Das Recht der Arbeit

Kollektivvereinbarungen als Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext

Wolfgang Goricnik (Salzburg)
Wolfgang Goricnik © privat

Ab 25.5.2018 wird die EU-Datenschutz-Grundverordnung VO (EU) 2016/679 ABl L 2016/119, 1 (im Folgenden: DS-GVO) gem deren Art 99 anwendbar sein, die ein neues, unmittelbar geltendes Datenschutzrecht in der EU bringt. Mittlerweile wurde auch das österreichische Datenschutz-Anpassungsgesetz 2018 zur (damit notwendigen) Änderung des Datenschutzgesetzes 2000 (DSG 2000) erlassen und mit BGBl I 2017/120 am 31.7.2017 kundgemacht; das neue „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“, im Folgenden „DSG 2018“, wird – zeitlich akkordiert – mit 25.5.2018 in Kraft treten.

Dieser Beitrag soll zum einen die Bedeutung der unionsrechtlichen Öffnungsklausel des Art 88 DS-GVO zur Datenverarbeitung im Beschäftigungskontext in Verbindung mit der entsprechenden österreichischen Implementierung in § 11 DSG 2018 näher erläutern. Zum anderen soll der Frage nachgegangen werden, ob damit nicht auch bestehende Instrumente kollektiver Rechtsetzung, nämlich Betriebsvereinbarungen und Kollektivverträge, eine zusätzliche datenschutzrechtliche Bedeutung als Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext erlangen. Schließlich sollen die Folgerungen aus dieser neuen (möglichen) „Doppelnatur“ und überhaupt ein allfälliger entsprechender Adaptionsbedarf bestehender und neu abgeschlossener Kollektivvereinbarungen mit datenschutzrechtlichen Regelungsinhalten dargestellt werden.

Übersicht

  1. Unionsrechtliche Ausgangslage
  2. „Kollektivvereinbarungen“ gem Art 88 DS-GVO
  3. Erforderlichkeit einer mitgliedstaatlichen Implementierung?
  4. Vollharmonisierung oder nur Mindeststandard?
  5. Zusätzliche formale Anforderungen an entsprechende Kollektivvereinbarungen?
  6. Anwendungsbeispiele „europarechtlich qualifizierter“ Kollektivvereinbarungen
  7. Folgerungen für datenschutzrechtliche Regelungen in KollV und BV
  8. Resümee

1. Unionsrechtliche Ausgangslage

Art 88 Abs 1 DS-GVO normiert die „Datenverarbeitung im Beschäftigungskontext“ als Vorschrift für eine besondere Verarbeitungssituation (gem der Überschrift zu Kap IX) wie folgt:

„Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der AG oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.“

Trotz der Formulierung sind hinsichtlich des Abschlusses von Kollektivvereinbarungen natürlich nicht die Mitgliedstaaten, sondern vielmehr die Kollektivvertrags- und Betriebsparteien angesprochen; die Mitgliedstaaten schaffen hiefür lediglich den Rechtsrahmen.1) Der zugehörige ErwGr 155 DS-GVO formuliert diesbezüglich treffender, dass spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich „Betriebsvereinbarungen“) vorgesehen werden können.

Gem Art 88 Abs 2 umfassen diese Vorschriften „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“.

Insofern werden also materielle Schutzstandards – wenn auch sehr abstrakt – vorgegeben.

Gem dem schon zitierten ErwGr 155 soll die Vorschrift den Mitgliedstaaten oder Kollektivvereinbarungen also die Möglichkeit zur Schaffung von Regelungen zum Beschäftigtendatenschutz eröffnen (dh es handelt sich um eine sogenannte „Öffnungsklausel“);2) unter „Kollektivvereinbarungen“ sind darunter explizit auch Betriebsvereinbarungen zu verstehen. Der zweite „Mehrwert“ des ErwGr 155, der ansonsten den Abs 1 des Art 88 DS-GVO im Wesentlichen wortwörtlich wiederholt, ist der Hinweis auf die „Einwilligung des Beschäftigten“ als Grundlage einer Datenverarbeitung im Beschäftigungskontext, deren Bedingungen (im Vergleich zu den entsprechenden allgemeingültigen Bestimmungen der DS-GVO) spezifischer geregelt werden können.

Wer „Beschäftigter“ iSd DS-GVO ist, führt die DS-GVO nicht aus;3) für die Zwecke dieses Beitrages kann aus dem Verweis des Art 88 Abs 1 samt ErwGr 155 DS-GVO auf „Kollektivvereinbarungen (einschließlich Betriebsvereinbarungen)“ jedenfalls davon ausgegangen werden, dass AN iSd persönlichen Geltungsbereiches gem § 1 bzw gem § 36 ArbVG von dieser Begrifflichkeit erfasst sind; im Folgenden wird deshalb undifferenziert von „Beschäftigten“ gesprochen.

2. „Kollektivvereinbarungen“ gem Art 88 DS-GVO

Die „spezifischeren“4) Vorschriften der Mitgliedstaaten können formell mittels Rechtsvorschriften und Kollektivvereinbarungen getroffen werden. Unter die Rechtsvorschriften fallen für jedermann verbindliche abstrakt-generelle Regelungen wie insb Gesetze und Rechtsverordnungen. Demgegenüber umfassen „Kollektivvereinbarungen“ nicht nur Kollektivverträge, sondern auch andere den AG normativ bindende Regelungen wie insb Betriebsvereinbarungen.5) Diese Klarstellung in ErwGr 155 geht auf die Initiative Deutschlands zurück, da Betriebsvereinbarungen in Deutschland – anders als Tarifverträge – häufig datenschutzrechtliche Aspekte adressieren.6)

In praxi werden idR diesfalls auch nur Betriebsvereinbarungen in Betracht kommen, da sie – gegenüber Kollektivverträgen – den praktischen Vorteil haben, dass sie sehr viel konkreter und präziser auf betriebsbezogene Datenverarbeitungen, insb hinsichtlich maßgeschneiderter Konfigurationen eingesetzter Software, eingehen können; das trifft natürlich auch auf unternehmensweite IT-Lösungen zu.

Materiell gelten für diese Kollektivvereinbarungen dieselben Anforderungen wie für eigene gesetzliche Regelungen der Mitgliedstaaten,7) dh sie müssen allgemein einerseits den Wesensgehalt des Schutzes personenbezogener Daten gem Art 8 GRC (Grundrechtecharta) wahren, andererseits die unternehmerische Freiheit gem Art 16 GRC sowie das Eigentumsrecht gem Art 17 GRC berücksichtigen und den Grundsatz der Verhältnismäßigkeit gem Art 52 Abs 1 Satz 2 GRC beachten; im Speziellen haben sie gem Art 88 Abs 2 DS-GVO vor allem angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insb im Hinblick auf die Transparenz der Verarbeitung und die Überwachungssysteme am Arbeitsplatz, zu ergreifen. Damit kommen insb Aspekte des allgemeinen Persönlichkeitsrechtes der Beschäftigten in‘s Spiel, die über die Grundsätze des Art 5 DS-GVO hinausgehen;8) angesprochen werden damit zB Regelungen zu Datenverarbeitungen an besonders schutzwürdigen Orten (zB Umkleideräume), mit verpönten Methoden (zB bestimmte akustische Überwachungen) oder unter heiklen Umständen (zB Eignungstests).

