berechtigtes Interesse des Arbeitgebers an der Aufklärung arbeits-, steuer- und sozialversicherungsrechtlich relevanter Pflichtverletzungen besteht und kein gleich geeignetes gelinderes Mittel zur Verfügung steht; der betroffene Arbeitnehmer ist in seinem Recht auf Geheimhaltung nicht verletzt.

Ebenso rechtmäßig ist die Übermittlung von auf Basis der Zutrittsdaten ermittelten Homeoffice-Tagen an das Finanzamt, da der Arbeitgeber gesetzlich verpflichtet ist, die Homeoffice-Tage im Lohnkonto zu erfassen und an die Finanzverwaltung zu melden.

Sachverhalt und bisheriges Verfahren

Der Beschwerdeführer hat seinen Wohnort in Slowenien, sein Arbeitsort liegt – sofern nicht Homeoffice gemacht wird – in den Betriebsräumlichkeiten der Beschwerdegegnerin, seiner Arbeitgeberin in Österreich. Diese betreibt in ihren Betriebsräumlichkeiten ein elektronisches Zutrittssystem. Weiters erfassen die Arbeitnehmer ihre verrichtete Arbeitszeit inklusive des Arbeitsortes manuell in einem gesonderten System („Arbeitszeiterfassungstool“).

Es besteht eine Betriebsvereinbarung betreffend das elektronische Zutrittssystem zu den Betriebsräumlichkeiten. Diese regelt ua, dass die erfassten Daten nicht zur Zeitkontrolle und/oder Personenerfassung dienen, mit Ausnahme der Behandlung von „Incidents“. Eine Einsicht in diese Daten sowie eine Auswertung darf nur im Anlassfall unter Einbeziehung des Betriebsrates erfolgen.

Ende September 2022 entstand der Verdacht, dass Arbeitnehmer mit Wohnsitz in Slowenien, wie ua der Beschwerdeführer, ihre Anwesenheiten in den Betriebsräumlichkeiten nicht korrekt im Arbeitszeiterfassungstool aufgezeichnet haben. Dieser Verdacht entstand durch Meldung von Verstößen gegen die Homeoffice-Regelung durch zwei unterschiedliche, voneinander unabhängige Personen. Aufgrund dieses Verdachts begann die Arbeitgeberin Anfang Oktober 2022 die Arbeitsaufzeichnungen der in Slowenien wohnhaften Arbeitnehmer stichprobenartig zu überprüfen. Die Überprüfung ergab keine Abweichungen zur geltenden Homeoffice-Regelung. Aufgrund des Verdachts, dass die Angaben im Arbeitszeiterfassungstool nicht korrekt sind, nahm die Arbeitgeberin eine Woche später Einsicht in die Daten des elektronischen Zutrittssystems betreffend den Zeitraum Juli 2021 (= Beginn der Homeoffice-Regelung) bis September 2022. Vorab informierte sie zwei Betriebsratsmitglieder.

Die Arbeitgeberin übermittelte Einkommensteuerdaten des Beschwerdeführers für die Jahre 2021 und 2022 basierend auf den sich aus demAbgleich zwischen Arbeitszeiterfassungstool und elektronischem Zutrittssystem ergebenden Arbeits- und Homeofficezeiten an das österreichische Finanzamt.

Der Beschwerdeführer brachte bei der Datenschutzbehörde eine Beschwerde im Recht auf Geheimhaltung ein. Die Arbeitgeberin habe unerlaubt Daten aus dem Sicherheitssystem genutzt, um ihm nachzuweisen, dass er vom Büro abwesend gewesen sei bzw seine Arbeit von zu Hause aus gemacht habe.

Die Datenschutzbehörde wies die Beschwerde als unbegründet ab und begründete ihre Entscheidung (zusammengefasst) wie folgt:

Verwendung der Daten aus dem elektronischen Zutrittssystem

Nach § 1 Abs 1 Datenschutzgesetz hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit einschutzwürdiges Interesse daran besteht. Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs 2 DSG ua dann zulässig, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht oder die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist. Im gegenständlichen Fall ist zu überprüfen, ob eine entsprechende qualifizierte Rechtsgrundlage nach § 1 Abs 2 erster Satz DSG und Art 6 Abs 1 lit c DSGVO für die gegenständlich relevanten Verarbeitungsvorgänge der Arbeitgeberin gegeben ist oder sich diese auf überwiegende berechtigte Interessen gemäß Art 6 Abs 1 lit f DSGVO stützen kann.

