In der folgenden Duplik zum Beitrag von Goricnik, DRdA 2013, 554 soll das Problem des komplexen Zusammenspiels von Datenschutz und Arbeitsrecht und des fehlenden rechtlichen Instrumentariums in der praktischen Handhabung näher ausgeführt werden. Zur Frage, inwieweit die Einführung einer Whistleblowing- Hotline einer Betriebsvereinbarungspflicht unterliegt, haben wir bereits in unserer Entscheidungsbesprechung darauf hingewiesen, dass es hier in der Fachliteratur durchaus unterschiedliche Ansichten gibt. Insb Mazal (ecolex 2009, 1034) bemerkt kritisch, dass die Frage, ob die Einführung von Systemen, die auf Whistleblowing setzen, der Zustimmung des BR bedürfen, von ihrer konkreten Ausgestaltung abhängt. Brodil (ecolex 2009, 1025) wiederum betont, dass es sich bereits aus der spezifischen Ausprägung der Treuepflicht ergibt, dass der AN ihm bekannt gewordene, drohende Schäden oder Störungen des Arbeitsablaufes, die Nachteile für den AG zur Folge haben können, selbständig anzuzeigen hat. Er hält eine fakultativ erzwingbare BV gem § 97 Abs 1 Z 1 ArbVG als betriebliche Ordnungsvorschrift für denkbar.

Geht man, wie Goricnik, davon aus, dass die Datenschutzkommission (DSK) die kollektivarbeitsrechtliche Frage als Vorfrage gem § 38 AVG zu behandeln hat, ist zu bedenken, dass die Behörde im Allgemeinen verpflichtet ist, bezüglich der Vorfrage ein ordnungsgemäßes Ermittlungsverfahren durchzuführen, also jene Ermittlungen vorzunehmen, welche die zur Entscheidung dieser Vorfrage als Hauptfrage zuständige Behörde anzustellen gehabt hätte. Das Ergebnis der Vorfragenbeurteilung ist im Bescheid gem § 60 AVG zu begründen (Hengstschläger/Leeb, AVG § 38 Rz 31 und 32). Im vorliegenden Fall hat die DSK lediglich ausgeführt, dass „die DSK regelmäßig davon ausgehe, dass es sich bei Kontrollsystemen wie dem hier einzuführenden, um solche handelt, die den Mitwirkungsrechten der §§ 96 und 96a ArbVG unterliegen.“ Weiters führt die DSK aus, „dass die von der Auftraggeberin im Genehmigungsverfahren vertretene Auffassung, die von ihr geplante Maßnahme unterliege nicht den Mitwirkungspflichten des Betriebsrats, weil die Auftraggeberin ihre Mitarbeiter nicht zur Überwachung auffordere, sondern ihnen nur eine Möglichkeit der Meldung illegalen Verhaltens anbietet, nicht überzeuge. Dazu genügt – ohne dass es einer grundsätzlichen Erörterung der Tauglichkeit dieses Argumentes bedarf – schon der Hinweis auf den von der Auftraggeberin vorgelegten Verhaltenskodex, aus dem hervorgeht, dass „Mitarbeiter ... darin bestärkt und dazu angehalten [werden], mögliche Verletzungen des Verhaltenskodex mitzuteilen.83“

Dass die E der DSK auch aus anderen Gründen, ua wegen Bedenken hinsichtlich des Rechtes auf den gesetzlichen Richter, kritisch zu beurteilen ist, hat bereits Brodil (ZAS 2013/45) ausgeführt.

Eigentliche Zielrichtung unserer Entscheidungsbesprechung war aber nicht, in extenso die Frage zu diskutieren, ob nun eine Whistleblowing-Hotline betriebsvereinbarungspflichtig ist oder nicht, sondern darauf hinzuweisen, dass diese Diskussion vor der DSK geführt wird und nicht vor den eigentlich für die Durchsetzung des Arbeitsverfassungsrechtes zuständigen Arbeitsgerichten. Wir befassen uns als Rechtsberater täglich mit Fragen des Datenschutzrechtes und stellen seit Jahren fest, dass in Unternehmen Datenschutzthemen oft in komplexer Weise in Zusammenhang mit arbeitsrechtlichen Fragen stehen. Wir stehen mittlerweile regelmäßig vor offenen arbeitsrechtlichen Fragen, zu denen es keine aktuellen Antworten von dort gibt, wo man sie erwarten würde, nämlich den Arbeitsgerichten.

