Kollektivvereinbarungen als Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext
Kollektivvereinbarungen als Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext
Unionsrechtliche Ausgangslage
„Kollektivvereinbarungen“ gem Art 88 DSGVO
Erforderlichkeit einer mitgliedstaatlichen Implementierung?
Vollharmonisierung oder nur Mindeststandard?
Zusätzliche formale Anforderungen an entsprechende Kollektivvereinbarungen?
Anwendungsbeispiele „europarechtlich qualifizierter“ Kollektivvereinbarungen
Folgerungen für datenschutzrechtliche Regelungen in KollV und BV
Resümee
Art 88 Abs 1 DS-GVO normiert die „Datenverarbeitung im Beschäftigungskontext“ als Vorschrift für eine besondere Verarbeitungssituation (gem der Überschrift zu Kap IX) wie folgt:
„Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der AG oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.“
Trotz der Formulierung sind hinsichtlich des Abschlusses von Kollektivvereinbarungen natürlich nicht die Mitgliedstaaten, sondern vielmehr die Kollektivvertrags- und Betriebsparteien angesprochen; die Mitgliedstaaten schaffen hiefür lediglich den Rechtsrahmen.* Der zugehörige ErwGr 155 DS-GVO formuliert diesbezüglich treffender, dass spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich „Betriebsvereinbarungen“) vorgesehen werden können.10
Gem Art 88 Abs 2 umfassen diese Vorschriften „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz
“.
Insofern werden also materielle Schutzstandards – wenn auch sehr abstrakt – vorgegeben.
Gem dem schon zitierten ErwGr 155 soll die Vorschrift den Mitgliedstaaten oder Kollektivvereinbarungen also die Möglichkeit zur Schaffung von Regelungen zum Beschäftigtendatenschutz eröffnen (dh es handelt sich um eine sogenannte „Öffnungsklausel“);* unter „Kollektivvereinbarungen“ sind darunter explizit auch Betriebsvereinbarungen zu verstehen. Der zweite „Mehrwert“ des ErwGr 155, der ansonsten den Abs 1 des Art 88 DS-GVO im Wesentlichen wortwörtlich wiederholt, ist der Hinweis auf die „Einwilligung des Beschäftigten“ als Grundlage einer Datenverarbeitung im Beschäftigungskontext, deren Bedingungen (im Vergleich zu den entsprechenden allgemeingültigen Bestimmungen der DS-GVO) spezifischer geregelt werden können.
Wer „Beschäftigter“ iSd DS-GVO ist, führt die DSGVO nicht aus;* für die Zwecke dieses Beitrages kann aus dem Verweis des Art 88 Abs 1 samt ErwGr 155 DS-GVO auf „Kollektivvereinbarungen (einschließlich Betriebsvereinbarungen)“ jedenfalls davon ausgegangen werden, dass AN iSd persönlichen Geltungsbereiches gem § 1 bzw gem § 36 ArbVG von dieser Begrifflichkeit erfasst sind; im Folgenden wird deshalb undifferenziert von „Beschäftigten“ gesprochen.
Die „spezifischeren“* Vorschriften der Mitgliedstaaten können formell mittels Rechtsvorschriften und Kollektivvereinbarungen getroffen werden. Unter die Rechtsvorschriften fallen für jedermann verbindliche abstrakt-generelle Regelungen wie insb Gesetze und Rechtsverordnungen. Demgegenüber umfassen „Kollektivvereinbarungen“ nicht nur Kollektivverträge, sondern auch andere den AG normativ bindende Regelungen wie insb Betriebsvereinbarungen.* Diese Klarstellung in ErwGr 155 geht auf die Initiative Deutschlands zurück, da Betriebsvereinbarungen in Deutschland – anders als Tarifverträge – häufig datenschutzrechtliche Aspekte adressieren.*
In praxi werden idR diesfalls auch nur Betriebsvereinbarungen in Betracht kommen, da sie – gegenüber Kollektivverträgen – den praktischen Vorteil haben, dass sie sehr viel konkreter und präziser auf betriebsbezogene Datenverarbeitungen, insb hinsichtlich maßgeschneiderter Konfigurationen eingesetzter Software, eingehen können; das trifft natürlich auch auf unternehmensweite IT-Lösungen zu.
