FAQs Datenschutz

Wir haben die wichtigsten Fragen zum Datenschutz zur meinBR-App für dich zusammengestellt. 

Wie wird der Datenschutz in der meinBR-App sichergestellt?

Die mein BR-App wurde durch den ÖGB Verlag unter Berücksichtigung der datenschutzrechtlichen Vorgaben entwickelt. Zentrale Eckpunkte sind:

  • Keine Cloud, keine Auslagerung: Die meinBR-App-Lösung läuft auf on-premise-Servern österreichischer Provider im gewerkschaftsnahen Umfeld.
  • Daten bleiben in der EU: Keine Übermittlung in Drittstaaten oder US-Clouds.
  • Minimale Datenspeicherung: Nur technisch notwendige Daten werden gespeichert.
  • Transparenz: Kein Tracking, keine Drittanbieter, keine personalisierte Werbung.
  • Technische Maßnahmen: Lokale Verarbeitung, keine Weitergabe an Externe.
  • Organisatorsiche Maßnahmen: Abschluss von Auftragsdatenverarbeiterverträgen. Saubere technische Dokumentation und Prüfung durch den Datenschutzbeauftragten.
Wer ist für die Inhalte in der App verantwortlich?

Die Betriebsratskörperschaft ist für die publizierten Inhalte verantwortlich.

Wer ist datenschutzrechtlich für die Datenverarbeitung verantwortlich?

Der Betriebsrat ist für die in der App befindlichen personenbezogenen Daten datenschutzrechtlich Verantwortlicher. Der ÖGB-Verlag ist vom Betriebsrat beauftragter und vertraglich verpflichteter Auftragsdatenverarbeiter.

Wo steht die entsprechende Datenschutzerklärung?

Auf der entsprechenden Website des Betriebsrats als Verantwortlicher gibt es eine Mustervorlage, die der Betriebsrat ausfüllen muss und dann in der App veröffentlichen muss.

https://musterbetrieb.meinbr.online/datenschutzerklaerung/

Der ÖGB Verlag hat seine Datenschutzerklärung hier: https://www.oegbverlag.at/datenschutzerklaerung/#h4-2

Welche personenbezogenen Daten werden gespeichert?

Keine personenbezogenen Daten werden standardmäßig gespeichert.

Ausnahmen:

  • Falls Formulare erstellt werden, die persönliche Daten abfragen (liegt im Ermessen des BR).
  • Du nutzt die Userverwaltung. Hier werden Userdaten für den Zwecke des Logins gespeichert. Die Infos dazu findest du unter https://www.oegbverlag.at/datenschutzerklaerung/#h4-2
  • BRs können Formulare mit personenbezogenen Daten sammeln. Sie können sich im Backend entscheiden, ob diese Daten im Backend gespeichert werden oder nur per Mail an ihre BR-Adresse zugesendet werden. Im Falle der Speicherung der Daten im Backend, können sie die Daten jederzeit löschen. Achtung: Der BR braucht hierfür eine Datenschutzerklärung.
Wie lange werden Daten gespeichert?

Für die Dauer der Verarbeitung (App-Nutzung)

  • Es werden nur Daten gespeichert, die technisch notwendig sind (z. B. für die Userverwaltung).
Haben wir eine eigene Vorlage für eine AVV?

Ja, es gibt eine Auftragsverarbeitervereinbarung die man auf die meinBR App anpassen kann.

Wie wird das Hosting und die Datensicherheit sichergestellt?
  • Österreichischer Provider mit standardisierten Sicherheitsrichtlinien.
  • Tägliche Backups für das Redaktionssystem (WordPress).
  • Kein Zugriff durch den ÖGB-Verlag auf Kundendaten, außer bei konkreten Supportanfragen, nach entsprechender Beuaftragung.
Warum wird Firebase eingesetzt, und ist das datenschutzrechtlich unbedenklich?
  • Freiwilligkeit: Push-Nachrichten können deaktiviert werden.
  • Minimale Datenspeicherung: Nur ein Token für Push-Nachrichten wird auf dem Gerät gespeichert.
  • Angemessenheitsbeschluss der EU: Die USA gelten seit Juli 2023 als sicher für Datenübermittlungen.
Wie stelle ich sicher, dass nur berechtigte Personen Zugriff auf die meinBR-App haben?