Kollektivvereinbarungen, die von der Öffnungsklausel Gebrauch machen, diesem speziellen Standard aber nicht gerecht werden, sind – auf Grund des Anwendungsvorranges von Unionsrecht – in diesem Regelungsumfang unanwendbar.9) Ob neben diesen „europarechtlich qualifizierten“ Kollektivvereinbarungen weiterhin (rein mitgliedstaatlich ermächtigte) „schlichte“ Datenschutz-Kollektivvereinbarungen auf Grundlage und unter Berücksichtigung der allgemeinen Vorgaben der DS-GVO und nur mit den schon derzeit rein im nationalen Recht wurzelnden Rechtswirkungen abgeschlossen werden können, wird in den Kapiteln 3. und 7. behandelt.

3. Erforderlichkeit einer mitgliedstaatlichen Implementierung?

Trotz der Formulierung des Art 88 Abs 1 DS-GVO sind hinsichtlich des Abschlusses von Kollektivvereinbarungen natürlich nicht die Mitgliedstaaten, sondern vielmehr die Kollektivvertrags- und Betriebsparteien angesprochen; ErwGr 155 formuliert – wie schon ausgeführt – diesbezüglich treffender, dass spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich „Betriebsvereinbarungen“) vorgesehen werden können.

Interpretativ wird davon auszugehen sein, dass Art 88 Abs 1 DS-GVO erstens keine direkte eigenständige Ermächtigungsgrundlage für den Abschluss eines entsprechenden KollV oder einer entsprechenden BV ist10) und auch zweitens kein „Gesetz“ iSd § 29 ArbVG darstellen wird (also auch keine indirekte eigenständige Ermächtigungsgrundlage ist).11) Dieser arbeitsrechtlichen Betrachtungsweise steht nämlich Art 16 Abs 2 AEUV als einzige primärrechtliche Kompetenzgrundlage der DS-GVO entgegen,12) sprich (nur) die Kompetenz der EU zur Regelung des freien Datenverkehrs als besondere Ausgestaltung der allgemeinen Binnenmarktkompetenz des Art 114 AEUV.13)

Demgegenüber ist Art 153 AEUV die Grundlage für den Erlass von Vorschriften auf dem Gebiet der „Sozialpolitik“, was auch das Arbeitsrecht umfasst. Der Begriff „Arbeitsbedingungen“ in Art 153 Abs 1 lit b AEUV ist dabei zwar sehr umfassend. Klar dürfte aber sein, dass dessen lit b lex generalis gegenüber lit d, g, h und lit i leg cit ist. Angesichts der Möglichkeit, Regelungen über das kollektive Arbeitsrecht zu erlassen (lit e und lit f leg cit), kommen sub titulo „Arbeitsbedingungen“ daher hauptsächlich individualarbeitsrechtliche Normen in Frage, also vor allem Regelungen über die Rechte aus dem Arbeitsvertrag.14)

Hingegen bietet die lit f leg cit eine Kompetenzgrundlage zur Schaffung echter Mitwirkungsrechte der Belegschaft.15) Hiebei ist aber zu beachten, dass Art 153 Abs 2 lit b AEUV, der die einzige Rechtssetzungskompetenz des Artikels enthält, nur den Erlass von Richtlinien (ohne unmittelbare Drittwirkung) erlaubt. MaW bietet Art 153 AEUV keine Rechtssetzungskompetenz für eine VO, mit der eine eigenständige Rechtsgrundlage für den Abschluss eines KollV16) oder einer BV (mit deren heteronomer Rechtsetzungsmöglichkeit) geschaffen würde.17)

Allerdings könnte insb der Ermächtigungstatbestand des § 96a Abs 1 Z 1 ArbVG zu heteronomer Rechtsetzung, der sozialpolitisch auf Beschäftigtendatenschutz abzielt,18) unionsrechtlich (auch) als Ermächtigung für den Abschluss einer neuen genuin europarechtlichen „Beschäftigtendatenschutz-BV“ im Gewand dieses notwendig-erzwingbaren Betriebsvereinbarungstypus19) aufgefasst werden,20) zumal § 11 DSG 2018 zusätzlich normiert, dass „das Arbeitsverfassungsgesetz, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO (ist)“.21) Selbst ohne diese Klarstellung in § 11 DSG 2018 erlauben die allgemeinen Ermächtigungsnormen des kollektiven Arbeitsrechtes zur heteronomen Rechtsetzung nämlich (wohl unbestritten) die (Mit-)Regelung auch von Beschäftigtendatenschutz. Daraus folgt, dass das österreichische kollektive Arbeitsrecht, wo es zu dieser heteronomen Rechtsetzung ermächtigt, in diesem Rahmen mE – ab Anwendbarkeit der DS-GVO – auch Betriebsvereinbarungen und Kollektivverträgen als europarechtliche Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext zu fungieren erlaubt, ohne dass noch eigens eine entsprechende mitgliedstaatliche Zuweisung erfolgen müsste.22) In Folge der vorerwähnten österreichischen Implementierungsgesetzgebung sollte es nunmehr überhaupt aber unstrittig sein, dass in Österreich nach der Anwendbarkeit der DS-GVO hinkünftig insb die dargestellte europarechtliche „Beschäftigtendatenschutz-BV“ abgeschlossen werden kann.23) Die inhaltliche Absicherung ihrer neuen rechtlichen Bedeutung leistet dabei insb Art 88 Abs 2 DS-GVO.24)

Für diese hier vertretene Ansicht spricht im Übrigen auch die unionsrechtliche Genese: So brachte (erstmals) der Ausschuss des Europäischen Parlaments für Beschäftigung und soziale Angelegenheiten „Kollektivvereinbarungen“ auf das Tapet, indem er einen entsprechenden Änderungsantrag zum Erwägungsgrund zum Beschäftigtendatenschutz (Art 82 des Kommissionsentwurfes) verfasste: „Sofern in dem jeweiligen Mitgliedstaat eine gesetzliche Grundlage zur Regelung von Angelegenheiten des Beschäftigungsverhältnisses durch Vereinbarung zwischen den Arbeitnehmervertretern und der Leitung des Unternehmens oder des herrschenden Unternehmens einer Unternehmensgruppe (Kollektivvereinbarung) [...] besteht, kann die Verarbeitung personenbezogener Daten im Beschäftigungskontext auch durch eine solche Vereinbarung geregelt werden.“25) Von Anfang an wollte man also auf europäischer Ebene auf bereits bestehenden gesetzlichen Ermächtigungen zum Abschluss von Kollektivvereinbarungen aufsetzen. Ein anderer Zugang als Beschäftigtendatenschutz (bloß) als Annexmaterie zum Arbeitsrecht bzw zu den „Arbeitsbedingungen“ mitzuregeln, wäre aus Kompetenzgründen – wie dargestellt – auch gar nicht möglich gewesen.