Materiell gelten für diese Kollektivvereinbarungen dieselben Anforderungen wie für eigene gesetzliche Regelungen der Mitgliedstaaten,* dh sie müssen allgemein einerseits den Wesensgehalt des Schutzes personenbezogener Daten gem Art 8 GRC (Grundrechtecharta) wahren, andererseits die unternehmerische Freiheit gem Art 16 GRC sowie das Eigentumsrecht gem Art 17 GRC berücksichtigen und den Grundsatz der Verhältnismäßigkeit gem Art 52 Abs 1 Satz 2 GRC beachten; im Speziellen haben sie gem Art 88 Abs 2 DS-GVO vor allem angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insb im Hinblick auf die Transparenz der Verarbeitung und die Überwachungssysteme am Arbeitsplatz, zu ergreifen. Damit kommen insb Aspekte des allgemeinen Persönlichkeitsrechtes der Beschäftigten in‘s Spiel, die über die Grundsätze des Art 5 DS-GVO hinausgehen;* angesprochen werden damit zB Regelungen zu Datenverarbeitungen an besonders schutzwürdigen Orten (zB Umkleideräume), mit verpönten Methoden (zB bestimmte akustische Überwachungen) oder unter heiklen Umständen (zB Eignungstests).
Kollektivvereinbarungen, die von der Öffnungsklausel Gebrauch machen, diesem speziellen Standard aber nicht gerecht werden, sind – auf Grund des Anwendungsvorranges von Unionsrecht – in diesem Regelungsumfang unanwendbar.* Ob neben diesen „europarechtlich qualifizierten“ Kollektivvereinbarungen weiterhin (rein mitgliedstaatlich ermächtigte) „schlichte“ Datenschutz-Kollektivvereinbarungen auf Grundlage und unter Berücksichtigung der allgemeinen Vorgaben der DS-GVO und nur mit den schon derzeit rein im nationalen Recht wurzelnden Rechtswirkungen abgeschlossen werden können, wird in den Kapiteln 3. und 7. behandelt.
Trotz der Formulierung des Art 88 Abs 1 DS-GVO sind hinsichtlich des Abschlusses von Kollektivvereinbarungen natürlich nicht die Mitgliedstaaten, sondern vielmehr die Kollektivvertrags- und11Betriebsparteien angesprochen; ErwGr 155 formuliert – wie schon ausgeführt – diesbezüglich treffender, dass spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich „Betriebsvereinbarungen“) vorgesehen werden können.
Interpretativ wird davon auszugehen sein, dass Art 88 Abs 1 DS-GVO erstens keine direkte eigenständige Ermächtigungsgrundlage für den Abschluss eines entsprechenden KollV oder einer entsprechenden BV ist* und auch zweitens kein „Gesetz“ iSd § 29 ArbVG darstellen wird (also auch keine indirekte eigenständige Ermächtigungsgrundlage ist).* Dieser arbeitsrechtlichen Betrachtungsweise steht nämlich Art 16 Abs 2 AEUV als einzige primärrechtliche Kompetenzgrundlage der DS-GVO entgegen,* sprich (nur) die Kompetenz der EU zur Regelung des freien Datenverkehrs als besondere Ausgestaltung der allgemeinen Binnenmarktkompetenz des Art 114 AEUV.*
Demgegenüber ist Art 153 AEUV die Grundlage für den Erlass von Vorschriften auf dem Gebiet der „Sozialpolitik“, was auch das Arbeitsrecht umfasst. Der Begriff „Arbeitsbedingungen“ in Art 153 Abs 1 lit b AEUV ist dabei zwar sehr umfassend. Klar dürfte aber sein, dass dessen lit b lex generalis gegenüber lit d, g, h und lit i leg cit ist. Angesichts der Möglichkeit, Regelungen über das kollektive Arbeitsrecht zu erlassen (lit e und lit f leg cit), kommen sub titulo „Arbeitsbedingungen“ daher hauptsächlich individualarbeitsrechtliche Normen in Frage, also vor allem Regelungen über die Rechte aus dem Arbeitsvertrag.*
Hingegen bietet die lit f leg cit eine Kompetenzgrundlage zur Schaffung echter Mitwirkungsrechte der Belegschaft.* Hiebei ist aber zu beachten, dass Art 153 Abs 2 lit b AEUV, der die einzige Rechtssetzungskompetenz des Artikels enthält, nur den Erlass von Richtlinien (ohne unmittelbare Drittwirkung) erlaubt. MaW bietet Art 153 AEUV keine Rechtssetzungskompetenz für eine VO, mit der eine eigenständige Rechtsgrundlage für den Abschluss eines KollV* oder einer BV (mit deren heteronomer Rechtsetzungsmöglichkeit) geschaffen würde.*
