Digitalisierung der Arbeitswelt – Weiterbildung, Datenschutz, AN-Schutz und Betriebsverfassung*
Digitalisierung der Arbeitswelt – Weiterbildung, Datenschutz, AN-Schutz und Betriebsverfassung*
Ausgangslage
„Industrie 4.0“ und „Arbeit 4.0“?
Beispiele
Digitalisierung erfasst Dienstleistungssektor und KMUs
Resultierende Problemstellungen
Arbeitsmarkt und Arbeitnehmerqualifizierung
Daten
Sonstige betriebliche Auswirkungen
Weiterbildung
Überbetrieblich: Bildungskarenz und Bildungsfreizeit
Betrieblich: Was leistet das Betriebsverfassungsrecht?
Betrieblich/überbetrieblich: Arbeitsstiftungen
Schlüsse und offene Fragen
Datenschutz und Datensicherheit
Gesetzliche Ausgangslage
Bruchstellen: Kritik an der bestehenden Gesetzeslage
Probleme in § 96 Abs 1 Z 3 und in § 96a Abs 1 ArbVG
Die „Wandlungsthese“ des OGH
Zwischen-Fazit im Betriebsratsbetrieb
Der betriebsratslose Betrieb
Die besonderen Schwachstellen des § 10 AVRAG
Weitere datenschutzrechtliche Probleme
Fazit
Die neue DS-GVO
Allgemein
Wesentliche Inhalte
Wesentliche Einschätzung für das Arbeitsrecht in Österreich
Einschätzung und Ausblick für den AN-Datenschutz in Österreich
Arbeitnehmerschutz – Chancen und Gefahren
Ausgangslage: Abnahme physischer und Zunahme psychischer Belastungen?
Die potenzielle Rolle der Digitalisierung bei psychischen Belastungen
Betriebsverfassungsrecht
Betriebsbegriff
Mitwirkungsrechte des BR
Resümee und Ausblick: Wie fit ist das österreichische Arbeitsrecht für „Industrie 4.0“?
Das Schlagwort „Industrie 4.0“ bezeichnet üblicherweise die sogenannte „vierte industrielle Revolution“. Die erste industrielle Revolution war der339Übergang von der Agrar- zur Industriegesellschaft, die zweite die Herausbildung der Massenproduktion und die dritte der überwiegende Einsatz von Elektronik und Informationstechnologie. Die vierte benennt eine neue Dimension der Digitalisierung: Die digitale Kommunikation von Menschen, Maschinen und Objekten, also die umfassende Verbindung der physischen mit der digitalen Welt. Vor allem die Internet-Vernetzung spielt dabei eine wesentliche Rolle; die enge betriebliche Sphäre wird zu einer globalen Einsetzbarkeit aufgelöst. Wertschöpfungsketten und Arbeitsabläufe werden über die Grenzen von Ländern und Kontinenten hinaus digital integriert.
Auch das Schlagwort „Arbeit 4.0“ ist gängig. Die beiden Phänomene hängen über die Digitalisierung zusammen, aber die „neue Arbeit“ 4.0 wird oft als Produkt weiterer Faktoren gedeutet, insb auch der Globalisierung, der demographischen Entwicklung und des kulturellen Wandels.* Griffig auf den Punkt gebracht: „Neue Arbeit“ sei mehr als „alte Arbeit mit Internetanschluss“.*
Die Beispiele für die besondere Integration von Menschen, Maschinen und Objekten sind vielfältig:
Im Großen wird dabei von Cyber-Physischen-Systemen gesprochen; dabei werden Maschinen, Werkzeuge und Produkte auch über regionale Grenzen hinweg zusammengeschaltet.
Im Kleineren sind vielfältige GPS-gestützte Gegenstände, aber auch tragbare Computer zu erwähnen. „Smarte“ Hilfsmittel, wie Brillen oder Handschuhe, vernetzen arbeitende Menschen mit den sonstigen digitalen Systemen und erleichtern oder kontrollieren Arbeitsabläufe.
Roboter wurden bislang tendenziell autonom und abgesperrt eingesetzt; nun kommt es zum Einsatz von „Cobots“ – „collaborative robots“, die Hand in Hand mit AN in Einsatz sind. In ähnlicher Weise werden zB Exoskelette eingesetzt, bei denen es ebenfalls zu einer Unterstützung von AN durch Maschinen kommt.
Die Digitalisierung erfasst nun auch in massiver und vernetzter Weise den Dienstleistungssektor; dabei werden Branchen erreicht, die bislang weniger oder nur punktuell von Digitalisierung betroffen waren, etwa die Rechtsberatung oder die Medizin. Im Zusammenhang damit stehen die Fortschritte bei der künstlichen Intelligenz.
Die zunehmende Qualität elektronischer Übersetzungen ist ein einfaches Beispiel dafür. Robotic Process Automation („RPA“) ermöglicht zB die Kategorisierung von E-Mails und die Erstellung von automatisierten Antwortvorschlägen. Im Rechtsbereich ermöglicht Software die Analyse großer Dokumenten- und Textmengen auf bestimmte inhaltliche Parameter, sodass der Einsatz im Bereich großer Due Diligence-Untersuchungen für bestimmte einfache Parameter heute schon Realität ist. Software erhält eine Lernkomponente („cognitive Software“).
Zuletzt: Viele Digitalisierungsschritte sind so einfach und billig geworden, dass auch Klein- und Kleinstbetriebe entweder nicht daran vorbeikommen („Registrierkasse am Würstelstand“) und sie auch produktiv einsetzen können.
Die genauen quantitativen Auswirkungen dieser Entwicklungen auf dem Arbeitsmarkt werden unter Ökonomen noch kontrovers diskutiert. Viele Details sind unklar und zT auch umstritten. Insb müssen die quantitativen Auswirkungen auf einzelne Länder, auf die einzelnen Branchen und zB auch auf die unterschiedlichen Geschlechter separat untersucht werden.*
Auch die häufig als zu erwartend erwähnte „Polarisierung“ – das Zunehmen hoch qualifizierter und (sehr) niedrig qualifizierter Jobs, verbunden mit einem Abschmelzen der mittel-qualifizierten Stellen – mag plausibel sein. Empirisch schien das Bild bislang aber nicht ganz klar zu sein.*
Einigkeit besteht jedenfalls darin, dass tendenziell ein erheblicher Um- und Höherqualifizierungsbedarf der AN in vielen Branchen besteht.340
Ein weiterer Effekt der Digitalisierung ist der stark zunehmende Anfall von Daten.* Je mehr die arbeitenden Menschen mit den digitalen Systemen vernetzt sind, umso eher sind die anfallenden Daten personenbezogen. Und je mehr personenbezogene Daten anfallen, umso mehr wird auch Datensicherheit zum Thema.
Die Digitalisierung bringt daher auch einen neuen Fokus auf die Herausforderungen des Datenschutzes und der Datensicherheit mit sich. Die EU hat durch die jüngst erfolgte Verabschiedung der Datenschutz-Grundverordnung („DS-GVO“)* die Weichen für ein verstärkt einheitliches Datenschutzregime in der Europäischen Union gestellt.
Zusätzlich kommt es zu verschiedenen weiteren betrieblichen Auswirkungen, die rechtlich eine Herausforderung darstellen. Wie verändert die Digitalisierung die Arbeitswelt und welche Auswirkungen hat das auf die Anliegen des AN-Schutzes, vor allem die Gefahren für die psychische und physische Gesundheit? Und wie wirkt sich die Digitalisierung betriebsverfassungsrechtlich aus?
Rechtlich handelt es sich dabei um ein Regelungsmodell, wie es mittlerweile in Österreich vielfach angewendet wird: Es stehen einerseits sozialrechtliche Leistungen zur Verfügung, deren Inanspruchnahme durch eine parallele und verzahnte arbeitsrechtliche Rahmenregelung andererseits ermöglicht wird. Selbstverständlich kann jeder AN mit dem AG (freiwillig) eine Karenzierung für Bildungszwecke (oder auch ohne spezielle Zwecke) vereinbaren, aber nur, wenn bestimmte Voraussetzungen erfüllt sind, liegt eine „Bildungskarenz“ iSd Gesetzes vor, die dann auch die sozialrechtlichen Ansprüche mit sich bringt.
Die arbeitsrechtlichen Rahmenbestimmungen in § 11f AVRAG sind einfach gehalten, die Voraussetzungen sind klar.* Zusatzkosten für den AG bestehen bei der Bildungskarenz praktisch keine,* bei der Bildungsteilzeit nur geringe.* Soweit man aus den publizierten Gerichtsentscheidungen ersehen kann, gibt es dazu wenig Streit. Die parallele sozialversicherungsrechtliche Regelung findet sich in den §§ 26 f AlVG. Als Leistung der AlV wird das Weiterbildungsgeld und das Bildungsteilzeitgeld vorgesehen. Auch diese Regelung ist relativ liberal, es liegen nur niedrige Anforderungen an die Bildungsmaßnahme vor.*
Strukturell sind Bildungskarenz und Bildungsfreizeit also staatliche Unterstützungen von privat initiierter Weiterbildung, grundsätzlich im aufrechten Dienstverhältnis. Aus der Sicht der gegebenen Problemstellung ist das ein wünschenswerter Mechanismus, weil diese überbetrieblich finanzierte Weiterbildung präventiv angelegt ist und nicht erst eingreift, wenn Strukturprobleme zu Arbeitslosigkeit geführt haben. Bildungskarenz und Bildungsfreizeit zeigen auch, dass das österreichische Arbeitslosenversicherungsrecht schon seit längerem den Schritt zur systematischen Finanzierung offensiver überbetrieblicher Weiterbildung gemacht hat – eine im Grunde zu begrüßende Diagnose.