Neben dem (auch nach dem 25.5.2018) weiterhin möglichen Abschluss einer „schlichten“ Datenschutz-BV durch den BR mit einem inhaltlich weiten Ermessensspielraum hinsichtlich der Regelungen, unter denen der AG – auf Grundlage der allgemeinen Vorgaben der DS-GVO – in diesen Angelegenheiten tätig werden darf,26) könnte der BR künftighin sohin auch eine „europarechtlich qualifizierte“ BV (in Konkretisierung der Öffnungsklausel zum Beschäftigtendatenschutz) zu verhandeln bzw durchzusetzen versuchen,27) indem er sich ausdrücklich auf Art 88 Abs 1 DS-GVO beruft.28) Dann muss sich die BV natürlich im Rahmen der dort aufgeführten Zwecke halten (Abs 1 leg cit) und den dort statuierten Anforderungen (Abs 1 und Abs 2 leg cit) genügen,29) dh insb Maßnahmen zum Grundrechtsschutz und zur Wahrung der Menschenwürde der betroffenen Beschäftigten treffen.

Selbstredend könnten in einer „gemischten“ BV, die quasi nur nebenbei beschäftigtendatenschutzrechtliche Begleitbestimmungen im Rahmen eines primär auf andere Zwecke gerichteten Regelungsgegenstandes (zB Nutzungsregeln der dienstlichen Informations- und Kommunikationstechnik gem § 97 Abs 1 Z 6 ArbVG) beinhaltet, auch bloß einzelne Bestimmungen dieser BV im dargestellten Sinne „europarechtlich qualifiziert“ werden.

Wie dargestellt würde eine derart „unionsrechtlich aufgeladene“ BV demnach als „Erlaubnistatbestand“ einer Datenverarbeitung fungieren können.30) Im Geltungsbereich des DSG 2000 ist ja strittig, ob unter die „besonderen Rechtsvorschriften“ des § 9 Z 11 leg cit auch Betriebsvereinbarungen fallen.31) Mit Anwendbarkeit der DS-GVO kann durch den Abschluss entsprechender Betriebsvereinbarungen also das zT unbefriedigende Nebeneinander von Arbeitsrecht und Datenschutzrecht32) damit – wie schon bis dato durch entsprechende „Erlaubnis“-Betriebsvereinbarungen in Deutschland33) – auch dogmatisch einwandfrei harmonisiert werden. An dieser Schnittstelle zum Datenschutzrecht kommt Betriebsvereinbarungen damit künftighin eine „doppelte Aufgabenstellung“ zu: Zum einen können sie als datenschutzrechtlicher Erlaubnistatbestand fungieren, zum anderen dienen sie (nach wie vor) der Erfüllung der Mitbestimmungsrechte des BR.34) Zu beachten bzw zu bedenken ist dabei natürlich, dass mit der Funktion einer solchen „europarechtlich qualifizierten“ BV als Erlaubnistatbestand einer Datenverarbeitung im Beschäftigungskontext iSd DS-GVO zusätzliche nationale Standards zum (außer-datenschutzrechtlichen) Persönlichkeitsschutz unterlaufen werden könnten (zB eine aus § 16 ABGB abgeleitete Zustimmungspflichtigkeit von Kontrollen der privaten Kommunikation von Beschäftigten am Arbeitsplatz seitens dieser einzelnen betroffenen Beschäftigten).35) Es darf nämlich nicht übersehen werden, dass die gegenständliche Öffnungsklausel auch auf die „Freiheiten“ der Datenverarbeitung Bedacht nimmt und überdies auch Regelungen für Zwecke des Schutzes des Eigentums der AG oder der Kunden erlaubt, was auf entsprechende Kontrollbefugnisse des AG hinausläuft.36)

Insofern sollte mit diesem neuen Institut einer europarechtlichen „Beschäftigtendatenschutz-BV“ sorgsam umgegangen werden.

Mutatis mutandis sind die vorstehenden Ausführungen auf die Möglichkeit zu übertragen, künftig entsprechend europarechtliche „Beschäftigtendatenschutz-Kollektivverträge“ oder zumindest Kollektivverträge mit solchen Inhalten (als datenschutzrechtliche Erlaubnistatbestände zu entsprechenden Datenverarbeitungen) abzuschließen.37) Die mitgliedstaatliche Grundlage dafür wäre die entsprechende Interpretation von § 2 Abs 2 Z 2 ArbVG iSd Regelungsbefugnis auch von individuellem Datenschutzrecht im Kontext von Arbeitsverhältnissen, was nach hier vertretener Auffassung zulässig wäre. Denn die Kollektivvertragsparteien sind diesbezüglich inhaltlich nicht auf „typische Ausgestaltungen“ beschränkt, vielmehr sind auch neuartige, atypische oder unübliche Regelungen zulässig,38) da sonst den Kollektivvertragsparteien die Möglichkeit genommen wäre, auf Veränderungen oder Notwendigkeiten der Arbeitswelt durch entsprechende, einzelvertraglich noch nicht übliche Regelungen zu reagieren und damit auf die Vertragsverhältnisse der von ihnen vertretenen (Arbeitsvertrags-)Parteien gestalterisch einzuwirken.39) Vor dem Hintergrund der aktuell stattfindenden digitalen Transformation der Arbeitswelt und den daraus resultierenden gestiegenen Anforderungen an einen wirksamen Datenschutz der Beschäftigten wird eine datenschutzrechtliche Regelungsbefugnis der Kollektivvertragsparteien gem § 2 Abs 2 Z 2 ArbVG wohl nicht (mehr) zweifelhaft sein können.

4. Vollharmonisierung oder nur Mindeststandard?

Eine spannende Frage ist iZm der dargestellten Öffnungsklausel zum Beschäftigtendatenschutz, ob damit neben dem taxativen Katalog der Erlaubnistatbestände gem Art 6 Abs 1 DS-GVO auch „europarechtlich qualifizierte“ Kollektivverträge und Betriebsvereinbarungen künftig erstens eine (alleinige und vollkommen eigenständige) wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten darstellen können und zweitens mit welchem Regelungsumfang. Diese Frage gewinnt vor allem dadurch eine Bedeutung, weil Art 6 Abs 1 lit c DS-GVO gegenüber § 8 Abs 1 Z 1 DSG 2000 insofern enger formuliert ist, als eine gesetzliche (bloße) „Ermächtigung“ zu einer Datenverarbeitung eo ipso keinen tauglichen Erlaubnistatbestand einer Datenverarbeitung mehr bildet, sondern diesbezüglich auf eine Interessenabwägung gem Art 6 Abs 1 lit f DS-GVO ausgewichen werden muss; selbst wenn eine entsprechende gesetzliche Ermächtigung ein gewichtiges Argument für ein „legales“ Nicht-Überwiegen der Interessen der betroffenen Person ist, besteht insofern ein argumentativer Mehraufwand und verbleibt eine gewisse Rechtsunsicherheit. Deshalb wäre es eine die Rechtssicherheit befördernde Ansicht, würden Ermächtigungen zu Datenverarbeitungen in Kollektivverträgen und (für die Praxis hauptsächlich relevant) in Betriebsvereinbarungen normiert werden können, was sowohl im Interesse des AG (zB bei der Abwicklung freiwilliger Gehaltsvorschüsse) als auch des BR läge (außerhalb betriebsverfassungsrechtlicher Pflichtbefugnisse, zB bei der Teilnahme an der Verwaltung von betriebs- und unternehmenseigenen Wohlfahrtseinrichtungen gem § 95 Abs 1 ArbVG).