Allerdings könnte insb der Ermächtigungstatbestand des § 96a Abs 1 Z 1 ArbVG zu heteronomer Rechtsetzung, der sozialpolitisch auf Beschäftigtendatenschutz abzielt,* unionsrechtlich (auch) als Ermächtigung für den Abschluss einer neuen genuin europarechtlichen „Beschäftigtendatenschutz-BV“ im Gewand dieses notwendig-erzwingbaren Betriebsvereinbarungstypus* aufgefasst werden,* zumal § 11 DSG 2018 zusätzlich normiert, dass „das Arbeitsverfassungsgesetz, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO (ist)
“.* Selbst ohne diese Klarstellung in § 11 DSG 2018 erlauben die allgemeinen Ermächtigungsnormen des kollektiven Arbeitsrechtes zur heteronomen Rechtsetzung nämlich (wohl unbestritten) die (Mit-)Regelung auch von Beschäftigtendatenschutz. Daraus folgt, dass das österreichische kollektive
Arbeitsrecht, wo es zu dieser heteronomen Rechtsetzung ermächtigt, in diesem Rahmen mE – ab Anwendbarkeit der DS-GVO – auch Betriebsvereinbarungen und Kollektivverträgen als europarechtliche Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext zu fungieren erlaubt, ohne dass noch eigens eine entsprechende mitgliedstaatliche Zuweisung erfolgen müsste.*) In Folge der vorerwähnten österreichischen Implementierungsgesetzgebung sollte es nunmehr überhaupt aber unstrittig sein, dass in Österreich nach der Anwendbarkeit der DS-GVO hinkünftig insb die dargestellte europarechtliche „Beschäftigtendatenschutz-BV“ abgeschlossen werden kann.* Die inhaltliche Absicherung ihrer neuen rechtlichen Bedeutung leistet dabei insb Art 88 Abs 2 DSGVO.*
Für diese hier vertretene Ansicht spricht im Übrigen auch die unionsrechtliche Genese: So brachte (erstmals) der Ausschuss des Europäischen Parlaments für Beschäftigung und soziale Angelegenheiten „Kollektivvereinbarungen“ auf das Tapet, indem er einen entsprechenden Änderungsantrag zum Erwägungsgrund zum Beschäftigtendatenschutz (Art 82 des Kommissionsentwurfes) verfasste: „Sofern in dem jeweiligen Mitgliedstaat eine gesetzliche Grundlage zur Regelung von Angele-
12genheiten des Beschäftigungsverhältnisses durch Vereinbarung zwischen den Arbeitnehmervertretern und der Leitung des Unternehmens oder des herrschenden Unternehmens einer Unternehmensgruppe (Kollektivvereinbarung) [...] besteht, kann die Verarbeitung personenbezogener Daten im Beschäftigungskontext auch durch eine solche Vereinbarung geregelt werden.
“* Von Anfang an wollte man also auf europäischer Ebene auf bereits bestehenden gesetzlichen Ermächtigungen zum Abschluss von Kollektivvereinbarungen aufsetzen. Ein anderer Zugang als Beschäftigtendatenschutz (bloß) als Annexmaterie zum Arbeitsrecht bzw zu den „Arbeitsbedingungen“ mitzuregeln, wäre aus Kompetenzgründen – wie dargestellt – auch gar nicht möglich gewesen.
Neben dem (auch nach dem 25.5.2018) weiterhin möglichen Abschluss einer „schlichten“ Datenschutz-BV durch den BR mit einem inhaltlich weiten Ermessensspielraum hinsichtlich der Regelungen, unter denen der AG – auf Grundlage der allgemeinen Vorgaben der DS-GVO – in diesen Angelegenheiten tätig werden darf,* könnte der BR künftighin sohin auch eine „europarechtlich qualifizierte“ BV (in Konkretisierung der Öffnungsklausel zum Beschäftigtendatenschutz) zu verhandeln bzw durchzusetzen versuchen,* indem er sich ausdrücklich auf Art 88 Abs 1 DS-GVO beruft.* Dann muss sich die BV natürlich im Rahmen der dort aufgeführten Zwecke halten (Abs 1 leg cit) und den dort statuierten Anforderungen (Abs 1 und Abs 2 leg cit) genügen,* dh insb Maßnahmen zum Grundrechtsschutz und zur Wahrung der Menschenwürde der betroffenen Beschäftigten treffen.