Dh aber nicht, dass Bildungskarenz und Bildungsteilzeit optimal eingesetzt und besonders effektiv wirksam sind, um die Umschulungs- und Weiterbildungsprobleme der Digitalisierung zu adressieren.* Von der Akzeptanz her gelten beide Mechanismen als Erfolgsgeschichte – die Bildungskarenz noch mehr als die Bildungsfreizeit.* Aber die „Treffsicherheit“ steht in Frage: Werden Weiterbildungsgeld und Bildungsteilzeitgeld von denen in Anspruch genommen, die die Weiterbildung am dringendsten benötigen würden, oder eher von den schon recht gut (Aus)Gebildeten, die darüber schlicht eine noch höhere Qualifikation erreichen?* Die Fragestellung soll nicht suggestiv sein; aber strukturell eignen sich Bildungskarenz und Bildungsteilzeit aufgrund ihrer Offenheit und Liberalität nicht gut für eine zielgerichtete Bekämpfung digitalisierungsbedingter Qualifikationsdefi-341zite. Und es könnte durchaus sein, dass der stark individualrechtliche Ansatz der Regelungen gerade im Bereich der niedrig-qualifizierten AN zu einer geringen Inanspruchnahme führt.
Interessanterweise betrifft die wohl prominentes te jüngste OGH-E zur Bildungskarenz* genau diese strukturelle Frage, wozu die Bildungskarenz eigentlich da ist: Der OGH hat ohne zu zögern eine Bildungskarenzvereinbarung auch dann als eine solche iSd AVRAG beurteilt, wenn schon vorweg mit Ende der Bildungskarenz auch eine Beendigung des Dienstverhältnisses vereinbart wurde. Das ist bemerkenswert: Man hätte auch sagen können, es sei ein zweckwidriger Einsatz einer auf Karenzierung (also auf Wiederkehr ins bestehende Dienstverhältnis) abzielenden Regelung, wenn gleichzeitig die Beendigung vereinbart wird. Dem Anschein nach will ja das Weiterbildungsgeld Bildungsmaßnahmen im bestehenden Job finanzieren, und nicht eine Weiterbildung zum Zweck des Job-Wechsels. Aber mE hat der OGH sowohl juristisch als auch rechtspolitisch klug entschieden und sich nicht vom Anschein enger Teleologie leiten lassen. Ein implizites Verbot der unmittelbar auf die Bildungskarenz folgenden Beendigung wäre in präziser Ausformung nicht begründbar und hätte wieder Anlass für Umgehungen geboten. Und aus der Sicht des Arbeitsmarktes ist es gleichgültig, bei welchem AG die höhere Qualifizierung eingesetzt wird. Diese Rsp hat daher die Bedeutung der Bildungskarenz noch einmal gestärkt. Zu unterstellen ist, dass sie auf die Bildungsteilzeit problemlos übertragen werden kann.
Über das Ausmaß und die Bedeutung der innerbetrieblichen Weiterbildung scheinen keine veröffentlichten Daten vorzuliegen.* Man kann aber zumindest fragen, inwieweit ein betriebsverfassungsrechtlicher Rahmen vorliegt, der die innerbetriebliche Weiterbildung fördert.
Tatsächlich enthält das ArbVG einen ausgeklügelten und umfangreichen Katalog von Mitwirkungsrechten des BR, die auf Aus- und Weiterbildung („Schulung“ iwS) gerichtet sind, insb den gesamten § 94, wie auch die Betriebsvereinbarungstatbestände in § 97 Abs 1 Z 5 und 19 ArbVG.
Dass die dort angesprochene „Schulung“ auch die Weiterbildung erfasst und nicht nur die Ausbildung auf die betriebliche Funktion, ist Literaturstand* und sollte nicht in Frage stehen. In der Sache liegen grundsätzlich Informations- und Beratungsrechte des BR* vor, verbunden auch mit einem Interventionsrecht.* ZT besteht sogar eine Ermächtigung zu betriebsverfassungsrechtlichen Normen, also zur Möglichkeit, die Rechte des BR durch BV zu gestalten bzw zu erweitern (so in § 94 Abs 3 Satz 2 ArbVG betreffend die Mitwirkung an der Planung und Durchführung der betrieblichen Berufsausbildung sowie betrieblicher Schulungs- und Umschulungsmaßnahmen und in Abs 6 leg cit betreffend die Teilnahme des BR an der Verwaltung von Schulungs- und Bildungseinrichtungen). Der BR hat auch ein Recht zur Teilnahme an Verhandlungen mit dem AMS.* Die Teilnahme des BR an der Verwaltung von Schulungseinrichtungen ist sogar erzwingbar; ihre Errichtung und Ausgestaltung ist zumindest durch BV regelbar.*
Das ist ein enggeflochtener und umfangreicher Katalog, der die Wichtigkeit von Schulung für die AN unterstreicht. Was der Katalog faktisch bewirkt, bleibt allerdings zu bezweifeln. Die Errichtung einer Schulungseinrichtung oder das Ergreifen einer Schulungsmaßnahme bleibt letztlich dem AG überlassen, im Regelfall wird das auch für die Finanzierung gelten. Wieviel diese Regelungen zu einer positiven Weiterbildungshaltung beitragen, sei dahingestellt.
„Zu gut“ hat es der Gesetzgeber mE jedenfalls mit den Rechten des BR bei der Beendigung von Schulungseinrichtungen gemeint: Das Anfechtungsrecht des BR bei Auflösung der Einrichtung* hängt nach dem Wortlaut des Gesetzes – anders als bei Wohlfahrtseinrichtungen* –, wenn die Auflösung nicht durch BV geregelt ist, nicht davon ab, dass der BR zur Finanzierung beigetragen hat.* Ich halte das sowohl für unsachlich als auch für kontraproduktiv. Wenn die Errichtung der Einrichtung eine freie Entscheidung des AG ist, er die Einrichtung finanziert und darüber auch nichts vereinbart ist, warum soll dann der BR die Auflösung verhindern können? Die Regelung ist überschießend, wenn sie nicht ohnehin einschränkend zu interpretieren ist. Das soll kein empirischer Befund sein, wonach sich AG durch das Wissen über diese Anomalie großflächig von der Errichtung von betrieblichen Schulungseinrichtungen abhalten ließen. Letztlich scheinen in Österreich (soweit ersichtlich; anders als in Deutschland*) keine umfassenden Daten zur betrieblichen Weiterbildung verfügbar.
Arbeitsstiftungen stellen ein flexibles und durchaus facettenreiches Instrument der Umschulung bzw Weiterbildung bei Arbeitslosigkeit dar.* Anders als bei der Bildungskarenz liegt keine arbeitsrechtliche Rahmenregelung vor. Auch die gesetzliche „Regelung“ im Sozialrecht ist nur dürftig, sie findet sich im AlVG bei der Regelung des verlängerten342Arbeitslosengeldbezugs (§ 18 Abs 5-9 AlVG; es ist eine Verlängerung bis zu vier Jahre möglich). Allerdings ist eine detaillierte bundesweite RL des AMS dazu vorhanden.*
In der Sache handelt es sich bei Arbeitsstiftungen um betrieblich oder auch überbetrieblich organisierte Einrichtungen, die sowohl betriebsspezifisch oder auch branchenspezifisch oder regional organisierbar sind; sie bedürfen stets der Einbindung des AMS.* Der Einsatz erfolgt (zumindest in jüngerer Zeit) reaktiv und krisenorientiert, die arbeitsrechtliche Einbindung erfolgt in aller Regel durch Sozialpläne. Die Finanzierung ist idR eine geteilte – über Sozialpläne können AG auch Finanzierungsbeiträge leisten, die es dem AMS dann ermöglichen, stiftungsorganisierte Maßnahmen durch das verlängerte Arbeitslosenversicherungsgeld zu finanzieren.
Strukturell handelt es sich also um idR co-finanzierte Maßnahmen, die freilich nicht offensiv bzw präventiv, sondern reaktiv Weiterbildung für arbeitslose Personen leisten.
Die österreichischen gesetzlichen Rahmenbedingungen für Weiterbildung als Schutzmaßnahme gegen digitalisierungsbedingte Arbeitslosigkeit erscheinen ansprechend. Die AlV ist schon seit langem nicht mehr nur reaktiv. Auch die (oben nicht erwähnte) nunmehr klare und durchaus faire Rechtslage betreffend den Ausbildungskostenrückersatz* ist hilfreich und ausbildungsfördernd.