Die Aussagen diesbezüglicher Antworten sind weit gespannt und erstrecken sich über ein 180°-Spektrum:

An einem Ende des Spektrums wird wie selbstverständlich davon ausgegangen, dass Betriebsvereinbarungen eine solche Rechtsgrundlage darstellen können. So führt bspw Fritz aus, dass – damit Betriebsvereinbarungen künftig eine wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten darstellen – diese den allgemeinen Anforderungen an Transparenz und Nachvollziehbarkeit entsprechen, und somit (i) deutlich machen, dass ein datenschutzrechtlicher Ausnahmetatbestand geschaffen werden soll, (ii) genaue und transparente Beschreibungen der Datenverarbeitung enthalten, (iii) geeignete Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundrechte der betroffenen Personen beinhalten, (iv) die Rechte der Betroffenen sowie die Pflichten des Verantwortlichen benennen, und (v) mögliche Zweckänderungen der erhobenen Daten voraussehen und in der BV selbst abbilden müssen.40) Die allgemeingültigen Regelungen der DS-GVO seien insofern nicht abschließend, bspw könnte eine BV festlegen, welche personenbezogenen Daten aus welchen Gründen an den BR weitergegeben werden.41) Auch Feiler/Forgó gehen von einer „äußerst weiten Regelungskompetenz“ aus, beziehen sich diesbezüglich aber nicht ausdrücklich auch auf die Kollektivvereinbarungen.42) Ausdrücklich auch auf Kollektivvereinbarungen bezieht sich Traut und will diesen auch eine Spezifizierung der Rechtmäßigkeit der Verarbeitung insb an Stelle von Art 6 DS-GVO gestatten; er spricht sich auch dafür aus, Tarifverträge und Betriebsvereinbarungen als Spezifizierungsrechtsakte nach Art 88 Abs 1 DS-GVO hinsichtlich ihrer „Einschätzungsprärogative“, sprich ihres gerichtlich nicht weiter nachzuprüfenden Gestaltungsspielraumes, europarechtlich gleich zu behandeln.43)

Am anderen Ende des Spektrums wird ausgeführt, dass eine BV die näheren Umstände einer Datenverarbeitung entsprechend Art 88 Abs 2 DS-GVO -Transparenz, konzerninterne Verarbeitung, eingesetzte Überwachungssysteme – nur spezifizieren könne. Verpflichte sich der AG hingegen in einer BV im Interesse der Beschäftigten zur Gewährung von Vorteilen – AG-Darlehen, Kantinenessen, Parkberechtigungen –, ermögliche diese rechtliche Verpflichtung des AG nach Art 6 Abs 1 lit c DS-GVO die zur Erfüllung erforderliche Verarbeitung von Beschäftigtendaten; auch hier könne eine BV nur die näheren Umstände der unionsrechtlich erlaubten Datenverarbeitung spezifizieren. In keinem Fall schaffe eine mitgliedstaatliche Norm oder eine BV aber einen (eigenständigen) Erlaubnistatbestand für die Datenverarbeitung; der einschlägige Erlaubnistatbestand sei immer (nur) dem Katalog des Art 6 Abs 1 DS-GVO zu entnehmen.44)

Innerhalb dieses Spektrums finden sich Aussagen des Inhaltes, dass es der Verordnungsgeber mit der Öffnungsklausel den Mitgliedstaaten überlasse, die allgemeinen Voraussetzungen, die die DS-GVO an eine Zulässigkeit des Umganges mit personenbezogenen Daten vorsieht, den besonderen Gegebenheiten im Beschäftigungskontext anzupassen; es stehe den Mitgliedstaaten insofern frei, ein „Mehr“ an Datenschutz einzuführen.45) Im Vergleich dazu fällt die Aussage restriktiver aus, dass wesentliche Abweichungen vom Schutzstandard der DS-GVO nicht möglich seien; Konkretisierungen seien zulässig, so auch gewisse Sonderwege im Hinblick auf formelle Aspekte.46)

Diesbezüglich grundsätzlich am überzeugendsten fallen mE die Ausführungen von Maschmann iS lediglich einer „Konkretisierungskompetenz“ aus, der insofern von „spezielleren Vorschriften“ ausgeht. Mit Hilfe einer systematischen47) und teleologischen Interpretation48) und einer Auslegung im Lichte des Primärrechtes49) sei auch im Geltungsbereich dieser Öffnungsklausel vom „Prinzip der Vollharmonisierung“ auszugehen.50) Maschmann geht aber offenbar davon aus, dass auch die Erlaubnistatbestände des Art 6 Abs 1 DS-GVO „konkretisiert“ werden können, wenn er ausführt, dass (Konzern-)Betriebsvereinbarungen als „spezifischere Vorschriften“ eine Befugnisgrundlage iSd Art 6 DS-GVO für eine konzerninterne Übermittlung von Beschäftigtendaten schaffen könnten (gegenständlich auf Basis einer Interessenabwägung nach Maßgabe von Art 6 Abs 1 lit f).51) Rechtswidrig wäre (nur) die Einführung eines generellen Konzernprivilegs ebenso wie ein generelles Verbot der konzerninternen Übermittlung von Beschäftigtendaten. Letztlich bewegt sich Maschmann damit sinngemäß auf dem Boden der ASNEF-Rsp des EuGH52) (zur DS-RL 95/46/EG),53) wonach nationale Maßnahmen, die die Tragweite eines datenschutzrechtlichen Grundsatzes verändern, verboten sind; demgegenüber genießen nationale Maßnahmen, die nur einen dieser Grundsätze näher bestimmen, einen Ermessensspielraum. Bspw darf eine nationale Regelung die – auf den Erlaubnistatbestand der Interessenabwägung gestützte – Verarbeitung bestimmter Kategorien personenbezogener Daten nicht dergestalt kategorisch und verallgemeinernd ausschließen, dass sie für diese Kategorien das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen abschließend vorschreibt, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt.

Mutatis mutandis wären „Kollektivvereinbarungen“, in praxi insb Betriebsvereinbarungen, dann keine genuinen eigenständigen Erlaubnistatbestände für Datenverarbeitungen außerhalb des Kataloges des Art 6 Abs 1 DS-GVO; sie könnten aber entsprechende rechtliche Verpflichtungen gem dessen lit c schaffen oder Leitlinien für eine Interessenabwägung gem dessen lit f vorgeben bzw die Erlaubnis einer genannten oder auch (zur Zweckerreichung) nur erforderlichen Datenverarbeitung indizieren, ohne aber ein von vornherein abschließendes pauschalierendes (Interessen-)Abwägungsergebnis vorgeben zu dürfen.

Der österreichische Gesetzgeber geht davon aus, dass sich Regelungen zum Beschäftigtendatenschutz in arbeitsrechtlichen Vorschriften (zB im Arbeitsverfassungsgesetz) finden54) und schuf deshalb mit dem Datenschutz-Anpassungsgesetz 201855) § 11 Satz 1 DSG 2018, welche Norm das ArbVG, soweit es die Verarbeitung personenbezogener Daten regelt, als Vorschrift iSd Art 88 DS-GVO deklariert. Insofern werden die entsprechenden Normen des ArbVG als nationales Beschäftigtendatenschutzrecht gem dieser Öffnungsklausel ausgewiesen. Aus Sicht und mit der Sichtweise des österreichischen Gesetzgebers kann sohin auch die Ansicht vertreten werden, dass innerhalb des entsprechenden Regelungsrahmens des ArbVG insb Betriebsvereinbarungen gem § 96a ArbVG abschließende pauschalierende (Interessen-)Abwägungsergebnisse vorgeben können, die keinen Raum für eine weitere (datenschutzrechtliche) Interessenabwägung mehr lassen, wenn die Datenverarbeitung für die in der BV jeweils angegebene Zweckerreichung der jeweiligen (Personal-)Maßnahmen, Verpflichtungen oder Ermächtigungen erforderlich ist, und zwar selbst dann, wenn keine explizite Verpflichtung des AG oder BR iSd Art 6 Abs 1 lit c DS-GVO verankert wird.