Selbstredend könnten in einer „gemischten“ BV, die quasi nur nebenbei beschäftigtendatenschutzrechtliche Begleitbestimmungen im Rahmen eines primär auf andere Zwecke gerichteten Regelungsgegenstandes (zB Nutzungsregeln der dienstlichen Informations- und Kommunikationstechnik gem § 97 Abs 1 Z 6 ArbVG) beinhaltet, auch bloß einzelne Bestimmungen dieser BV im dargestellten Sinne „europarechtlich qualifiziert“ werden.
Wie dargestellt würde eine derart „unionsrechtlich aufgeladene“ BV demnach als „Erlaubnistatbestand“ einer Datenverarbeitung fungieren können.* Im Geltungsbereich des DSG 2000 ist ja strittig, ob unter die „besonderen Rechtsvorschriften“ des § 9 Z 11 leg cit auch Betriebsvereinbarungen fallen.* Mit Anwendbarkeit der DS-GVO kann durch den Abschluss entsprechender Betriebsvereinbarungen also das zT unbefriedigende Nebeneinander von Arbeitsrecht und Datenschutzrecht*) damit – wie schon bis dato durch entsprechende „Erlaubnis“-Betriebsvereinbarungen in Deutschland* – auch dogmatisch einwandfrei harmonisiert werden. An dieser Schnittstelle zum Datenschutzrecht kommt Betriebsvereinbarungen damit künftighin eine „doppelte Aufgabenstellung“ zu: Zum einen können sie als datenschutzrechtlicher Erlaubnistatbestand fungieren, zum anderen dienen sie (nach wie vor) der Erfüllung der Mitbestimmungsrechte des BR.* Zu beachten bzw zu bedenken ist dabei natürlich, dass mit der Funktion einer solchen „europarechtlich qualifizierten“ BV als Erlaubnistatbestand einer Datenverarbeitung im Beschäftigungskontext iSd DS-GVO zusätzliche nationale Standards zum (außerdatenschutzrechtlichen) Persönlichkeitsschutz unterlaufen werden könnten (zB eine aus § 16 ABGB abgeleitete Zustimmungspflichtigkeit von Kontrollen der privaten Kommunikation von Beschäftigten am Arbeitsplatz seitens dieser einzelnen betroffenen Beschäftigten).* Es darf nämlich nicht übersehen werden, dass die gegenständliche Öffnungsklausel auch auf die „Freiheiten“ der Datenverarbeitung Bedacht nimmt und überdies auch Regelungen für Zwecke des Schutzes des Eigentums der AG oder der Kunden erlaubt, was auf entsprechende Kontrollbefugnisse des AG hinausläuft.*
Insofern sollte mit diesem neuen Institut einer europarechtlichen „Beschäftigtendatenschutz-BV“ sorgsam umgegangen werden.
Mutatis mutandis sind die vorstehenden Ausführungen auf die Möglichkeit zu übertragen, künftig entsprechend europarechtliche „Beschäftigtendatenschutz-Kollektivverträge“ oder zumindest Kollektivverträge mit solchen Inhalten (als datenschutzrechtliche Erlaubnistatbestände zu entsprechenden Datenverarbeitungen) abzuschließen.* Die mitgliedstaatliche Grundlage dafür wäre die entsprechende Interpretation von § 2 Abs 2 Z 2 ArbVG iSd Regelungsbefugnis auch von individuellem Datenschutzrecht im Kontext von Arbeitsverhältnissen, was nach hier vertretener Auffassung zulässig wäre. Denn die Kollektivvertragsparteien sind diesbezüglich inhaltlich nicht auf „typische Ausgestaltungen“ beschränkt, vielmehr sind auch neuartige, atypische oder unübliche Regelungen zulässig,* da sonst den Kollektivvertragsparteien13die Möglichkeit genommen wäre, auf Veränderungen oder Notwendigkeiten der Arbeitswelt durch entsprechende, einzelvertraglich noch nicht übliche Regelungen zu reagieren und damit auf die Vertragsverhältnisse der von ihnen vertretenen (Arbeitsvertrags-)Parteien gestalterisch einzuwirken.* Vor dem Hintergrund der aktuell stattfindenden digitalen Transformation der Arbeitswelt und den daraus resultierenden gestiegenen Anforderungen an einen wirksamen Datenschutz der Beschäftigten wird eine datenschutzrechtliche Regelungsbefugnis der Kollektivvertragsparteien gem § 2 Abs 2 Z 2 ArbVG wohl nicht (mehr) zweifelhaft sein können.