Die Replik von Goricnik belegt genau diese Problematik eindrucksvoll: Zu einem Problem aus dem Kernbereich des Arbeitsverfassungsrechtes kann dieser zwar mittlerweile Einiges an juristischer Fachliteratur zitieren sowie mehrere Entscheidungen der DSK und des VfGH, allerdings kommt in der Replik lediglich eine einzige (!) E des OGH in einer Arbeitsrechtssache (aus dem Jahr 2001) vor.

Genau dies ist auch Bild unserer Arbeit im Datenschutzrecht, wenn es um Fragen der Mitarbeiterdatenverarbeitung geht: Wir finden nur selten Antworten der Arbeitsgerichte auf zum Teil brennende Fragen zu diesem Themenbereich. Beispielhaft sei hier etwa der Komplex der kollektiven Regelung der Überwachung von E-Mails und Internetverkehr der Mitarbeiter genannt – eine der Leitentscheidungen ist immer noch die sogenannte „Telefonanlagen-Entscheidung“ des OGH aus dem Jahr 2002 (OGH 13.6.2002, 8 ObA 288/01p); zum praxisrelevanten Themenbereich der Übermittlungen von Mitarbeiterdaten in internationalen Konzernen bei Matrixorganisationen gab es wieder einmal eine erste Lösung dieser Problematik durch Judikatur der DSK (K178.414/0006-DSK/2011 und K178.447/0009-DSK/2012), soweit ersichtlich aber bislang keine arbeitsgerichtliche Judikatur. Dies zeigt, dass die im ArbVG vorgesehenen Mechanismen zur Rechtsfortbildung in der Praxis offensichtlich nicht ausreichend funktionieren. Die Kluft zwischen dem Fehlen grundlegender Entscheidungen in arbeitsverfassungsrechtlichen Fragen durch die Gerichte zum Thema der Nutzung von Mitarbeiterdaten und den immer zahlreicheren Entscheidungen der DSK zu diesem Thema wächst.

Wir dürfen daher unsere Duplik mit dem Aufruf beenden, darüber nachzudenken, ob diese Entwicklung wirklich so gewollt ist. Ebenfalls sollte überlegt werden, die bestehenden, aus den Jahren 1974 (§ 96 ArbVG) und 1986 (§ 96a ArbVG) stammenden gesetzlichen Regelungen zum Thema „Verarbeitung von Arbeitnehmerdaten“ zu überarbeiten und zu diesen Antworten zu den Fragen des 21. Jahrhunderts zu finden.

In Deutschland wird bereits seit Jahren die Diskussion zur Einführung eines eigenen Beschäftigtendatenschutzes geführt (siehe etwa Wybitbul, ZD 1/2012, 1). Diese Diskussion muss in Österreich nun dringend gestartet werden: Die Schaffung eines eigenen „Arbeitnehmerdatenschutzrechtes“ ist insb im Hinblick auf die Pläne der Europäischen Kommission, ein vollständig neues, direkt anwendbares EU-Datenschutzrecht in Form einer EU-Verordnung zu schaffen, notwendig, da dieser Bereich des Rechts in Art 82 des EU-Entwurfes ausdrücklich dem nationalen Gesetzgeber überlassen wurde, während im Übrigen im Datenschutzrecht kaum mehr Freiraum für eine national eigenständige Regelung bestehen wird. Der Entwurf der EU-Kommission sieht auch ein sogenanntes „One-Stop-Shop“-Verfahren für Konzerne vor: Diese sollen künftig die Möglichkeit haben, Datenschutzthemen für ganz Europa mit der Datenschutzbehörde an ihrer Hauptniederlassung zu klären. Eine Rechtsfortbildung im Bereich des ANDatenschutzrechtes wie bisher durch die österreichische DSK wird es dann kaum mehr geben, sondern es wird über den notwendigen Interessenausgleich zwischen österreichischen AG (die zu internationalen Konzernen gehören) und deren AN dann von Verwaltungsbehörden in anderen Mitgliedstaaten entschieden werden, wenn es bis dahin (in zwei bis drei Jahren) kein österreichisches AN-Datenschutzrecht inklusive laufender Rechtsfortbildung durch österreichische Gerichte gibt.84