Die offenen Fragen scheinen mir im Wesentlichen Folgende zu sein:
Stehen ausreichende und zielgerichtete staatliche Mittel zur Verfügung? Derzeit scheinen zB keine Arbeitsstiftungen vorhanden zu sein, die den digitalisierungsbedingten Qualifikationsbedarf speziell adressieren.
Die Treffsicherheit des vorhandenen Instruments der Bildungskarenz und der Bildungsteilzeit steht in Frage.
Dass auch eine Diskussion der Frage eines Rechtsanspruchs auf Weiterbildung – am ehesten wohl als (mehr oder weniger intensiv ausgestalteter) Rechtsanspruch auf Bildungskarenz bzw -teilzeit – begonnen hat, ist nicht überraschend.* Das Treffsicherheitsproblem wird dadurch jedoch nicht gelöst. Vor allem aber würde ein solches Instrument – wenn es dem Muster der jüngeren vergleichbaren Instrumente folgt, insb der Wiedereingliederungsteilzeit – Gefahr laufen, durch hohe Regulierungsdichte und daraus resultierende explizite oder implizite Kosten für die AG an Akzeptanz und Attraktivität einzubüßen. Es ist gerade die Niedrigschwelligkeit von Bildungskarenz und Bildungsteilzeit, die diese Instrumente sowohl bei AG als auch AN so attraktiv macht.
Strukturell muss die Beobachtung vorangestellt werden, dass es in Österreich praktisch keine materiellen (also inhaltlichen) Regelungen des AN-Datenschutzes gibt, weder im DSG 2000* noch sonst wo.* Selbstverständlich kennen wir Arbeitsrechtler den wesentlichen Regelungskatalog in § 96 Abs 1 Z 3 sowie § 96a Abs 1 ArbVG und § 10 AVRAG, wonach (grob gesagt) die Menschenwürde berührende Kontrollsysteme einer BV bzw im betriebsratslosen Betrieb einer Einzelzustimmung der AN bedürfen und bestimmte Personaldatenverarbeitungen (Personalinformationssysteme), die nicht in § 96a Abs 1 Z 1 ArbVG freigestellt sind, ebenfalls einer BV bedürfen, wobei Gleiches gem § 96a Abs 1 Z 2 ArbVG für bestimmte Personalbeurteilungssysteme gilt; die beiden letztgenannten Betriebsvereinbarungstatbestände bezeichnen allerdings anders als § 96 Abs 1 Z 3 ArbVG erzwingbare Betriebsvereinbarungen, bei ihnen schweigt das Gesetz zum betriebsratslosen Betrieb.
Inhaltlich sind das keine materiellrechtlichen Datenschutzbestimmungen, sondern lediglich Zustimmungspflichten. Man muss fragen, wie diese Bestimmungen datenschutzrechtlich wirken.*
Das DSG geht (im Ansatz der Datenschutz-RL folgend) von der Grundregel aus, dass jede Verwendung personenbezogener Daten einer Rechtfertigung bedarf. Dazu gibt es (bei nicht-sensiblen Daten) im Wesentlichen drei Möglichkeiten:*
Die Datenverarbeitung hat eine gesetzliche Grundlage. Arbeitsrechtlich ist daran interessant, dass die Verarbeitung auf Grundlage eines KollV oder einer BV nicht ausreicht, es ist vielmehr (anders als im deutschen Recht) ein Gesetz im formellen Sinn erforderlich;* oder
die Datenverarbeitung liegt in den überwiegenden Interessen des Auftraggebers (wozu auch die Erforderlichkeit zur Vertragserfüllung gehört*); oder343
es liegt die Zustimmung des Betroffenen vor. Das Problem daran liegt in der datenschutzrechtlichen Rechtslage dahingehend, dass diese Zustimmung nicht nur spezifisch sein (also die verarbeiteten Daten genau bezeichnen) muss, sondern insb, dass diese Zustimmung jederzeit frei widerrufbar sein muss* und der Betroffene auf dieses Recht im Rahmen seiner Zustimmung auch ausdrücklich hingewiesen werden muss.* Die meisten digitalisierungsbedingten betrieblichen Verarbeitungen von AN-Daten sind systematischer Art, bei denen man einen freien Einzelwiderruf nicht akzeptieren kann; damit scheitert aber auch ganz praktisch gesehen die datenschutzrechtliche Einzelzustimmung als Grundlage für die meisten Massenverarbeitungen im betrieblichen (zB im produzierenden) Kontext.* Klar ist im Übrigen auch,* dass der BR kein datenschutzrechtlicher Stellvertreter aller Belegschaftsmitglieder ist, sodass er durch die BV eine Art Einzelzustimmung erteilen könnte.*
Man kommt daher zum scheinbaren Ergebnis, dass die arbeitsrechtlichen datenschutzbezogenen Betriebsvereinbarungen nach §§ 96 und 96a datenschutzrechtlich schlechthin irrelevant wären.* Die Betriebsvereinbarungstatbestände des ArbVG sind auch per se keine datenschutzrechtlichen Bestimmungen – § 96 Abs 1 Z 3 ArbVG knüpft an Kontrolle und nicht an Datenschutz an, § 96a Abs 1 Z 2 ArbVG an die Personalbeurteilung; und auch wenn insb § 96a Abs 1 Z 1 ArbVG sicherlich einen datenschutzrechtlichen Telos hat, so bleiben diese Betriebsvereinbarungstatbestände doch bloße Blankettnormen, die eine arbeitsrechtliche Zustimmung erfordern, aber nicht sagen, was überhaupt mit welchen Kautelen einer Zustimmung zugänglich ist. Sie stellen auch keine inhaltlichen Anforderungen noch wird behauptet, damit sei die bezuggenommene Datenverarbeitung in jeder Hinsicht auch gerechtfertigt.
Die arbeitsrechtlichen Regelungen gelten also neben und zusätzlich zum DSG.* Das ist eine besonders unbefriedigende Rechtslage, weil sie ein Nebeneinander von Arbeitsrecht und Datenschutzrecht in getrennten „Silos“ zu bedingen scheint. Es ist ein nicht nur für die Praxis wesentlicher Verdienst der Datenschutzkommission (DSK)/Datenschutzbehörde (DSB), hier eine grundlegende Verlinkung und Vereinfachung herbeigeführt zu haben: Nach der ständigen Entscheidungspraxis der DSK/DSB ist vom Vorliegen überwiegender Verarbeitungsinteressen auszugehen, wenn eine BV (oder auch eine Einzelzustimmung gem § 10 AVRAG) vorliegt.* So praktisch diese Sichtweise ist, ist sie auch dogmatisch haltbar? ME dann nicht, wenn sie darüber hinausgeht, dass im Vorliegen einer BV regelmäßig ein Indiz für das Vorliegen überwiegender Auftraggeberinteressen an der Verarbeitung gesehen werden darf. Die inhaltliche „Richtigkeitsgewähr“ der gesamten Regelung, die man zT bei Kollektivverträgen noch sehen kann, liegt aber bei Betriebsvereinbarungen in datenschutzrechtlicher Hinsicht nicht in der gleichen Form vor. Betriebsvereinbarungszustimmungen werden auch betrieblich gegen nicht-zusammenhängende Gegenleistungen abgetauscht. Ohne inhaltliche Determinierung lässt sich einer BV nicht blanko eine datenschutzrechtliche Rechtfertigung unterstellen.
Im Ergebnis ist also die Bedeutung von Betriebsvereinbarungen zwar konzeptionell mit dem DSG nicht gut verwoben, durch die Entscheidungspraxis wird ihnen aber eine ähnliche Bedeutung wie in Deutschland gegeben, wo ja eine BV als materielles Gesetz eine datenschutzrechtliche Rechtfertigung herbeiführen kann.