Eine spannende Frage ist iZm der dargestellten Öffnungsklausel zum Beschäftigtendatenschutz, ob damit neben dem taxativen Katalog der Erlaubnistatbestände gem Art 6 Abs 1 DS-GVO auch „europarechtlich qualifizierte“ Kollektivverträge und Betriebsvereinbarungen künftig erstens eine (alleinige und vollkommen eigenständige) wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten darstellen können und zweitens mit welchem Regelungsumfang. Diese Frage gewinnt vor allem dadurch eine Bedeutung, weil Art 6 Abs 1 lit c DS-GVO gegenüber § 8 Abs 1 Z 1 DSG 2000 insofern enger formuliert ist, als eine gesetzliche (bloße) „Ermächtigung“ zu einer Datenverarbeitung eo ipso keinen tauglichen Erlaubnistatbestand einer Datenverarbeitung mehr bildet, sondern diesbezüglich auf eine Interessenabwägung gem Art 6 Abs 1 lit f DS-GVO ausgewichen werden muss; selbst wenn eine entsprechende gesetzliche Ermächtigung ein gewichtiges Argument für ein „legales“ Nicht-Überwiegen der Interessen der betroffenen Person ist, besteht insofern ein argumentativer Mehraufwand und verbleibt eine gewisse Rechtsunsicherheit. Deshalb wäre es eine die Rechtssicherheit befördernde Ansicht, würden Ermächtigungen zu Datenverarbeitungen in Kollektivverträgen und (für die Praxis hauptsächlich relevant) in Betriebsvereinbarungen normiert werden können, was sowohl im Interesse des AG (zB bei der Abwicklung freiwilliger Gehaltsvorschüsse) als auch des BR läge (außerhalb betriebsverfassungsrechtlicher Pflichtbefugnisse, zB bei der Teilnahme an der Verwaltung von betriebs- und unternehmenseigenen Wohlfahrtseinrichtungen gem § 95 Abs 1 ArbVG).
Die Aussagen diesbezüglicher Antworten sind weit gespannt und erstrecken sich über ein 180°-Spektrum:
An einem Ende des Spektrums wird wie selbstverständlich davon ausgegangen, dass Betriebsvereinbarungen eine solche Rechtsgrundlage darstellen können. So führt bspw Fritz aus, dass – damit Betriebsvereinbarungen künftig eine wirksame Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten darstellen – diese den allgemeinen Anforderungen an Transparenz und Nachvollziehbarkeit entsprechen, und somit
(i) deutlich machen, dass ein datenschutzrechtlicher Ausnahmetatbestand geschaffen werden soll, (ii) genaue und transparente Beschreibungen der Datenverarbeitung enthalten, (iii) geeignete Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundrechte der betroffenen Personen beinhalten, (iv) die Rechte der Betroffenen sowie die Pflichten des Verantwortlichen benennen, und (v) mögliche Zweckänderungen der erhobenen Daten voraussehen und in der BV selbst abbilden müssen.* Die allgemeingültigen Regelungen der DS-GVO seien insofern nicht abschließend, bspw könnte eine BV festlegen, welche personenbezogenen Daten aus welchen Gründen an den BR weitergegeben werden.* Auch Feiler/Forgó gehen von einer „äußerst weiten Regelungskompetenz“ aus, beziehen sich diesbezüglich aber nicht ausdrücklich auch auf die Kollektivvereinbarungen.* Ausdrücklich auch auf Kollektivvereinbarungen bezieht sich Traut und will diesen auch eine Spezifizierung der Rechtmäßigkeit der Verarbeitung insb an Stelle von Art 6 DS-GVO gestatten; er spricht sich auch dafür aus, Tarifverträge und Betriebsvereinbarungen als Spezifizierungsrechtsakte nach Art 88 Abs 1 DSGVO hinsichtlich ihrer „Einschätzungsprärogative“, sprich ihres gerichtlich nicht weiter nachzuprüfenden Gestaltungsspielraumes, europarechtlich gleich zu behandeln.*