Die Arbeitgeberin beruft sich darauf, dass die Verarbeitung gemäß Art 6 Abs 1 lit f DSGVO gerechtfertigt sei. Für eine Berufung auf diese Bestimmung sind drei Voraussetzungen kumulativ erforderlich: Erstens muss vom Verantwortlichen oder Dritten ein berechtigtes Interesse wahrgenommen werden; zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein; drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Die Arbeitgeberin führt aus, dass ihr berechtigtes Interesse in der raschen und restlosen Aufklärung des Verdachts der Angabe falscher Anwesenheiten liegt, da diesbezügliche Angaben für sie auch steuerrechtliche und sozialversicherungsrechtliche Folgen sowie allenfalls negative finanzielle Auswirkungen haben können. Dieser Argumentation kann insofern gefolgt werden, als dass ein berechtigtes Interesse der Arbeitgeberin vorhanden ist, dem Verdacht der falschen Angaben zu Anwesenheiten bzw der möglichen Missachtung der Homeoffice-Regelungnachzugehen und Anstrengungen zu unternehmen, diesen aufzuklären.

Zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung dieses berechtigten Interesses erforderlich sein. Nach der Rechtsprechung des EuGH[1] müssen sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf dasabsolut Notwendige beschränken. Mit anderen Worten stellt sich die Frage, ob der gleiche Schutzzweck durch ein gelinderes Mittel ebenfalls erlangt werden bzw das angestrebte Ziel mit einer weniger eingriffsintensiven Datenverarbeitung erreicht werden kann. Im vorliegenden Fall ist die Auswertung von Daten des Zutrittssystems denkmöglich zur anlassbezogenen Nachkontrolle von Anwesenheiten geeignet. Die Arbeitgeberin bringt vor, dass vor dieser Datenverarbeitung die Daten des vom Beschwerdeführer manuell ausgefüllten Arbeitszeiterfassungstools ausgewertet worden seien und aufgrund des von zwei Seiten unabhängig voneinander vorgebrachten Verdachts dann erst nach Information zweier Betriebsratsmitglieder die Daten des elektronischen Zutrittssystems ausgewertet worden seien. Auch dieser Punkt ist somit zu bejahen, da die Verarbeitung der Daten des elektronischen Zutrittssystems erforderlich für die Aufklärung des Verdachts war und gegenständlich ein gelinderes, ebenso effektives, Mittel nicht erkennbar ist.

Als dritter Punkt ist eine Interessenabwägung vorzunehmen, wobei die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber den Interessen der verarbeitenden Person, hier der Arbeitgeberin, nicht überwiegen dürfen. Das Interesse des Beschwerdeführers liegt darin, dass die Daten des elektronischen Zutrittssystems nicht zur Mitarbeiterkontrolle, in diesem Fall der Anwesenheitskontrolle, verwendet werden. Die Arbeitgeberin hat die personenbezogenen Daten des Beschwerdeführers aus dem elektronischen Zutrittssystem aber nicht regelmäßig, sondern anlassbezogen aufgrund eines konkreten Verdachts von falschen Angaben hinsichtlich der Anwesenheiten ausgewertet. Dadurch, dass es sich um eine einmalige anlassbezogene Kontrolle gehandelt hat, die für die Arbeitgeberin zur Aufklärung des Verdachts von falschen Angaben diente und um etwaige Verstöße gegen die Dienstpflichten des Beschwerdeführers in Form der Einhaltung der Homeoffice-Regelung aufzuklären, überwiegen gegenständlich die berechtigten Interessen der Arbeitgeberin.