Der Überblick erfordert auch einen Hinweis auf die datenschutz-einschlägigen sonstigen Bestimmungen im ArbVG: Der BR hat diverse Mitwirkungsrechte in Bezug auf AN-Datenverarbeitungen – so insb in Bezug auf Information und Auskunft betreffend die vorhandenen Verarbeitungen sowie die diesbezügliche Kontrolle.* Das ArbVG anerkennt aber auch, dass der AN einen Anspruch auf Schutz seiner Daten vor dem BR hat: Gem § 91 Abs 2 aE ArbVG hat der BR keinen eigenständigen Zugriff auf Personaldaten, soweit der einzelne AN nicht zustimmt und keine speziellen Mitwirkungsrechte diesen Zugriff gewähren.344
Die bestehende Rechtslage ist mehrfach unbefriedigend:
Zum ersten werden sowohl § 96 Abs 1 Z 3 ArbVG als auch § 96a Abs 1 Z 1 ArbVG von der hA außerordentlich weit verstanden. Zu § 96 Abs 1 Z 3 ArbVG ist schon der vom OGH etablierte Grundsatz, wonach bereits die Ermittlung der Daten die Kontrolle darstelle,* kritikwürdig* und auch praktisch gar nicht durchhaltbar: Ein AN hinterlässt in einem digitalen Umfeld notwendigerweise Datenspuren – Systeme müssen schon aus technischen Gründen nachvollziehbar machen, wer was getan hat, auch wenn das systematisch nur die IT-Administratoren sehen. Als heutiger AG berührt man damit ansatzweise immer die so verstandene Menschenwürde. Und auch zu § 96a Abs 1 Z 1 ArbVG liegt ein erhebliches Schrifttum vor, das den Tatbestand nahezu uferlos macht und die Ausnahmen bedeutungslos. So wird zB das System als Hardware und Software gedeutet, sodass ein Hardware-Wechsel betriebsvereinbarungspflichtig wäre. Es soll auch nicht darauf ankommen, welche Daten tatsächlich verarbeitet werden, sondern was das System kann. Auch der Rechtfertigungstatbestand der notwendigen Vertragserfüllung wird zT in Frage gestellt – wenn also ein AG ein Bonussystem einführen will und auch berechtigt ist, das zu tun, so ist er nicht berechtigt, die dafür nötigen Daten zu verarbeiten.*
Man muss dem OGH zu Gute halten, dass er in der Folge durch seine „Wandlungsthese“ die extreme Problematik des besonders weit verstandenen § 96 Abs 1 Z 3 ArbVG – die fehlende Ersetzbarkeit der Betriebsratszustimmung – entschärft hat: Das Anbieten einer angemessenen Schutzregelung betreffend die Datenauswertung soll ein an sich unter § 96 Abs 1 Z 3 ArbVG fallendes System aus dem Anwendungsbereich dieser Bestimmung heraus- und in den Bereich des (erst später erlassenen) § 96a Abs 1 Z 1 ArbVG hineinführen.* Die Datenverarbeitung bleibt dann zwar betriebsvereinbarungspflichtig, es besteht aber (zumindest theoretisch, also wenn man das Vorhandensein zügig entscheidender Schlichtungsstellen voraussetzt) nicht mehr die Gefahr, dass ein unsachlicher BR sinnvolle und angemessene Maßnahmen blockiert. Dieser dogmatisch kühne Kunstgriff des OGH hat die überschießende Reichweite von § 96 Abs 1 Z 3 ArbVG wieder eingedämmt. Die Erträglichkeit des Ergebnisses für AG in der Praxis setzt aber immer noch voraus, dass ein unsachlicher BR unter § 96a Abs 1 Z 1 ArbVG nicht auch erheblichen Schaden verursachen kann.*
Für den Betriebsratsbetrieb kann man einen starken rechtlichen Druck zugunsten des Abschlusses von Betriebsvereinbarungen diagnostizieren. Man kommt zu einer im Regelfall für alle Beteiligten recht gut lebbaren Rechtslage: § 96a ArbVG mag zwar für AG auch schwierig sein, weil Schlichtungsstellenverfahren auch wenig attraktiv sind (ein Streit wird nach außen getragen; Dauer), aber zumindest kann die Rute der Schlichtungsstelle im Fenster als Anreiz für den BR wirken, keine sachlich unangemessene Position einzunehmen. Und die Wandlungsthese des OGH hat den Vorteil – und insb muss man sie auch inhaltlich begrüßen –, dass Voraussetzung für die Erzwingbarkeit der BV (§ 96a ArbVG) ein inhaltliches Kriterium ist, nämlich das Vorliegen angemessener Schutzmechanismen für die AN, was die Datenauswertung anbelangt.
Die gravierenderen Probleme der bestehenden Rechtslage zeigen sich im betriebsratslosen Betrieb. Bedauerlicherweise werden diese Probleme kaum diskutiert. Während im Fall des § 96 Abs 3 Z 1 ArbVG über § 10 AVRAG – zumindest scheinbar* – eine klare Rechtslage besteht, wonach Einzelzustimmung der AN erforderlich ist, besteht bei Fällen, die entweder nicht in § 96 Abs 1 Z 3 ArbVG, sondern nur in § 96a Abs 1 ArbVG fallen oder über die „Wandlungsthese“ dorthin ressortieren, eine mehrfache Unsicherheit, aber auch Inkonsistenz.
Zum ersten ist fraglich, ob im betriebsratslosen Betrieb in Fällen des § 96a auch eine AN-Zustimmung erforderlich (bzw überhaupt rechtfertigend möglich) ist.* ME kann nur richtig sein, dass hier kein spezielles Zustimmungserfordernis gilt: Würde345man es (durch ein Zustimmungserfordernis) den AN ermöglichen, solche Maßnahmen schlechthin zu unterbinden, bestünde ein absolutes Vetorecht, das schärfer wäre als die Betriebsratsrechte im Betriebsratsbetrieb. Der weite Anwendungsbereich des § 96a Abs 1 Z 1 ArbVG würde sich betrieblich fatal auswirken. Die Vermutung, die AN wären in solchen Fällen dem AG schutzlos ausgeliefert, würde verkennen, dass sich ja der AG in solchen Fällen ohnehin an das Datenschutzrecht halten und insb eine überwiegende Interessenlage zugunsten der Datenverarbeitung (oder einen anderen Rechtfertigungstatbestand) nachweisen muss.
Zum zweiten ist, soweit ersichtlich, nicht diskutiert, ob die Wandlungsthese auch im betriebsratslosen Betrieb gilt. Dass also eine Maßnahme bzw ein System, das an sich einer Zustimmung unter § 10 AVRAG bedürfte, gem der obigen These zustimmungsfrei wird, wenn der AG ausreichende Schutzmaßnahmen zugunsten der AN vorsieht. Ich hielte das jedenfalls für richtig. Ob solche Kontrollmaßnahmen bzw -systeme dann datenschutzrechtlich jedenfalls oder zumindest meist gerechtfertigt sind, bleibt offen – ein neuerlicher Tribut an das „zwei Silo“-System von Datenschutzrecht und Arbeitsrecht.
Zu all diesen Problemen tritt noch hinzu, dass § 10 AVRAG aus datenschutzrechtlicher Sicht als gänzlich misslungen zu bezeichnen ist. Wird die Zustimmung gem § 10 AVRAG jederzeit widerruflich erteilt, so entstehen noch am wenigsten Probleme – werden auch die anderen datenschutzrechtlichen Anforderungen eingehalten (Spezifität; Hinweis auf jederzeitige Widerrufbarkeit), so liegt der Idealfall einer auch datenschutzrechtlichen Wirksamkeit vor. Wie bereits gesagt, ist das aber bei Massenverarbeitungen, insb zB bei systematisch in einem Produktionsprozess anfallenden Daten, praktisch unbrauchbar – der AG kann kein System auf einen Zustimmungsmechanismus gründen, der zusammenbricht, wenn ein AN widerruft. Werden aber die datenschutzrechtlichen Anforderungen für eine Zustimmung nicht eingehalten, und das gilt insb, wenn die Zustimmung als für eine bestimmte Zeit unwiderruflich erteilt wird, so müsste diese Zustimmung eigentlich datenschutzrechtlich weitgehend irrelevant sein. Dass die Zustimmung gem § 10 AVRAG von der DSB dennoch in der Praxis nicht nur (datenschutzrechtlich!) verlangt wird, sondern einer solchen Zustimmung auch noch ähnlich rechtfertigende Wirkung (im Rahmen der Interessenabwägung) wie einer BV unter § 96 Abs 1 Z 3 ArbVG zugebilligt wird,* halte ich für ebenso dogmatisch kritikwürdig, wie – zugegeben – nützlich für die Praxis.
Diese geradezu verquere Rechtslage unter § 10 AVRAG wird durch verschiedene ungelöste Fragestellungen unter § 10 AVRAG selbst noch verschlimmert. So ist offen, wie lange die Zustimmung erteilt werden kann, insb ob auch eine Zustimmung für die gesamte Dauer des Arbeitsverhältnisses vereinbart werden kann. Des Weiteren ist unklar, wie spezifisch diese Zustimmung sein muss – § 10 AVRAG ist ja per se keine datenschutzrechtliche Norm, sondern er geht um die Zustimmung zu Kontrollmaßnahmen und -systemen. Im Grunde sollte es also reichen, wenn die Art der Kontrolle hinreichend genau bezeichnet wird; durch die stark datenschutzlastige Interpretation von § 96 Abs 1 Z 3 ArbVG wäre es aber auch vertretbar, unter § 10 AVRAG eine ähnliche Genauigkeit zu verlangen wie unter der datenschutzrechtlich wirksamen Zustimmung. In der Praxis mag § 10 AVRAG im Übrigen zwar dann recht einfach handzuhaben sein, wenn AN neu eingestellt werden und man weiß, wozu die Zustimmung erteilt wird; aber bei späteren Änderungen oder Weiterentwicklungen der relevanten Kontrollmaßnahmen und -systeme die Zustimmung jeweils von allen AN neu einzuholen, ist im Großbetrieb schon sehr wenig praktikabel. Und letztlich ist mit alldem auch den AN nicht geholfen, denn solange nicht geklärt ist, welchen Schutz ein AN genießt, der sich weigert, die Zustimmung zu erteilen, bleibt die Bestimmung hohl.