Die meinBR-App bietet zwei Möglichkeiten, den Zugang zu eurem Bereich zu schützen. 

Passwortschutz
Beim Passwortschutz greifen alle Kolleg:innen mit einem gemeinsamen Kennwort auf die App zu. Diese Lösung ist einfach, schnell eingerichtet und eignet sich besonders für kleinere Betriebe oder überschaubare Strukturen.

Personalisiertes Login
Beim personalisierten Login erhält jede Kollegin und jeder Kollege einen eigenen Zugang zur meinBR-App. Der Einstieg erfolgt über die E-Mail-Adresse und einen One-Time-Code. Der Betriebsrat verwaltet alle Zugänge zentral im Backend und kann Nutzer:innen jederzeit hinzufügen oder entfernen.
Diese Variante bietet mehr Überblick und Sicherheit, insbesondere bei größeren Belegschaften oder sensiblen Inhalten.

Beide Zugriffsmöglichkeiten sind datenschutzkonform und unabhängig vom Arbeitgeber. Die meinBR-App passt sich damit den unterschiedlichen Anforderungen in den Betrieben an.

Kann der ÖGB-Verlag auf hochgeladene Dokumente zugreifen?

Nein, außer autorisierte Support-Mitarbeiter:innen im konkreten Fall, nach Beauftragung

Welche technischen und organisatorischen Maßnahmen gibt es?
Wie wird der Zugriff auf Daten geregelt?

Es gibt ein Berechtigungskonzept: Dieses sieht folgende Rolle vor:

  • Administratoren/Redakteure: Betriebsräte, die sich im Backend einloggen und hier Informationen sehen können, um Kommunikation bereitstellen zu können. Der Betriebsrat bekommt hierfür Userdaten für den Login um sich ins Backend einzuloggen und auch weitere Kollegen zu berechtigen.
  • Support: Mitarbeiter des ÖGB-Verlags, die Probleme im Auftrag der Administratoren/Redakteure lösen. Hat Zugriff auf alle Bereiche und Daten. Wird nur zum Zwecke der Lösung von Kundenproblemen verwendet. Dies erfolgt nach Beauftragung. Ist von der Autragsverarbeitungsvereinbarung gedeckt.
  • Entwicklung: Arbeitet daran technische Probleme zu lösen und das Produkt weiterzuentwickeln. Hat Zugriff auf alle Bereiche und Daten. Wird nur zum Zwecke der Lösung von Produktentwicklung verwendet. Diese sind vom ÖGB Verlag beauftragte und vertraglich verpflichtete Auftragsdatenverarbeiter.

Datenschutz-Erklärung für die meinBR-App

 

Der ÖGB-Verlag als Auftragsverarbeiter verpflichtet sich zur Einhaltung folgender Punkte, um die Einhaltung der Artikel 28 Absätze 3 und 4 der DSGVO zu gewährleisten:

  • Sie gelten für die Verarbeitung personenbezogener Daten von den Nutzern der meinBR-App und der dazugehörenden Website, die sie bei der Nutzung der meinBR-App und der dazugehörenden Website bereitstellen und den Daten der Auftraggeberin, die für die Zurverfügungstellung der meinBR-App und der dazugehörenden Website benötigt werden.
  • Sie gelten unbeschadet der Verpflichtungen, denen die Auftraggeberin gemäß der DSGVO unterliegt.
  • Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen.
  • Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für die oben genannten spezifischen Zwecke.
  • Die Daten werden vom Auftragsverarbeiter nur für die Dauer des Bestehens der Beauftragung verarbeitet.
  • Der Auftragsverarbeiter ergreift technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
  • Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Auftrags unbedingt erforderlich ist.
  • Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von folgenden Unterauftragsverarbeitern: IT-Dienstleister mit Sitz in Österreich
  • Der Auftragsverarbeiter gewährleistet gegenüber dem Verantwortlichen, dass der Unterauftragsverarbeiter seine Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag erfüllt.
  • Es erfolgt keine Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation
  • Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat und unterstützt den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten.
  • Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der DSGVO nachkommen kann.
  • Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde.
  • Nach Beendigung des Auftrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Punkte.

 Als Vorlage für Betriebsrät:innen hier die Datenschutzerklärung des Musterbetriebs