Am anderen Ende des Spektrums wird ausgeführt, dass eine BV die näheren Umstände einer Datenverarbeitung entsprechend Art 88 Abs 2 DS-GVO-Transparenz, konzerninterne Verarbeitung, eingesetzte Überwachungssysteme – nur spezifizieren könne. Verpflichte sich der AG hingegen in einer BV im Interesse der Beschäftigten zur Gewährung von Vorteilen – AG-Darlehen, Kantinenessen, Parkberechtigungen –, ermögliche diese rechtliche Verpflichtung des AG nach Art 6 Abs 1 lit c DS-GVO die zur Erfüllung erforderliche Verarbeitung von Beschäftigtendaten; auch hier könne eine BV nur die näheren Umstände der unionsrechtlich erlaubten Datenverarbeitung spezifizieren. In keinem Fall schaffe eine mitgliedstaatliche Norm oder eine BV aber einen (eigenständigen) Erlaubnistatbestand für die Datenverarbeitung; der einschlägige Erlaubnistatbestand sei immer (nur) dem Katalog des Art 6 Abs 1 DS-GVO zu entnehmen.*
Innerhalb dieses Spektrums finden sich Aussagen des Inhaltes, dass es der Verordnungsgeber mit der Öffnungsklausel den Mitgliedstaaten überlasse, die allgemeinen Voraussetzungen, die die DS-GVO an14eine Zulässigkeit des Umganges mit personenbezogenen Daten vorsieht, den besonderen Gegebenheiten im Beschäftigungskontext anzupassen; es stehe den Mitgliedstaaten insofern frei, ein „Mehr“ an Datenschutz einzuführen.* Im Vergleich dazu fällt die Aussage restriktiver aus, dass wesentliche Abweichungen vom Schutzstandard der DSGVO nicht möglich seien; Konkretisierungen seien zulässig, so auch gewisse Sonderwege im Hinblick auf formelle Aspekte.*
Diesbezüglich grundsätzlich am überzeugendsten fallen mE die Ausführungen von Maschmann iS lediglich einer „Konkretisierungskompetenz“ aus, der insofern von „spezielleren Vorschriften“ ausgeht. Mit Hilfe einer systematischen* und teleologischen Interpretation*) und einer Auslegung im Lichte des Primärrechtes* sei auch im Geltungsbereich dieser Öffnungsklausel vom „Prinzip der Vollharmonisierung“ auszugehen.*Maschmann geht aber offenbar davon aus, dass auch die Erlaubnistatbestände des Art 6 Abs 1 DS-GVO „konkretisiert“ werden können, wenn er ausführt, dass (Konzern-)Betriebsvereinbarungen als „spezifischere Vorschriften“ eine Befugnisgrundlage iSd Art 6 DS-GVO für eine konzerninterne Übermittlung von Beschäftigtendaten schaffen könnten (gegenständlich auf Basis einer Interessenabwägung nach Maßgabe von Art 6 Abs 1 lit f).* Rechtswidrig wäre (nur) die Einführung eines generellen Konzernprivilegs ebenso wie ein generelles Verbot der konzerninternen Übermittlung von Beschäftigtendaten. Letztlich bewegt sich Maschmann damit sinngemäß auf dem Boden der ASNEF-Rsp des EuGH* (zur DS-RL 95/46/EG),* wonach nationale Maßnahmen, die die Tragweite eines datenschutzrechtlichen Grundsatzes verändern, verboten sind; demgegenüber genießen nationale Maßnahmen, die nur einen dieser Grundsätze näher bestimmen, einen Ermessensspielraum. Bspw darf eine nationale Regelung die – auf den Erlaubnistatbestand der Interessenabwägung gestützte – Verarbeitung bestimmter Kategorien personenbezogener Daten nicht dergestalt kategorisch und verallgemeinernd ausschließen, dass sie für diese Kategorien das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen abschließend vorschreibt, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt.