Letztlich wird die dargestellte Fragestellung des befugten Umfanges einer Erlaubniserteilung zur Datenverarbeitung durch eine Kollektivvereinbarung wohl nur über den Weg eines Vorabentscheidungsersuchens vom EuGH gem Art 267 AEUV rechtssicher beantwortet werden können.

Bis dahin empfiehlt sich aus Gründen rechtlicher Vorsicht, in Betriebsvereinbarungen oder Kollektivverträgen, wenn diese Kollektivvereinbarungen als Erlaubnistatbestände von Datenverarbeitungen von AG und/oder BR dienen sollen, grundsätzlich entsprechende „Verpflichtungen“ (und nicht bloße „Ermächtigungen“) zu formulieren.56) Sollen hingegen nur (nicht verpflichtende) rechtliche Befugnisse geschaffen werden, ist jedenfalls zu empfehlen, die jeweilige Norm der Kollektivvereinbarung entsprechend europarechtlich zu „qualifizieren“ und ausdrücklich als „Erlaubnistatbestand gem Art 88 Abs 1 DS-GVO iVm ErwGr 155 iVm § 11 DSG“ auszuweisen.57) Das dient der Erfüllung des Transparenzgebotes des Art 88 Abs 2 DS-GVO, dessen Vorgaben auch von den Kollektivvertrags- bzw Betriebsparteien zu beachten sind.58) In diesem Sinne von Transparenz empfiehlt sich – auch aus den dargestellten Gründen der Rechtssicherheit – diesfalls weiters die zusätzliche ausdrückliche Berufung auch auf den Erlaubnistatbestand einer Interessenabwägung gem Art 6 Abs 1 lit f DS-GVO.59)

Klar zu stellen ist aber, dass die vorstehenden Ausführungen nichts am Befund gem Kap 2. ändern, dass nach Anwendbarkeit der DS-GVO auch Kollektivverträge und Betriebsvereinbarungen grundsätzlich als „Erlaubnistatbestand“ einer Datenverarbeitung fungieren können.

5. Zusätzliche formale Anforderungen an entsprechende Kollektivvereinbarungen?

Unbeschadet der in Kap 4. ausgesprochenen Empfehlung des Ausweises entsprechender Kollektivvereinbarungen in toto oder nur einzelner ihrer Klauseln als unionsrechtlicher Beschäftigtendatenschutz-Erlaubnistatbestand wird ein solcher ausdrücklicher Umsetzungshinweis von der DS-GVO nicht expressis verbis verlangt60) und kann sich ein entsprechender Umsetzungswille des bzw der Normsetzer insofern auch indirekt aus dem Text erschließen.

Machen die Kollektivvertrags- bzw Betriebsparteien von der Öffnungsklausel Gebrauch, müssen sie auch nicht die zentralen Grundsätze der DS-GVO in wiederholender Weise abbilden,61) das wäre eine unnötige Förmelei.

Selbstverständlich fallen Kollektivvereinbarungen auch nicht – wie von den Mitgliedstaaten erlassene Rechtsvorschriften – unter die unionsrechtliche Meldepflicht gem Art 88 Abs 3 DS-GVO;62) das ergibt sich nicht nur aus dem Wortlaut von Abs 3, der die Kollektivvereinbarungen nicht erwähnt, sondern wäre auch in praxi schlichtweg undurchführbar.

6. Anwendungsbeispiele „europarechtlich qualifizierter“ Kollektivvereinbarungen

Art 88 Abs 2 DS-GVO verfolgt offenkundig das Ziel, eine übermäßige Absenkung des Datenschutzstandards der DS-GVO durch einzelstaatliche Regelungen oder durch Kollektivvereinbarungen zu verhindern.63) Dh das Schutzniveau insb von Betriebsvereinbarungen wird künftighin idR dem allgemeinen Schutzniveau der DS-GVO entsprechen müssen. Allerdings werden alternative Regelungen einzelner Verfahrens- und Sachfragen nicht nur zulässig, sondern auch sinnvoll sein, um den Besonderheiten des Arbeitsverhältnisses oder des jeweiligen Betriebes besser gerecht werden zu können als nach den allgemeinen Vorgaben der DS-GVO.64)

Denkbar sind hiebei insb Verfahrensfragen, bspw die Vereinbarung konkreter technischer und organisatorischer Maßnahmen zur Datensicherheit oder die verpflichtende Durchführung einer Datenschutz-Folgenabschätzung gem Art 35 f DS-GVO unter Einbindung des BR bei der Einführung bestimmter Datenverarbeitungen (zB Monitoring-Software). Aber auch die mögliche Regelung der Art und Weise der Erfüllung von betriebsverfassungsrechtlichen Informationspflichten des AG gehört hierher.

Hinsichtlich Sachfragen kommen etwa Vorgaben zur Speicherdauer und zu den Voraussetzungen einer Löschung oder einer Einschränkung von personenbezogenen Beschäftigtendaten (in Konkretisierung von Art 17 DS-GVO), zB hinsichtlich schriftlicher Verwarnungen, in Betracht.

Ob in diesem Kontext sogar eine kollektive Information des BR an Stelle einer kleinteiligen und aufwändigen Unterrichtung jedes einzelnen Beschäftigten in Betracht käme,65) erscheint aber zweifelhaft und könnte mE höchstens in Sonderfällen unwesentlicher und nur kurzfristig gespeicherter bloß „personenbeziehbarer“ Daten vertreten werden.

Neue Wege könnten auch bei der Sanktionierung von Verstößen des AG beschritten werden, insb mit einer Klausel zu einem entsprechenden Beweiserhebungs- und (folgendem) Beweisverwertungsverbot. Entgegen der bisherigen Rsp66) könnten sich dann nämlich sowohl der BR als auch einzelne AN auf europarechtliche Grundsätze des indirekten Vollzugs von Unionsrecht (insb das Effektivitätsprinzip)67) wie auch auf das Auslegungskriterium der praktischen und effektiven Wirksamkeit (effet utile) von Unionsrecht68) berufen. Daraus könnte nicht nur ein an den AG adressiertes, sondern auch ein behördliches bzw gerichtliches Verwertungsverbot von Beweismitteln (deren Verwertung zum Nachteil der betroffenen AN gereichen würde) abgeleitet werden, wenn diese unter Verstoß gegen die (vermittels der BV konkretisierte) DS-GVO erlangt wurden (zB auf Grund einer – in der BV explizit verbotenen – heimlichen69) und damit rechtswidrigen Überwachung).70) Selbst wenn man einem absoluten Beweiserhebungs- und -verwertungsverbot ablehnend gegenübersteht und stattdessen einer entsprechenden Interessenabwägung im Einzelfall das Wort redet,71) bekämen entsprechende Klauseln in Betriebsvereinbarungen, die sich ausdrücklich auf Art 88 Abs 1 DS-GVO berufen, plötzlich ein (neues) europarechtliches Gewicht, das auch von den Behörden bzw Gerichten zu beachten wäre.72)

7. Folgerungen für datenschutzrechtliche Regelungen in KollV und BV

Neue Kollektivvereinbarungen, in praxi insb Betriebsvereinbarungen, die ab jetzt abgeschlossen werden, sollten natürlich bereits die neuen Begrifflichkeiten und Vorgaben der DS-GVO beachten, um einen diesbezüglichen Anpassungsbedarf bis zum oder nach dem 25.5.2018 zu vermeiden.