Übermittlung an das Finanzamt

Gemäß § 84 Abs 1 EStG 1988 hat der Arbeitgeber seinem Finanzamt ohne besondere Aufforderung bis Ende Februar des folgenden Kalenderjahres die Lohnzettel aller im Kalenderjahr beschäftigten Arbeitnehmer zu übermitteln. Auf dem Formular L 16 ist ua die Anzahl der Homeoffice-Tage anzugeben. § 84 Abs 3 EStG 1988 legt fest, dass der Lohnzettel aufgrund der Eintragungen im Lohnkonto auszuschreiben ist. In § 1 Abs 1 Z 17 Lohnkontenverordnung 2006 wird normiert, dass die Anzahl der Homeoffice-Tage, an denen der Arbeitnehmer seine berufliche Tätigkeit für den Arbeitgeber ausschließlich in seiner Wohnung ausgeübt hat, fortlaufend in das Lohnkonto einzutragen sind.

Die Arbeitgeberin war somit gesetzlich verpflichtet, die Anzahl der Homeoffice-Tage des Beschwerdeführers in dessen Lohnkonto einzutragen und in weiterer Folge an das Finanzamt zu melden bzw auch eine vorhergehende Meldung iSd § 84 Abs 3 EStG 1988 zu berichtigen. Die Verarbeitung war somit gemäß Art 6 Abs 1 lit c DSGVO rechtmäßig. (Bescheid rechtskräftig) Anmerkung: Strittig war ua auch, ob es sich bei der Auswertung der Daten des Beschwerdeführers aus dem elektronischen Zutrittssystem um eine zustimmungspflichtige Maßnahme iSd § 96 Abs 1 Z 3 ArbVG gehandelt hat. Dies wurde von der Datenschutzbehörde verneint: Zwar handelte es sich beim Zugriff und der Auswertung der Daten aus dem elektronischen Zutrittssystem unzweifelhaft um eine Kontrolle, allerdings um eine betriebsratszustimmungsfreie Ad-hoc-Kontrolle im Einzelfall. Es handelte sich um eine Kontrolle aufgrund eines durch Meldungen zeitnah aufgekommenen konkreten Verdachts, die hinsichtlich eines beschränkten Zeitraumes bei einer eingeschränkten Personengruppe vorgenommen wurde. Es haben sich auch keine sonstigen Indizien im Verfahren ergeben, wonach es sich um eine wiederkehrende oder länger währende Maßnahme gehandelt hat. Ob der Zugriff auf die Daten des Beschwerdeführers des elektronischen Zutrittssystems die Menschenwürde berührte, von der Betriebsvereinbarung umfasst war und ob eine solche gemäß § 96 Abs 1 Z 3 ArbVG erforderlich ist, konnte somit in diesem datenschutzrechtlichen Beschwerdeverfahren dahingestellt bleiben, da die gegenständliche Verarbeitung eine ad-hoc-Kontrolle darstellte.

[1]        vgl EuGH 11. 12. 2019, C-708/18, Asociaţia de Proprietari bloc M5A.

Die einmalige Auswertung von Zutrittsdaten eines elektronischen Systems zur Überprüfung eines konkreten Verdachts auf falsche Anwesenheitsaufzeichnungen im Arbeitszeiterfassungstool ist nach Art 6 Abs 1 lit f DSGVO zulässig. Ein berechtigtes Interesse des Arbeitgebers an der Aufklärung arbeits-, steuer- und sozialversicherungsrechtlicher Pflichtverletzungen besteht, wenn kein gleich geeignetes milderes Mittel verfügbar ist.

Die anschließende Übermittlung der ermittelten Homeoffice-Tage an das Finanzamt ist ebenfalls rechtmäßig, da der Arbeitgeber gesetzlich zur Eintragung ins Lohnkonto und Meldung verpflichtet ist. Die Datenschutzbehörde wies die Beschwerde des betroffenen Arbeitnehmers ab.

DSB 12.6.2025, 2024-0.490.294

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitergabe von Daten an die PolizeiVerantwortlichkeit bei Missachtung interner Prozesse durch MitarbeiterDaten im BewerbungsverfahrenLöschen von Bewerberdaten