Wenn hier der Vorwurf gemacht wurde, dass § 10 AVRAG mehrfach misslungen ist, dann letztlich (und zusammenfassend) pragmatisch auch deshalb, weil er in der Praxis den AN wenig Vorteile bringt und er theoretisch/dogmatisch so unklar und datenschutzrechtlich schwach ist, dass sich auch die Vorteile für die AG in Grenzen halten.
Es gibt aber noch mehr Schwachpunkte des österreichischen Rechts an der Schnittstelle zwischen Arbeitsrecht und Datenschutz.
Die Regelung betreffend den Schutz sensibler AN-Daten in § 9 Z 1 DSG ist verunglückt. Die gesetzliche Anordnung, sensible AN-Daten dürften nur verwendet werden, wenn sowohl eine Zulässigkeitserklärung durch besondere Rechtsvorschriften gegeben ist als auch eine Erforderlichkeit zur Pflichtenerfüllung durch den AG, lässt nicht einmal im einfachsten Fall, den man für selbstverständlich halten sollte, eine klare Analyse zu, nämlich bei der Erfassung der Krankenstandsdaten der AN – sie zu verarbeiten ist ohne Zweifel notwendig, um die AG-Pflichten zu erfüllen, aber eine ausdrückliche gesetzliche Genehmigung liegt nicht vor. Kein Wunder, dass umfangreiche literarische Kontroversen zur Deutung dieser kryptischen Regelung vorliegen.*
Dass die DSK/DSB zT unsensibel bzw inhaltlich unverständig in Bezug auf spezielle arbeitsrechtliche Fragen agiert und insb in der eigenen Abwägung Kontrollinteressen des AG nicht vorkommen, wurde ebenfalls bereits angemerkt.*346
Nicht minder problematisch erscheint die immer wieder sowohl in der Literatur als auch – besonders bedenklicher Weise – in der Rsp vorgetragene These, die typischen Mechanismen zum Schutz der AN-Interessen bei der Auswertung ihrer Daten wäre die verpflichtende Beiziehung beispielsweise des BR.* Die These verkennt, dass der BR gegenüber dem AN und seinen personenbezogenen Daten Dritter ist und der AN daher auch Anspruch auf Schutz seiner Daten gegenüber ebendiesem BR hat. Das ArbVG ist diesbezüglich (in § 91 Abs 2 letzter Satz) klar – der BR hat Zugang zu AN-Daten nur soweit speziell gesetzlich vorgesehen. Eine Annahme, diese Betriebsratskompetenzen könnten ja vielleicht durch Betriebsvereinbarungen ausgeweitet werden, muss an der stehenden OGH-Rsp gegen die Zulässigkeit betriebsverfassungsrechtlicher Normen scheitern. Die Empfehlung, die Zulässigkeit des AG-Zugriffs auf AN-Daten im Einzelfall durch Beiziehung des BR abzusichern, verkennt nicht nur das Betriebsverfassungsrecht und die Stellung des BR, der ohne gesetzliche Grundlage keine Kompetenzen hat, sondern auch das Datenschutzrecht, das individuelle Daten schützt.* Dass es auch kaum Literatur zur Frage gibt, wie der BR mit den AN-Daten umzugehen hat,* zu denen er (ausnahmsweise und auf gesetzlicher Grundlage) Zugang hat, rundet das Bild nur ab.
Zuletzt bleiben drei weitere Schwachpunkte: Erstens ist das Arbeitsrecht auch in seinen datenschutz-einschlägigen Bestimmungen nicht mit dem DSG harmonisiert. Das beginnt bei der Terminologie in § 96a Abs 1 Z 1 ArbVG (was ist Datenverarbeitung?) und erfasst auch die fehlende arbeitsrechtliche Sonderstellung (insb in § 96a Abs 1 Z 1 ArbVG) jener Datenanwendungen, die als „Standardanwendungen“ datenschutzrechtlich durch die fehlende Meldepflicht und die fehlende Genehmigungspflicht beim ausländischen Datenverkehr begünstigt sind.* Zweitens besteht nur wenig Diskussion darüber, was eigentlich inhaltliche Anforderungen an „datenschutzrechtliche“ Betriebsvereinbarungen sind – vor allem an solche gem § 96a Abs 1 ArbVG. (Eine umfangreiche Diskussion besteht zwar zur Frage, wann Kontrollmaßnahmen und -systeme die Menschenwürde „verletzen“ anstatt sie nur zu berühren, und daher jedenfalls unzulässig seien;* diesbezüglich kann man nur die fehlende Verschränkung mit dem Datenschutzrecht bemängeln.) Nun mag es diese Anforderungen nicht geben – vielleicht begnügt sich ja das Arbeitsrecht mit der Zustimmung des BR (und der daraus folgenden Inhaltsgewähr); aber warum das dann datenschutzrechtlich auch relevant sein sollte, ist nicht erklärbar.* Zuletzt ist die fehlende Diskussion der Inhalte von Betriebsvereinbarungen gem § 96a Abs 1 ArbVG auch deshalb nachteilig, weil damit die inhaltliche Reichweite solcher Betriebsvereinbarungen offen ist. Der Umstand, dass diese Betriebsvereinbarungen erzwingbar sind, spricht iSd Legalitätsprinzips für eine enge Deutung. Damit wären aber zB Fragen der Datensicherheit (und zB einer AG-Verpflichtung, Datensicherheitsverletzungen bei AN-Daten speziell an die AN zu melden) durch Betriebsvereinbarungen nicht regelbar. Angesichts der Bedeutung von Datensicherheit für AN ist das für die AN keine ideale Situation. Wenn schon die Tatbestände des § 96a ArbVG wegen der Erzwingbarkeit eng interpretiert werden müssen, dann wäre ein fakultativer Betriebsvereinbarungstatbestand für weitergehende Datenschutzfragen nicht unpraktisch.
Die Rechtslage in Bezug auf AN-Datenschutz ist in Österreich besonders unklar, und die fehlende Abstimmung zwischen Datenschutzrecht und Arbeitsrecht hilft weder den AN noch den AG. Für AG ist es schwierig, verlässlich datenschutzrechtliche Compliance herzustellen – das ist aber ein Ziel, das zunehmend sowohl gesellschaftsrechtlich als auch allgemein an Bedeutung gewinnt.
Die Diagnose des faktischen Status Quo ist dennoch gespalten: Im Betriebsratsbetrieb erscheint die Rechtslage derzeit für die AG recht praktikabel und aufgrund der Haltung der DSB recht verlässlich; das Schutzniveau für die AN ist – zumindest bei Bestehen eines informierten und interessierten BR – ansprechend. Das Schutzniveau im betriebsratslosen Betrieb ist aber fraglich. Die Rechtslage ist verworren und inkonsistent. Die Sanktionen des DSG sind derzeit bei Massenübertretungen schwach. Und aufgrund der häufig fehlenden betrieblichen Streitneigung und des Umstandes, dass die zivilprozessuale Verwertbarkeit von Daten nicht durch eine etwaige Rechtswidrigkeit der Verarbeitung unterbunden wird, bestehen in diesem Bereich erhebliche Zweifel am Niveau des AN-Datenschutzes im betriebsratslosen Betrieb.
Die neue DS-GVO stellt den Versuch der Europäischen Union dar, das Datenschutzrecht, bisher347bloß in einer RL harmonisiert, stärker als bisher zu vereinheitlichen und fit für das Digitalisierungszeitalter zu machen. Sie ersetzt die Datenschutz-RL. Als VO wirkt sie grundsätzlich unmittelbar und EU-einheitlich. Sie beinhaltet auch verschiedene Instrumente, die sicherstellen sollen, dass es zu einer koordinierten und einheitlichen Anwendung in der gesamten Union durch die verschiedenen nationalen Datenschutzbehörden (von der DS-GVO „Aufsichtsbehörden“ genannt) kommt.*
Strukturell ähnelt die DS-GVO dem DSG. Das ist nicht überraschend, haben doch beide ihre Wurzeln in der Datenschutz-RL. Auch unter der DS-GVO bedarf jede Verarbeitung personenbezogener Daten der Rechtfertigung durch einen der Rechtfertigungstatbestände in Art 6 Abs 1 lit a)-f) DS-GVO.
Nichts ändert sich durch die DS-GVO auch an der Problematik, eine Massen-Datenverarbeitung auf Zustimmung des Betroffenen* zu stützen: Weiterhin muss die Zustimmung frei widerrufbar und klar erkennbar sein, und insb muss der Betroffene auf die Widerruflichkeit hingewiesen werden.* Die DS-GVO scheint auch noch – nachfolgend an eine schon bisher bestehende Diskussion – eine besondere Prüfung der Freiwilligkeit nahezulegen.* Wieso die materielle Freiwilligkeit hier noch einmal zu prüfen ist, ist freilich nicht recht verständlich: Wenn der Betroffene die Zustimmung frei widerrufen kann, ist die Freiwilligkeit im Grunde optimal abgesichert – nur wenn diese freie Widerrufbarkeit nicht besteht, wäre die Freiwilligkeit zu prüfen.
