Die Anwendbarkeit der europäischen Datenschutz-Grundverordnung (DS-GVO) per 25.5.2018 markiert einen grundlegenden Umbruch im Datenschutzrecht. Der vorliegende Handkommentar verfolgt erklärtermaßen das Ziel, nicht nur die materiellen Neuregelungen im Datenschutzrecht zu interpretieren und Lösungen für die zahlreichen Anwendungsfragen des materiellen Rechts zu erarbeiten. Der Kommentar will vielmehr auch konzeptionell die Konsequenzen aus dem Rechtsformwechsel von der Richtlinie zur Verordnung ziehen; vor diesem Hintergrund sollen die institutionellen und prozeduralen Neuregelungen der DS-GVO mit demselben Gewicht wie das materielle Recht kommentiert werden.

Der Kreis der über zwanzig AutorInnen des Kommentars umfasst HochschullehrerInnen, RichterInnen, MinisterialbeamtInnen, VerwaltungsjuristInnen und FachanwältInnen, die an verantwortlichen Positionen in der datenschutzrechtlichen Praxis tätig sind. Aus österreichischer Sicht dürfen aus diesem Kreis die beiden Universitätsprofessoren Daniel Ennöckl (Universität Wien) und Nicolas Raschauer (Universität Liechtenstein) namentlich hervorgehoben werden.

Eine Besprechung in einer arbeitsrechtlichen Fachzeitschrift konzentriert sich gegenständlich naturgemäß auf Art 88 DS-GVO, welche Öffnungsklausel die „Datenverarbeitung im Beschäftigungskontext“ regelt. Dieser Artikel wird von Jens Tiedemann, Richter am Arbeitsgericht Köln, kommentiert. Dieser unterstreicht die Bedeutung von „Beschäftigtendatenschutz“ für die betriebliche Praxis, wenn er ausführt, dass die diesbezüglichen Datenverarbeitungsvorgänge rund die Hälfte (!) aller Datenverarbeitungsvorgänge in der Privatwirtschaft ausmachen.

Jens Tiedemann schafft ein anschauliches Bild der rechtlichen Auswirkung dieser Öffnungsklausel: Die allgemeinen Regelungen der DS-GVO bilden demnach für AG als für den Datenschutz Verantwortliche358die für die Personalarbeit zentrale und angesichts der Regelung des Art 288 Abs 2 AEUV verbindliche erste Säule für die Beurteilung der Rechtmäßigkeit der Datenverarbeitung im Beschäftigungskontext, während die einzelnen nationalen Regelungen die zweite Säule bilden (Rz 7). Diese nationalen Regelungen dürften dabei eine Verschärfung der datenschutzrechtlichen Anforderungen vorsehen. Dass derartige „Anpassungen nach oben“ ohne Weiteres zulässig seien (zB strenger als Art 7 DS-GVO ein Schriftformgebot für Einwilligungen im Arbeitsverhältnis festlegen dürften, siehe Rz 24), begründet Jens Tiedemann insb mit der fehlenden Kompetenz der Union zur Vollharmonisierung im Bereich von Arbeitsrecht bzw AN-Rechten (aA insb Maschmann in Kühling/Buchner, DS-GVO [2017] Art 88 Rz 39); insofern mutet aber dann sein Postulat, eine Absenkung des materiellen Datenschutzniveaus im Beschäftigungskontext durch mitgliedstaatliche Regelungen sei angesichts der Rechtsnatur der DS-GVO als Verordnung demgegenüber ausgeschlossen (Rz 3), als nicht ganz konsequent an bzw erfordert diese Ansicht in ihrer Allgemeinheit mE einen diffizileren Begründungsansatz, wenn man nicht nur die – zum Schutz betroffener Personen sowieso sehr weitgehenden – inhaltlichen Vorgaben des Art 88 Abs 2 DS-GVO als Schranke nationaler Regelungsermächtigung heranziehen möchte.

Was Betriebsvereinbarungen anbelangt, die ebenfalls von der Regelungsermächtigung der Öffnungsklausel Gebrauch machen können (siehe insb ErwGr 155 DS-GVO), verlangt Jens Tiedemann unter Berufung auf das Transparenzgebot mE zu Recht, dass insofern ausdrücklich erwähnt wird, dass die BV als datenschutzrechtlicher Erlaubnistatbestand (iSv Art 6 DS-GVO) gelten soll (Rz 11). ME kann sich ein entsprechender Umsetzungswille der normsetzenden Betriebsvereinbarungsparteien interpretativ aber auch indirekt aus dem Text einer Erlaubnis-Regelung zur Datenverarbeitung erschließen, zumal die DS-GVO keinen Umsetzungshinweis verlangt; so wird wohl auch Jens Tiedemann zu verstehen sein, da er nur sanktionslos von einem „Sollen“ spricht.

Wenn er in diesem Zusammenhang weiters postuliert, dass auch „freiwillige Betriebsvereinbarungen“ datenschutzrechtliche Erlaubnistatbestände darstellen könnten, da Art 88 DS-GVO keine gesetzliche Grundlage für eine entsprechende BV erfordere, ist das mE aber missverständlich: Ist damit gemeint, dass es im nationalen Recht keines speziellen Kompetenztatbestandes für eine eigene „Datenschutz-Betriebsvereinbarung“ bedarf, ist das zutreffend, dh die Betriebsvereinbarungsparteien können sich diesbezüglich auf verschiedene Kompetenztatbestände (im Betriebsverfassungsrecht) stützen und von der Öffnungsklausel Gebrauch machen, wenn sie in der jeweiligen BV auch die Verarbeitung bzw Übermittlung von AN-Daten (idR als Annex) erlauben und näher regeln wollen. Wäre aber damit gemeint, dass die Betriebsvereinbarungsparteien praeter legem „freie“ Betriebsvereinbarungen mit der Wirkung datenschutzrechtlicher Erlaubnistatbestände schaffen könnten, ginge diese Ansicht mE zu weit (vgl Goricnik, DRdA-infas 2017, 57).

Resümierend eröffnet der Handkommentar dem Leser eine wissenschaftlich ansprechende und doch übersichtliche Orientierung in diesem neuen Datenschutzregime und wird – auch durch einen umfangreichen Zitierapparat – eine wertvolle Hilfestellung bei der ersten rechtlichen Einordnung der neuen Bestimmungen geboten.

Ein ausführliches Stichwortverzeichnis rundet das sehr gelungene Werk ab.

Es handelt sich bei diesem Kommentar sohin um ein wichtiges Handwerkszeug für Jeden, der mit Datenschutzrecht – auch nur in Österreich – zu tun hat.