Hinsichtlich zum Zeitpunkt 25.5.2018 bestehender (und nicht entsprechend adaptierter) Kollektivverträge und Betriebsvereinbarungen73) ist von Folgendem auszugehen:

Nationale Normen, die in Umsetzung der DS-RL 95/46/EG erlassen worden sind, werden nicht automatisch durch die Anwendbarkeit der DS-GVO mit der DS-RL 95/46/EG gem Art 94 Abs 1 DS-GVO (formell) mit aufgehoben.74) Sie sind in unionsrechtlicher Hinsicht aber daraufhin zu überprüfen, ob sie mit der Anwendbarkeit der DS-GVO noch (materiell) aufrecht erhalten werden können. Ein zwingender Anpassungsbedarf im nationalen Recht besteht bspw sodann nur soweit, wie im Recht der DS-GVO keine Öffnungsklauseln bestehen, die das Aufrechterhalten der nationalen Regelung rechtfertigen.75) Zugleich schlägt hier aber der Rechtsformwechsel dergestalt durch, dass Vorgaben im nationalen Recht, die nicht der DS-GVO entsprechen, von dieser verdrängt werden. Die DS-GVO gilt insoweit gem Art 288 Satz 2 AEUV unmittelbar und es greift insofern der Vorrang des Unionsrechtes.

Diese Rechtslage gilt auch für den normativen Teil von privatrechtlichen Normenverträgen, beitragsgegenständlich Kollektivverträgen und Betriebsvereinbarungen.

In Anbetracht der Öffnungsklausel des Art 88 Abs 1 DS-GVO wird idR von einem Aufrechtbleiben im weitesten Sinn datenschutzrechtlicher Regelungen in Kollektivverträgen und Betriebsvereinbarungen auszugehen sein, zumal sich die bisherigen Datenschutz-Standards inhaltlich nicht wesentlich verändert haben. Sollte dennoch solchen Standards nicht (mehr) entsprochen werden, entweder weil Regelungen in genere der DS-GVO (hinsichtlich „schlichter“ Datenschutz-Kollektivvereinbarungen) oder in specie Art 88 Abs 2 DS-GVO (hinsichtlich „europarechtlich qualifizierter“ Kollektivvereinbarungen) nicht entsprechen oder sogar widersprechen, ist allenfalls die betroffene Regelung im KollV oder in der BV auf Grund des Anwendungsvorrangs des Unionsrechtes nicht (mehr) anwendbar.76) Bspw wird die Regelung in einer BV über eine Videoüberwachung öffentlich zugänglicher Betriebsräumlichkeiten zu Sicherheitszwecken (zB in einer Bank), die auch eine zweckändernde Verarbeitung von Daten über Beschäftigte bei (zufällig mitgefilmten) Disziplinarverstößen allgemein legitimiert, mit Anwendbarkeit der DS-GVO wohl nicht mehr den „Kompatibilitätstest“ des Art 6 Abs 4 DS-GVO hinsichtlich der Vorgabe einer rechtmäßigen Zweckbindung einer Datenverarbeitung bestehen77) und würde damit eine derartige Weiterverarbeitung von Bilddaten trotz Erlaubnis durch die BV rechtswidrig.78) Selbst eine Berufung von AG oder BR auf die Öffnungsklausel des Art 88 DS-GVO mit dem Ziel, einen entsprechenden europarechtlichen datenschutzrechtlichen Erlaubnistatbestand zu schaffen, würde in diesem Beispiel zu keinem anderen Befund führen, da diese „spezifischeren Vorschriften“ nicht – wie in Kap 4. ausgeführt – von allgemeinen Grundsätzen der DS-GVO abweichen dürfen (gegenständlich dem Zweckbindungsgrundsatz des Art 5 Abs 1 lit b DS-GVO).

Ganz wesentlich ist zu beachten, dass dem Verantwortlichen (idR der AG), aber auch dem Auftragsverarbeiter, ab dem 25.5.2018 empfindliche Geldstrafen drohen, wenn gegen Datenschutz-Standards der DS-GVO bzw gegen Pflichten gem den auf der Grundlage der Öffnungsklausel des Art 88 Abs 1 DS-GVO erlassenen nationalen Rechtsvorschriften verstoßen wird.79) Das bedeutet gegenständlich zum einen, dass künftig bestimmte Datenverarbeitungen des AG im Beschäftigungskontext, die entgegen § 96 Abs 1 Z 3 oder § 96a Abs 1 Z 1 ArbVG ohne eine entsprechende BV als notwendige (betriebsverfassungsrechtliche und gleichzeitig datenschutzrechtliche) Legitimationsgrundlage betrieben werden, insb Mitarbeiterüberwachungen, in Folge § 11 Satz 1 DSG 2018 mit einer entsprechenden Sanktion bedroht sein werden.80) Zum anderen würden Verstöße gegen datenschutzrechtliche Pflichten des AG, die in „europarechtlich qualifizierten“ Kollektivvereinbarungen, insb Betriebsvereinbarungen, enthalten sind (zB das Verbot heimlicher Überwachungen oder bestimmte Verwertungsverbote), zu dieser Strafbarkeit führen.

8. Resümee

Man sollte die DS-GVO nicht als lästigen bürokratischen Mehraufwand sehen, da sie den höchst notwendigen Anstoß setzt, die digitale Transformation unserer gesamten Gesellschaft und insb auch der Arbeitswelt, die von den unbändigen Leistungskräften neuer Technologien angetrieben wird, in Bahnen zu lenken, die es beitragsgegenständlich Beschäftigten auch im digitalen Zeitalter erlauben, Rechtsstaatlichkeit, Betriebsdemokratie und Grundrechtsschutz am Arbeitsplatz zu erfahren.

Betriebsbezogen sollte man vielmehr die Chancen des neuen Datenschutz-Rechtsrahmens begreifen und nutzen: Für Betriebsräte tun sich sowohl neue Möglichkeiten der Mitbestimmung (insb hinsichtlich Risikobewertungen iVm Datenschutz-Folgenabschätzungen) als auch neue effektive Durchsetzungsmechanismen (insb Beweisverwertungsverbote) auf; für AG bieten sich organisatorische Erleichterungsmöglichkeiten durch entsprechende Regelungsspielräume an (zB der Wegfall zusätzlicher persönlichkeitsrechtlicher Einwilligungserklärungen von Beschäftigten oder Erleichterungen bei konzerninternen Übermittlungen von Beschäftigtendaten).