Die unionsweite Einheitlichkeit der DS-GVO ist allerdings mehr Schein als man meinen könnte: Untypisch für eine VO beinhaltet sie eine Unzahl von Öffnungsklauseln für das nationale Recht. Und besonders im Bereich des AN-Datenschutzes besteht eine besonders weite Öffnungsklausel für nationales AN-Datenschutzrecht (Art 88 DS-GVO),* und zwar bemerkenswerterweise nicht nur für nationales Gesetzesrecht, sondern ausdrücklich auch für nationale Kollektiv- einschließlich (ausdrücklich) Betriebsvereinbarungen. Im Weiteren erlaubt die DS-GVO damit nicht nur spezielle nationale Anforderungen an den AN-Datenschutz, sondern auch eine echte nationalrechtliche Rechtfertigung durch Gesetz, KollV oder BV, allerdings nicht gänzlich frei, sondern inhaltsgebunden (Abs 2 leg cit): Es müssen Schutzmaßnahmen zur Wahrung der Menschenwürde, der Interessen und der Grundrechte der Betroffenen enthalten sein, insb hinsichtlich Transparenz, konzernweiter Verarbeitung und AN-Überwachung.
Abgesehen von dieser Öffnungsklausel enthält die DS-GVO – ähnlich wie das DSG – kein eigenes materielles AN-Datenschutzrecht.
Die allgemeinen sonstigen großen Linien der DSGVO sind Folgende:
Es kommt zu wesentlichen administrativen Erleichterungen, weil die Anmeldepflicht beim Datenverarbeitungsregister (DVR) entfällt; stattdessen ist ein internes Verarbeitungsverzeichnis zu führen.*
Bei bestimmten Datenverarbeitungen wird eine (potenziell aufwändige) „Datenschutz-Folgenabschätzung“* nötig sein. Die Umschreibung des auslösenden Tatbestandes ist allerdings so generalklauselhaft, dass von der Aufsichtsbehörde eine Art „black-list“ zu erstellen ist, die die relevanten Verarbeitungsvorgänge aufzählt.* Die Behörde kann auch eine „white-list“ erstellen für jene Vorgänge, die definitiv keine Pflicht zur Folgenabschätzung mit sich bringen.* Die Folgenabschätzung beinhaltet eine Beschreibung der Verarbeitung, eine Notwendigkeits- und Verhältnismäßigkeitsbewertung, eine Risikobewertung und eine Beschreibung der Risiko-Abwehrmaßnahmen. In der Sache ist dabei ein zweistufiges Verfahren anzuwenden: Stellt sich die Verarbeitung als risikoreich (für die Betroffenen) heraus, ist vor der Implementierung eine Beratung mit der Aufsichtsbehörde durchzuführen, die ihrerseits ihre Interventionsrechte ausüben kann.
Anders als lange Zeit vermutet, beinhaltet die DS-GVO keine allgemeine Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Diese Frage wird dem nationalen Recht überlassen.* Soweit jedoch ein Datenschutzbeauftragter bestellt ist, hat er bestimmte Rechte unter der DS-GVO.*
Die dem Betroffenen (hier: dem AN) zustehenden Rechte und Rechtsbehelfe sind intensiv und weitgehend. Zu nennen sind insb (i) die Informationspflicht des (für die Datenverarbeitung) Verantwortlichen;* das spezielle Widerspruchsverfahren, soweit sich eine Datenverarbeitung (nur) auf die Interessenabwägung gründet;* das Auskunftsrecht* sowie das Recht auf Berichtigung und Löschung.*348
Die Sanktionen bei Verstößen sind umfangreich und potenziell drakonisch. Zu nennen ist insb die Schadenersatzverpflichtung des Verantwortlichen, Geldstrafen bis zu einer Höhe von 10 oder sogar 20 Mio € bzw 2-4 % des weltweiten Konzernumsatzes, und die nunmehr weitgehenden Kompetenzen der Aufsichtsbehörden, die nunmehr auch das Recht beinhalten werden, einstweilige Maßnahmen anzuordnen.*
Zuletzt ist auch auf die erneuerten und verschärften Datensicherheitsregeln hinzuweisen, insb auf die neu gestaltete Notifikationspflicht bei (gravierenden) Datensicherheitsverletzungen („data breach notification“). Die Notifikationspflicht kann gegenüber der Behörde bestehen, aber auch gegenüber den Betroffenen.*
Zur Implementierung der DS-GVO in Österreich ist mit der Erlassung eines Begleitgesetzes zu rechnen. Der Entwurf dafür ist zwar angeblich schon weit gediehen, war aber zum Zeitpunkt dieses Vortrages noch unter Verschluss. Mit einem großen arbeitsrechtlichen Wurf, also mit intensiveren inhaltlichen Regelungen, ist nicht zu rechnen. Insofern ist – angesichts der fehlenden materiellen Regelungen des AN-Datenschutzes in der DS-GVO – nicht mit gravierenden Änderungen zu rechnen. Aber angesichts des erwähnten Art 88 und der speziellen Öffnungsklausel für den AN-Datenschutz können einige relevante Aussagen getroffen werden.
Auf den ersten Blick besonders relevant erscheint die (wohl aus dem deutschen Recht entlehnte) Möglichkeit, AN-Datenschutz auch durch KollV oder BV zu regeln. Dies würde es ermöglichen, den oben kritisch dargestellten unklaren bzw wohl inhaltsleeren datenschutzrechtlichen Bedeutungen von Betriebsvereinbarungen unter § 96 Abs 1 Z 3 ArbVG und § 96a ArbVG auf eine neue Ebene zu heben und die in solchen Betriebsvereinbarungen enthaltene Rechtfertigung von Datenverarbeitungen nicht nur als arbeitsrechtlich, sondern auch als datenschutzrechtlich rechtfertigend darzustellen. Das erscheint vor allem deshalb gut möglich, weil ja diese Betriebsvereinbarungen und die darin enthaltene Rechtfertigung ohnehin an den inhaltlichen Maßstäben des Art 88 Abs 2 DS-GVO (siehe oben) zu messen sein werden. Wenn man also bislang gezögert hätte, Betriebsvereinbarungen eine uneingeschränkte Rechtfertigung von Datenverarbeitungen zuzubilligen, so leistet Art 88 Abs 2 DS-GVO nun eine inhaltliche Absicherung. Gleichzeitig erscheint es unter der DS-GVO dringend notwendig, den genannten Betriebsvereinbarungen, wenn sie den Anforderungen des Art 88 Abs 2 DS-GVO genügen, auch eine datenschutzrechtlich rechtfertigende Wirkung zuzubilligen: Anders als unter der DS-RL und dem DSG sind nämlich Datenverarbeitungen, die sich nur auf das überwiegende Interesse des Verantwortlichen stützen, deutlich schwächer abgesichert: Macht ein Betroffener das Widerspruchsverfahren gem Art 21 DS-GVO geltend, so muss der Verantwortliche „zwingende schutzwürdige Gründe“ dartun. Es sehr zu bezweifeln, dass die von der DSB bislang salopp vorgenommene Deutung von Betriebsvereinbarungen als mehr oder weniger per se rechtfertigend iSd Nachweises überwiegender Interessen des AG an der Verarbeitung aufrechtzuerhalten wäre. Kurz gesagt, die DS-GVO würde es nun ermöglichen, den Betriebsvereinbarungen einen abgesicherten datenschutzrechtlichen Status zu geben und so das unglückliche Nebeneinander von Arbeitsrecht und Datenschutzrecht ein Stück zu beseitigen. Allerdings bezweifle ich, dass diese gesteigerte Bedeutung von Betriebsvereinbarungen unter § 96 Abs 1 Z 3 und § 96a ArbVG ohne jede Erwähnung in der österreichischen Umsetzungsgesetzgebung stattfände:* Zum einen ist nicht zu sehen, dass eine Regelung (nämlich das Betriebsvereinbarungserfordernis in § 96 Abs 1 Z 3 und § 96a ArbVG), die bislang nicht als unmittelbar datenschutzrechtlich wirkende Regelung angesehen wurde, nunmehr „von selbst“ zu einer solchen wird. Wenn also das österreichische Recht bislang nicht so gesehen wurde, dass eine BV unter § 96 Abs 1 Z 3 oder § 96a ArbVG die Datenverarbeitung auch datenschutzrechtlich rechtfertigt, dann erscheint es kühn, das nun so zu sehen, nur weil die DS-GVO das nationale Recht zu einer solchen Regelung ermächtigt. Man müsste in einem solchen Fall entweder die §§ 96 f ArbVG in Bezug auf Datenschutz neu interpretieren oder eine datenschutzrechtliche Betriebsvereinbarungsgrundlage in der DS-GVO selbst sehen – damit wären Betriebsvereinbarungen unter § 96 Abs 1 Z 3 und § 96a ArbVG sozusagen unionsrechtlich begründete Betriebsvereinbarungen, auch das eine kühne Sicht.*
Offen ist unter der DS-GVO auch das Schicksal von § 10 AVRAG. Die Regelung könnte zwar (als zusätzliche Anforderung des österreichischen Rechts) bestehen bleiben, aber rechtliche Bedeutung könnte sie nur wie bisher haben, mit allen anhaftenden Problemen, soweit von der in § 10 AVRAG enthaltenen Option, von der jederzeitigen Widerrufbarkeit abzugehen, nicht Gebrauch gemacht wird. Soweit die Kriterien für eine datenschutzrechtliche Zustimmung gegeben sind, so könnte ja ein § 10 AVRAG-Zustimmung ohnehin gleichzeitig auch eine datenschutzrechtliche Zustimmung sein. Die Frage wird also sein, wie die Implementierungsgesetzgebung auf § 10 AVRAG eingeht.