Mutatis mutandis wären „Kollektivvereinbarungen“, in praxi insb Betriebsvereinbarungen, dann keine genuinen eigenständigen Erlaubnistatbestände für Datenverarbeitungen außerhalb des Kataloges des Art 6 Abs 1 DS-GVO; sie könnten aber entsprechende rechtliche Verpflichtungen gem dessen lit c schaffen oder Leitlinien für eine Interessenabwägung gem dessen lit f vorgeben bzw die Erlaubnis einer genannten oder auch (zur Zweckerreichung) nur erforderlichen Datenverarbeitung indizieren, ohne aber ein von vornherein abschließendes pauschalierendes (Interessen-)Abwägungsergebnis vorgeben zu dürfen.
Der österreichische Gesetzgeber geht davon aus, dass sich Regelungen zum Beschäftigtendatenschutz in arbeitsrechtlichen Vorschriften (zB im Arbeitsverfassungsgesetz) finden* und schuf deshalb mit dem Datenschutz-Anpassungsgesetz 2018* § 11 Satz 1 DSG 2018, welche Norm das ArbVG, soweit es die Verarbeitung personenbezogener Daten regelt, als Vorschrift iSd Art 88 DSGVO deklariert. Insofern werden die entsprechenden Normen des ArbVG als nationales Beschäftigtendatenschutzrecht gem dieser Öffnungsklausel ausgewiesen. Aus Sicht und mit der Sichtweise des österreichischen Gesetzgebers kann sohin auch die Ansicht vertreten werden, dass innerhalb des entsprechenden Regelungsrahmens des ArbVG insb Betriebsvereinbarungen gem § 96a ArbVG abschließende pauschalierende (Interessen-)Abwägungsergebnisse vorgeben können, die keinen Raum für eine weitere (datenschutzrechtliche) Interessenabwägung mehr lassen, wenn die Datenverarbeitung für die in der BV jeweils angegebene Zweckerreichung der jeweiligen (Personal-)Maßnahmen, Verpflichtungen oder Ermächtigungen erforderlich ist, und zwar selbst dann, wenn keine explizite Verpflichtung des AG oder BR iSd Art 6 Abs 1 lit c DS-GVO verankert wird.
Letztlich wird die dargestellte Fragestellung des befugten Umfanges einer Erlaubniserteilung zur Datenverarbeitung durch eine Kollektivvereinbarung wohl nur über den Weg eines Vorabentscheidungsersuchens vom EuGH gem Art 267 AEUV rechtssicher beantwortet werden können.
Bis dahin empfiehlt sich aus Gründen rechtlicher Vorsicht, in Betriebsvereinbarungen oder Kollektivverträgen, wenn diese Kollektivvereinbarungen als Erlaubnistatbestände von Datenverarbeitungen von AG und/oder BR dienen sollen, grundsätzlich entsprechende „Verpflichtungen“ (und nicht bloße „Ermächtigungen“) zu formulieren.*) Sollen hingegen nur (nicht verpflichtende) rechtliche Befugnisse geschaffen werden, ist jedenfalls zu empfehlen, die jeweilige Norm der Kollektivvereinbarung entsprechend europarechtlich zu „qualifizieren“15und ausdrücklich als „Erlaubnistatbestand gem Art 88 Abs 1 DS-GVO iVm ErwGr 155 iVm § 11 DSG“ auszuweisen.* Das dient der Erfüllung des Transparenzgebotes des Art 88 Abs 2 DS-GVO, dessen Vorgaben auch von den Kollektivvertrags- bzw Betriebsparteien zu beachten sind.* In diesem Sinne von Transparenz empfiehlt sich – auch aus den dargestellten Gründen der Rechtssicherheit – diesfalls weiters die zusätzliche ausdrückliche Berufung auch auf den Erlaubnistatbestand einer Interessenabwägung gem Art 6 Abs 1 lit f DS-GVO.*
Klar zu stellen ist aber, dass die vorstehenden Ausführungen nichts am Befund gem Kap 2. ändern, dass nach Anwendbarkeit der DS-GVO auch Kollektivverträge und Betriebsvereinbarungen grundsätzlich als „Erlaubnistatbestand“ einer Datenverarbeitung fungieren können.
Unbeschadet der in Kap 4. ausgesprochenen Empfehlung des Ausweises entsprechender Kollektivvereinbarungen in toto oder nur einzelner ihrer Klauseln als unionsrechtlicher Beschäftigtendatenschutz-Erlaubnistatbestand wird ein solcher ausdrücklicher Umsetzungshinweis von der DS-GVO nicht expressis verbis verlangt* und kann sich ein entsprechender Umsetzungswille des bzw der Normsetzer insofern auch indirekt aus dem Text erschließen.