1) So auch Hanloser in Forgó/Helfrich/Schneider, Betrieblicher Datenschutz2 (2017) 356.

2) Diese Abkehr vom bei einer (umittelbar anwendbaren) VO grundsätzlich geltenden „Transformations- bzw Wiederholungsverbot“ führt dazu, dass man die DS-GVO auch als sogenannte „hinkende“ VO bezeichnen könnte (dazu näher allg Ranacher/Frischhut, Handbuch Anwendung des EU-Rechts [2009] 80 f; Vcelouch in Mayer/Stöger [Hrsg], EUV/AEUV, Art 288 AEUV Rz 32 [Stand: Dezember 2010,
rdb.at]).

3) Für ein weites Verständnis (einschließlich Beamten) Feiler/Forgó, EU-DSGVO (2017) Art 88 Rz 3.

4) Eine eher unglückliche Übersetzung der englischen Sprachfassung („more specific rules“).

5) ErwGr 155 Satz 1.

6) Pauly in Paal/Pauly (Hrsg), Datenschutz-Grundverordnung (2017) Art 88 Rz 5 mwN.

7) So auch Maschmann in Kühling/Buchner (Hrsg), DS-GVO (2017) Art 88 Rz 28 und Rz 84 jeweils mwN.

8) Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 45.

9) So zB auch Pötters in Gola (Hrsg), DS-GVO (2017) Art 88 Rz 12.

10) So aber Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung (2017) Art 88 Rz 13, dem zufolge deshalb auch diesbezügliche „freiwillige Betriebsvereinbarungen“ zulässig wären, da Art 88 DS-GVO keine gesetzliche Grundlage für eine BV fordere.

11) Vgl allg zur Durchführung bzw Konkretisierung einer „hinkenden“ VO Vcelouch in Mayer/Stöger (Hrsg), EUV/AEUV, Art 288 AEUV Rz 33.

12) Siehe die Präambel, Satz 2 und ErwGr 12 DS-GVO.

13) Vgl Berglez in Mayer/Stöger (Hrsg), EUV/AEUV, Art 16 AEUV Rz 22 (Stand: April 2012, rdb.at).

14) Hesse in Mayer/Stöger (Hrsg), EUV/AEUV, Art 153 AEUV Rz 12 (Stand: Dezember 2012, rdb.at).

15) Hesse in Mayer/Stöger (Hrsg), EUV/AEUV, Art 153 AEUV Rz 22.

16) Vgl entsprechend auch Thüsing/Traut, Zur begrenzen Reichweite der Koalitionsfreiheit im Unionsrecht, RdA 2012, 65 (67).

17) So auch Traut, Maßgeschneiderte Lösungen durch Kollektivvereinbarungen? Möglichkeiten und Risiken des Art 88 Abs 1 DS-GVO, RDV 2016, 312 (313 FN 1).

18) Vgl Felten/Preiss in Gahleitner/Mosler, ArbVR III5 (2015) § 96a Rz 4.

19) Zu dieser Bezeichnung näher Pfeil in Gahleitner/Mosler, ArbVR II5 (2015) § 29 Rz 38.

20) Vgl entsprechend Maschmann in Kühling/Buchner (Hrsg), DS-GVO Art 88 Rz 28.

21) Der nationale Gesetzgeber kann den „gesetzlichen Ort“ seiner beschäftigtendatenschutzrechtlichen Regelungen mangels einer entsprechenden Vorgabe in der DS-GVO frei wählen, er muss eine solche Regelung also nicht im (neu erlassenen) „DSG 2018“ verorten (so auch Angerler/Reven, DSGVO und nationales Arbeitsrecht, in Knyrim [Hrsg], Datenschutz-Grundverordnung [2016] 347 [350]).

22) So auch (zum deutschen TVG und BetrVG) Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 82, obwohl das Betriebsverfassungsgesetz nicht einmal einen § 96a Abs 1 Z 1 ArbVG vergleichbaren Betriebsvereinbarungstatbestand kennt, der so eindeutig auf Beschäftigtendatenschutz zugeschnitten ist; weiters entsprechend Körner, Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung (DS-GVO), HSI-Schriftenreihe Bd 18 (2017) 85.

23) Vgl Köck, Digitalisierung der Arbeitswelt – Weiterbildung, Datenschutz, AN-Schutz und Betriebsverfassung, DRdA 2017, 339 (349), der es (mit einer entsprechenden „Erwähnung in der österreichischen Umsetzungsgesetzgebung“) ausdrücklich begrüßt, dass es diesfalls ermöglicht würde, der BV einen abgesicherten datenschutzrechtlichen Status zu geben und so das „unglückliche Nebeneinander“ von Arbeits- und Datenschutzrecht ein Stück weit zu beseitigen; auf S 350 sieht er diese Rechtsansicht (vor dem Hintergrund von § 29 DSG idF des diesbezüglich im Wesentlichen textgleichen Ministerialentwurfes 322/ME 25. GP) für „vertretbar“ an.

24) So auch Köck, DRdA 2017, 349.

25) Ausschuss für Beschäftigung und soziale Angelegenheiten – EMPL, Parl.-Dok. PE498.045v02-00 vom 4.3.2013, 6 f.

26) AA Angerler/Reven in Knyrim (Hrsg), Datenschutz-Grundverordnung 353.

27) So grundlegend schon Goricnik, Anpassungsbedarf für bestehende Betriebsvereinbarungen vor dem Hintergrund der Europäischen Datenschutz-Grundverordnung? DRdA-infas 2017, 53 (56 ff).

28) ZB mit folgendem Hinweis in den einleitenden Bestimmungen der BV: „Soferne diese Betriebsvereinbarung die Verwendung personenbezogener Daten regelt, gilt diese Betriebsvereinbarung als Erlaubnistatbestand gem Art 88 Abs 1 DS-GVO iVm deren ErwGr 155.“

29) Siehe zu einer entsprechenden Checkliste bspw Angerler/Reven in Knyrim (Hrsg), Datenschutz-Grundverordnung 358 f.

30) Siehe zur entsprechenden Reichweite dieser „Erlaubnis“ und insb zum Verhältnis zum allgemeinen Teil der DS-GVO das nächste Kap 4.

31) Siehe die Nachweise bei Grünanger in Goricnik/Grünanger, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 19.

32) Vgl dazu schon Knyrim/Riedl, Duplik zu Goricnik, Replik zu Knyrim/Riedl, Anm zu DSK 14.12.2012, K600.320-005/0003-DVR/2012 DRdA 2013/37, 350 (Erfordernis einer Betriebsvereinbarung bei Genehmigung eines Hinweisgebersystems bei der Datenschutzkommission), DRdA 2014, 83 (84).

33) ZB Wybitul/Sörup/Pötters, Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der DS-GVO weiter? ZD 2015, 559 ff; Taeger/Rose, Zum Stand des deutschen und europäischen Beschäftigtendatenschutzes, BB 2016, 819 (821 f).

34) So auch Wybitul/Sörup/Pötters, ZD 205, 560.

35) Vgl BAG 29.6.2004, 1 ABR 21/03 zur Videoüberwachung am Arbeitsplatz, nach welcher E eine BV die Persönlichkeitsrechte der Beschäftigten beschränken darf, wenn sie verhältnismäßig ist.

36) So auch Körner, Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung (DS-GVO) 54.