Auch stellt sich die Frage, ob in Hinkunft über KollV datenschutzrechtlich gestaltend der AN-Datenschutz geregelt werden kann. Es stellen sich349im Grunde ähnliche Fragen wie bei der BV: Wäre Art 88 DS-GVO schon per se eine Ermächtigung an die Kollektivvertragsparteien, AN-Datenschutz zu regeln, oder müsste das in der Implementierungsgesetzgebung vorgesehen werden?
Unmittelbar vor Fertigstellung der Schriftfassung wurde nunmehr der Ministerialentwurf zu einem Datenschutz-Anpassungsgesetz 2018 vorgelegt.* Er sieht in seinem § 29 zu Art 88 DS-GVO vor, dass „das ArbVG“ eine Vorschrift iSd Art 88 sei und die Rechte des BR unberührt bleiben sollen. Diese Regelung wäre nicht unbedeutend, obwohl sie bei näherem Hinsehen mehrfach missglückt erscheint. Zum ersten ist sicherlich nicht das gesamte ArbVG eine nationale AN-Datenschutzregelung. Sieht man darüber hinweg, so soll wohl gesagt werden, dass die datenschutzbezogenen Regelungen im ArbVG weiterhin wirksam sein sollen. Das würde allerdings das bestehende zuvor beschriebene Dilemma des ungeklärten Zusammenspiels zwischen Betriebsvereinbarungen und Datenschutzrecht nur fortsetzen. Man könnte nun in die Regelung etwas mehr hineininterpretieren und meinen, sie solle ausdrücken, dass die datenschutzbezogenen Regelungen im ArbVG wären nun, soweit sie Art 88 Abs 2 DS-GVO einhalten, auch datenschutzrechtlich unter der DS-GVO relevant. Ich halte diese Interpretation zwar nicht für zwingend (zumal die EB dazu nichts sagen), aber für vertretbar. Sie hätte mE zwei wesentliche Folgen: Erstens, dass Betriebsvereinbarungen, wenn sie Art 88 Abs 2 DS-GVO einhalten, datenschutzrechtlich rechtfertigend wären, und das wäre ein erheblicher Fortschritt im Betriebsratsbetrieb. Man könnte aber, zweitens, dann auch die Anforderung des ArbVG, in den Fällen des § 96 Abs 1 Z 3 und des § 96a ArbVG, soweit es um Datenverarbeitung iSd DS-GVO geht, eine BV zu haben, als über Art 83 Abs 5 lit d) DSGVO auch mit den Sanktionen der DS-GVO belegt sehen, denn Art 88 ist im dort bezuggenommenen Kap IX der DS-GVO enthalten.
Gänzlich unberücksichtigt lässt der Ministerialentwurf des Datenschutz-Anpassungsgesetzes 2018 § 10 AVRAG. Hat er überhaupt noch Bestand, wenn er zu Art 88 DS-GVO nicht erwähnt wird? Der Ministerialentwurf verändert auch nicht die Rolle des BR im Datenschutzkontext, sodass die oben gemachten Anmerkungen zu den praktisch häufig übersteigert gesehenen Betriebsratsbefugnissen aufrecht bleiben würden. Er schweigt auch zur Frage, ob nun durch KollV materielles AN-Datenschutzrecht geregelt werden darf; mE wird das daher eher nicht der Fall sein. Der Entwurf sieht auch keine sonstigen materiellen Regelungen des AN-Datenschutzes vor. Er entspricht also der Erwartung, dass die inhaltlichen Änderungen des AN-Datenschutzes iZm mit der DS-GVO beschränkt bleiben werden.
Thesenartig lassen sich mE folgende Einschätzungen für die künftige Rolle des AN-Datenschutzes in Österreich formulieren:
Die Herausforderungen des AN-Datenschutzes im Digitalisierungszeitalter sollten nicht mit den Problemfeldern von „Big Data“ verwechselt werden.* Letztlich geht es beim AN-Datenschutz im Regelfall um die Reichweite der AN-Kontrolle. „Big Data“ erlaubt zwar Rückschlüsse aus großen Datenmengen,* aber darum geht es im Regelfall beim AN-Datenschutz nicht. Und wenn große innerbetriebliche Datenmengen doch einen Wert für den AG haben, dann kann er sie auch anonymisiert verwerten. Der Wert der innerbetrieblich generierten Daten kann also vom AG genutzt werden ohne die Interessen der AN zu beeinträchtigen.
Generell wird auch bei zunehmender Digitalisierung das Kontrollpotenzial der vermehrt anfallenden personenbezogenen Daten im betrieblichen Kontext durch Anonymisierung und Pseudonymisierung* – wie schon bisher – zu entschärfen sein bzw die Auswertung gegenüber einzelnen AN bei Verdacht von missbräuchlichem Verhalten durch entsprechende Verfahren zu legitimieren. Das muss allerdings als Individualschutz konzipiert sein und nicht als Blanko-Auslieferung an den BR.
Die hohe Rechtsunsicherheit im Bereich des AN-Datenschutzes ist besonders bedauerlich – sie nützt weder den AN noch den AG. Ein Ende dieses Zustandes zeichnet sich in Österreich nicht ab.
Die scharfen Rechtsbehelfe und Sanktionen der DS-GVO werden in der betrieblichen Praxis den AG erhebliche Probleme machen. Scharfe Sanktionen bei unklarer Rechtslage haben ein erhebliches Drohpotenzial. AG werden gut beraten sein, mehr in datenschutzrechtliche Compliance zu investieren.
Die Dokumentation (und Einhaltung) der Verarbeitungszwecke von Daten sowie Transparenz werden erheblich größere Bedeutung erlangen als dies bisher der Fall war. Erhebliche Probleme wird es bei nicht vom Verarbeitungszweck erfassten Auswertungen geben. Auch das Fehlen jeglicher speziellen Regeln für die zunehmend wichtiger werdende innerbetriebliche Sachverhaltsaufklärung wird sich für die AG unangenehm bemerkbar machen.
Insgesamt ist die Hoffnung zu äußern, dass der AN-Datenschutz (bzw seine Unklarheit) der Digitalisierung nicht im Weg stehen wird. Überall dort, wo die innerbetriebliche Verarbeitung von personenbezogenen AN-Daten sinnvoll ist und einen Wert hat, sollten Wege gefunden werden, diese Verarbeitungen unter Anwen-350dung von entsprechenden Schutzbestimmungen und -verfahren auch zu ermöglichen. Das ist der richtige Kern der DS-GVO in ihrem arbeitnehmerbezogenen Art 88 Abs 2.
Auf der Hand liegt die These, dass die Digitalisierung als eine Form der weiteren Automation physische Belastungen und Gefahren der Arbeitswelt reduzieren kann. Seien es Roboter oder Drohnen – in vielfältiger Weise kann die schon bisherige Geschichte der Automatisierung betreffend die Reduktion physischer Gefährdungen auf neue Weise fortgesetzt werden.
Schwieriger ist hingegen die Frage zu beantworten, inwiefern die Digitalisierung zur Zunahme der psychischen Belastungen der Arbeit beiträgt. Diese Fragestellung trifft mit der häufig berichteten Diagnose zusammen, dass psychisch bedingte Fehlzeiten zugenommen zu haben scheinen.* Dementsprechend war die Erstreckung des AN-Schutzrechts auf psychische Gefahren ein Kernpunkt der jüngeren Novellierungen. Die Erstreckung der Gesundheitsdefinition auch auf psychische Gesundheit, die Rolle der Arbeitspsychologen, die Erstreckung der Evaluierung auf psychische Belastungen und die besondere Prüfung der psychologischen Aspekte bei Zwischenfällen – all das wurde erst in jüngerer Zeit in das ANSchG aufgenommen* und beginnt sich nun in der Praxis zu verbreiten.