37) Zweifelnd Köck, DRdA 2017, 350.

38) Alles andere wäre eine angesichts der Dynamik der Arbeitswelt klar abzulehnende „Versteinerungstheorie“ (so grundlegend schon Firlei, Mitbestimmung durch Inhaltsnormen? in FS Floretta [1983] 469 [475]).

39) Vgl OGH 24.5.2017, 9 ObA 153/16i.

40) Fritz, Anwendungsbereich und Rechtfertigung – Alles neu macht die DS-GVO? in Jahnel (Hrsg), Datenschutzrecht. Jahrbuch 16 (2016) 9 (38). So auch schon Wybitul/Pötters, Der neue Datenschutz am Arbeitsplatz, RDV 2016, 10 (15) und Angerler/Reven in Knyrim (Hrsg), Datenschutz-Grundverordnung 357.

41) Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung Art 88 Rz 7 und Rz 30.

42) Feiler/Forgó, EU-DSGVO Art 88 Rz 2.

43) Traut, RDV 2016, 317 f; auch Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung Art 88 Rz 24 FN 74 spricht sich für eine entsprechende Einschätzungsprärogative von Tarifvertrags- und Betriebsparteien aus, wie sie den Beschäftigtendatenschutz im Rahmen von Art 88 Abs 2 DS-GVO regeln.

44) Hanloser in Forgó/Helfrich/Schneider, Betrieblicher Datenschutz2 341.

45) Pauly in Paal/Pauly (Hrsg), Datenschutz-Grundverordnung Art 88 Rz 1 und Rz 4.

46) Pötters in Gola (Hrsg), DS-GVO Art 88 Rz 18 und Rz 22.

47) Die ursprüngliche Kommissionsfassung war enger („in den Grenzen dieser Verordnung“), doch gibt es auch weiter formulierte Öffnungsklauseln (zB Art 9 Abs 4 DS-GVO).

48) Der Beschäftigtendatenschutz weist immer häufiger transnationale Bezüge auf, sodass diesbezügliche nationale Sonderrechte mit strengeren Anforderungen gegenüber der DS-GVO besonders störend wären, zumal in diesem Felde nationale Befindlichkeiten oder Traditionen eher selten bestünden.

49) Die durch die DS-GVO geschaffene Balance zwischen Datenschutz und freiem Datenverkehr würde unzulässig gestört, wenn die Mitgliedstaaten beim Beschäftigtendatenschutz Anforderungen stellen dürften, die über eine reine Konkretisierung der Vorgaben der DS-GVO hinausgingen.

50) Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 35 ff.

51) Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 53 f.

52) EuGH 24.11.2011, C-468/10, ASNEF, ECLI:EU:C:2011:777.

53) RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31.

54) ErläutRV 1664 BlgNR 25. GP 13.

55) BGBl I 2017/120.

56) Kollektivvereinbarungen sind wohl als „Recht der Mitgliedstaaten“ gem Art 6 Abs 3 lit b DS-GVO anzusehen (so zB auch Buchner/Petri in Kühling/Buchner, DS-GVO Art 6 Rz 85) und können sohin einen datenschutzrechtlichen Erlaubnistatbestand gem dem allgemeinen Art 6 Abs 1 lit c DS-GVO schaffen.

57) Ist die Verarbeitung sensibler Daten – nach der neuen Terminologie „besonderer Kategorien personenbezogener Daten“ – betroffen (zB Gesundheitsdaten), empfiehlt sich der Ausweis als „Erlaubnistatbestand gem Art 9 Abs 2 lit b DS-GVO“.

58) So auch Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 88; auch Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung Art 88 Rz 11 empfiehlt einen Hinweis, wenn eine BV als Erlaubnistatbestand gelten soll.

59) Vgl Wybitul/Sürup/Pötters, ZD 2015, 562.

60) So auch Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 23.

61) So auch Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 88 zu den Informationspflichten gem Art 12 ff DS-GVO; nach Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung Art 88 Rz 11 reicht ein Verweis auf die Regelungen der DS-GVO an geeigneter Stelle in der BV; so auch Wybitul, Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? ZD 2016, 203 (208).

62) So auch Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 58; Pauly in Paal/Pauly (Hrsg), Datenschutz-Grundverordnung Art 88 Rz 16.

63) Vgl Wybitul, ZD 2016, 207.

64) So auch Wybitul, ZD 2016, 207 f.

65) So Wybitul, ZD 2016, 208 und Traut, RDV 2016, 317.

66) Dazu allg näher (krit) Grünanger/Goricnik in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle 46 ff mit umfangreichen Nachweisen.

67) Nach diesem Prinzip dürfen nationale Verfahrensvorschriften die Geltendmachung von Unionsrecht nicht unangemessen beschränken; hierorts interessiert dabei vor allem der Aspekt nationaler Beweisregeln (dazu näher Ranacher/Frischhut, Handbuch Anwendung des EU-Rechts 265 f; Stöger/Haider in Mayer/Stöger [Hrsg], EUV/AEUV, Art 4 EUV Rz 27 f [Stand: Dezember 2012, rdb.at]).

68) Dazu näher zB Schweitzer/Hummer/Obwexer, Europarecht (2007) Rz 731.

69) Vgl in diesem Zusammenhang insb den Hinweis auf die „Transparenz der Verarbeitung“ in Art 88 Abs 2 DS-GVO.

70) So schon Goricnik, DRdA-infas 2017, 57.

71) So etwa Maschmann in Kühling/Buchner, DS-GVO Art 88 Rz 86.

72) Alle staatlichen Akteure trifft überdies die aus Art 8 EMRK abgeleitete Verpflichtung, das Grundrecht auf informationelle Selbstbestimmung auch in Privatrechtsverhältnissen (insb gegen Willkür des AG) in effektiver Weise zu schützen, vgl EGMR [GK] 5.9.2017, 61496/08.

73) Siehe zu entsprechenden Anleitungen schon Goricnik, DRdA-infas 2017, 58.

74) So bspw auch Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung Art 88 Rz 12.

75) So bspw auch Kühling/Raab in Kühling/Buchner, DS-GVO Art 94 Rz 9.

76) Pötters in Gola (Hrsg), DS-GVO Art 88 Rz 12; in diesem Sinne auch Tiedemann in Sydow (Hrsg), Europäische Datenschutzgrundverordnung Art 88 Rz 23.

77) Insb hinsichtlich Art 6 Abs 4 lit d DS-GVO, da die Weiterverarbeitung de facto nur zu Lasten der betroffenen Beschäftigten ginge.

78) Diese Verarbeitung von Bilddaten als Primärzweck (der Aufrechterhaltung der Disziplin im Betrieb) in der BV zu regeln, verstieße wohl als unverhältnismäßig gegen den Grundsatz der Datenminimierung in Art 5 Abs 1 lit c DS-GVO.

79) Entsprechende Geldbußen können – in extremis – bis zu 20 Mio € oder bis zu 4 % des weltweiten Jahresumsatzes betragen; siehe Art 83 Abs 5, insb lit d, DS-GVO.

80) Siehe dazu schon Knyrim/Schmidt, Der gläserne Mitarbeiter ist schon Realität, Dako 2017/31, 51 und Köck, DRdA 2017, 350.

 

 

Artikel weiterempfehlen

© 2018