Im Zusammenhang mit diesen Initiativen wird allerdings auch immer wieder vor voreiligen Schlussfolgerungen gewarnt: Die statistischen Zahlen über die Zunahme psychisch bedingter Fehlzeiten müssen nicht aus einer Zunahme der psychischen Belastungen der Arbeit resultieren: Auch die verbesserte Diagnostik psychischer Erkrankungen, der Abbau der mit psychischen Erkrankungen verbundenen Stigmatisierung und die potenzielle Auswirkung des Privatlebens auf die Fehlzeiten sind allesamt Faktoren, die zumindest das Potenzial haben, sich auf Fehlzeiten spürbar auszuwirken.
In welchem Umfang also die Digitalisierung dazu beiträgt, die psychischen Belastungen der Arbeit zu erhöhen, bleibt zu erforschen. Drei Faktoren, die häufig mit Digitalisierung in Verbindung gebracht werden, sind plausible Kandidaten für solche Effekte:
Verdichtung: Die Digitalisierung erlaubt es, auch Bürotätigkeit und Dienstleistungen wie bisher produzierende Tätigkeiten in kleinste Teile zu zerlegen und zu analysieren.* Da raus folgt, dass zunehmend auch Bürotätigkeit wie Fabriksarbeit organisiert werden kann. Es steigt der Leistungsdruck in Bereichen, die bislang metrisch kaum zu durchleuchten waren. Die Dauer der Beantwortung einer Anfrage, die Erledigungsdauer für eine E-Mail etc. Projektkontrolle kann metrisch exakt übernommen werden – mit der Folge des zunehmenden Drucks auf die Projektbeteiligten, jeder Rückstand hinter dem Plan wird sofort sichtbar. Dieser Mechanismus wird viel seltener erwähnt als die Verdichtungsgefahr bei flexiblerer Arbeit,* könnte aber auch sehr bedeutend sein.
Spezialisierung: Damit verbunden ist die potenziell auch im Dienstleistungsbereich zunehmende Spezialisierung. Wenn die Analyse der genauen Dauer einer E-Mail-Erledigung zeigt, dass die Dauer bei Wiederholung sinkt, so steigt die Versuchung, die Spezialisierung auch im Dienstleistungsbereich zu erhöhen. Es können „Monotonie im Dienste der Effizienz“* folgen, der Job des einzelnen AN wird kleinteiliger und einfacher, für den AG potenziell billiger.
Entgrenzung: Die oft diskutierte durch die Digitalisierung stark begünstigte „Entgrenzung“ der Arbeit erlaubt auch eine Beeinträchtigung der privaten Sphäre.*
Wie bereits gesagt, in welchem Umfang diese Faktoren zur psychischen Belastung der AN beitragen, bleibt zu erforschen. Es scheint auch so, als wären sich AG durchaus der Gefahren dieser Faktoren bewusst – wenn zB E-Mail-freie Zeiten garantiert werden. Auch das Niveau der Spezialisierung ist nicht mechanisch der Digitalisierung geschuldet, sondern beruht auf bewussten Management-Entscheidungen. Bei aller Optimierung darf die Zeitachse nicht vergessen werden: Wenn es um die Abwägung von kurzfristigen Vorteilen gegenüber langfristigen Nachteilen geht, ist auch zu fragen, wer es sich leisten kann (und wer dafür incentiviert ist), die langfristige Sichtweise einzunehmen.
Die Digitalisierung hat zumindest das Potenzial, den Betriebsbegriff zu erodieren, auch im grenzüberschreitenden Kontext.
Es wird oft betont, dass die Digitalisierung durch die Schaffung virtueller Strukturen die physischen351Organisationsstrukturen ersetzen kann. Noch relativ überschaubar sind Matrix-Strukturen, in denen typischerweise die fachliche Zuordnung und die vertraglich-disziplinäre auseinanderfallen. Schon Matrix-Organisationen erzeugen arbeitsrechtlich erhebliche Probleme. Die durch einen hohen Digitalisierungsgrad ermöglichte Entgrenzung von physischen Arbeitsorganisationen auch über Staatsgrenzen hinweg* treibt die Dinge noch weiter.
Zu den noch einfacheren Fragen gehört, bis zu welchem Eingliederungsgrad etwa ein im Ausland angestellter AN noch dem inländischen Betrieb angehört, wenn er ganz oder teilweise physisch im Betrieb arbeitet, aber fachlich mit dem inländischen Betrieb nichts (oder nur wenig) zu tun hat.* Auch die umgekehrte Situation – österreichischer AN arbeitet physisch in einem ausländischen Betrieb – wird rasch komplex.* Noch schwieriger ist es, Betriebsstrukturen zu finden, wenn Organisationen (insb grenzüberscheitend) in mehreren Dimensionen durcheinandergehen – wo ist dann noch der Betrieb und welcher AN gehört welchem Betrieb an? Die Seltenheit von betriebsverfassungsrechtlichen Streitigkeiten bedingt, dass zu solchen Fragen praktisch keine verwertbare Judikatur vorliegt und die Faktenabhängigkeit macht die Fragestellung auch für das Schrifttum nicht attraktiv.
Die betrieblichen Umwälzungen, die eine Digitalisierungsstrategie mit sich bringen kann, lassen es plausibel erscheinen, dass die Einbindung der Belegschaft bzw ihrer Vertreter für den Erfolg mitverantwortlich sein kann.
Langfristige Digitalisierungsstrategien werden betriebsverfassungsrechtlich wohl im Regelfall über § 108 ArbVG und die dort enthaltenen Informations-, Beratungs- und Interventionsrechte des BR zu erfassen sein, geht es doch um die „Art der Produktion“, um Maßnahmen zur „Hebung der Wirtschaftlichkeit und Leistungsfähigkeit“ bzw um „Investitionen“.
Kürzerfristige Maßnahmen und Strategien mit erheblichen Auswirkungen werden häufig als Betriebsänderungen iSd § 109 ArbVG zu qualifizieren sein. Insb kommen dabei die Tatbestände der Z 4-6 in Abs 1 leg cit in Frage: Organisationsänderungen, Methodenänderungen bzw Automatisierungsschritte mit erheblicher Auswirkung. Die dabei rechtlich und praktisch wohl interessanteste Frage ist die der Abgrenzung – wie langfristig bzw wie kurzfristig Maßnahmen bzw Strategien sein müssen, dass sie noch nicht oder schon als Betriebsänderung iSd § 109 ArbVG einzuordnen sind und dann auch Anlass für einen Sozialplan geben können.* Mir erscheint klar, dass § 109 und der damit verbundene Ablauf grundsätzlich für Maßnahmen gemacht ist, die in einem kürzerfristigen Zeitraum stattfinden und nicht für evolutionäre Veränderungen. Was hier „kürzerfristig“ heißt, ist eine gute Frage. Damit verbunden ist die Frage nach der Zulässigkeit von längerfristigen Sozialplänen. Derartige vereinbarte Sozialpläne kommen in der Praxis durchaus vor, wenn über einen längerfristigen Zeitraum mit betriebsbedingtem Stellenabbau zu rechnen ist. Mir erscheint klar, dass solche Sozialpläne – wenn und weil sie nicht an eine vorweg definierte „Betriebsänderung“ iSd § 109 ArbVG anknüpfen, nicht erzwingbar iSd § 109 Abs 3 ArbVG sind. Die Frage, inwieweit hier uU die Zulässigkeitsfrage von der Erzwingbarkeitsfrage zu trennen ist, wäre separat zu untersuchen.
Die Problematik der ausreichenden Weiterbildung der Arbeitnehmerschaft wird nicht auf betrieblicher Ebene (allein) zu lösen sein. Das österreichische Arbeitslosenversicherungsrecht hat längst den Schritt dazu gemacht, sich zur „vorbeugenden“ und offensiven Weiterbildung als Schutz gegen Arbeitslosigkeit zu bekennen.
Bildungskarenz und -teilzeit sind (auch wegen ihrer Niedrigschwelligkeit) populäre und wichtige Einrichtungen; die Treffsicherheit steht jedoch in Frage.
Im Bereich des AN-Datenschutzes wird die künftige Geltung der DS-GVO wohl keinen großen Anpassungsbedarf und auch keine grundlegenden Änderungen auslösen. Die DS-GVO würde aber die Gelegenheit bieten, Arbeitsrecht und Datenschutzrecht näher zusammenzuführen. Datenschutzfragen werden aber (insb wegen des stark forcierten Sanktionenkatalogs) heikler und bedeutender werden. Insgesamt wäre mehr Rechtsklarheit und -sicherheit im Bereich des AN-Datenschutzes wünschenswert.
Die Digitalisierung hat das Potenzial, die Arbeitsverdichtung und die psychischen Belastungen der Arbeit zu verstärken. Voreilige Schlussfolgerungen sollten jedoch vermieden werden; letztlich liegt es an den AG (und auch an den AN), die Digitalisierung auch im psychischen Bereich zur Erleichterung zu nutzen.
Digitalisierung ist auch Neuland. Kluge Rechtsgestaltung muss sich dessen bewusst sein und sollte auch Raum für Innovationen und Experimente lassen.352