Machen die Kollektivvertrags- bzw Betriebsparteien von der Öffnungsklausel Gebrauch, müssen sie auch nicht die zentralen Grundsätze der DS-GVO in wiederholender Weise abbilden,* das wäre eine unnötige Förmelei.
Selbstverständlich fallen Kollektivvereinbarungen auch nicht – wie von den Mitgliedstaaten erlassene Rechtsvorschriften – unter die unionsrechtliche Meldepflicht gem Art 88 Abs 3 DS-GVO;* das ergibt sich nicht nur aus dem Wortlaut von Abs 3, der die Kollektivvereinbarungen nicht erwähnt, sondern wäre auch in praxi schlichtweg undurchführbar.
Art 88 Abs 2 DS-GVO verfolgt offenkundig das Ziel, eine übermäßige Absenkung des Datenschutzstandards der DS-GVO durch einzelstaatliche Regelungen oder durch Kollektivvereinbarungen zu verhindern.*) Dh das Schutzniveau insb von Betriebsvereinbarungen wird künftighin idR dem allgemeinen Schutzniveau der DS-GVO entsprechen müssen. Allerdings werden alternative Regelungen einzelner Verfahrens- und Sachfragen nicht nur zulässig, sondern auch sinnvoll sein, um den Besonderheiten des Arbeitsverhältnisses oder des jeweiligen Betriebes besser gerecht werden zu können als nach den allgemeinen Vorgaben der DS-GVO.*
Denkbar sind hiebei insb Verfahrensfragen, bspw die Vereinbarung konkreter technischer und organisatorischer Maßnahmen zur Datensicherheit oder die verpflichtende Durchführung einer Datenschutz-Folgenabschätzung gem Art 35 f DS-GVO unter Einbindung des BR bei der Einführung bestimmter Datenverarbeitungen (zB Monitoring-Software). Aber auch die mögliche Regelung der Art und Weise der Erfüllung von betriebsverfassungsrechtlichen Informationspflichten des AG gehört hierher.
Hinsichtlich Sachfragen kommen etwa Vorgaben zur Speicherdauer und zu den Voraussetzungen einer Löschung oder einer Einschränkung von personenbezogenen Beschäftigtendaten (in Konkretisierung von Art 17 DS-GVO), zB hinsichtlich schriftlicher Verwarnungen, in Betracht.
Ob in diesem Kontext sogar eine kollektive Information des BR an Stelle einer kleinteiligen und aufwändigen Unterrichtung jedes einzelnen Beschäftigten in Betracht käme,* erscheint aber zweifelhaft und könnte mE höchstens in Sonderfällen unwesentlicher und nur kurzfristig gespeicherter bloß „personenbeziehbarer“ Daten vertreten werden.
Neue Wege könnten auch bei der Sanktionierung von Verstößen des AG beschritten werden, insb mit einer Klausel zu einem entsprechenden Beweiserhebungs- und (folgendem) Beweisverwertungsverbot. Entgegen der bisherigen Rsp*) könnten sich dann nämlich sowohl der BR als auch einzelne AN auf europarechtliche Grundsätze des indirekten Vollzugs von Unionsrecht (insb das Effektivitätsprinzip)* wie auch auf das Auslegungskriterium der praktischen und effektiven Wirksamkeit (effet utile) von Unionsrecht* berufen. Daraus könnte nicht nur ein an den AG adressiertes, sondern16auch ein behördliches bzw gerichtliches Verwertungsverbot von Beweismitteln (deren Verwertung zum Nachteil der betroffenen AN gereichen würde) abgeleitet werden, wenn diese unter Verstoß gegen die (vermittels der BV konkretisierte) DS-GVO erlangt wurden (zB auf Grund einer – in der BV explizit verbotenen – heimlichen* und damit rechtswidrigen Überwachung).* Selbst wenn man einem absoluten Beweiserhebungs- und -verwertungsverbot ablehnend gegenübersteht und stattdessen einer entsprechenden Interessenabwägung im Einzelfall das Wort redet,* bekämen entsprechende Klauseln in Betriebsvereinbarungen, die sich ausdrücklich auf Art 88 Abs 1 DS-GVO berufen, plötzlich ein (neues) europarechtliches Gewicht, das auch von den Behörden bzw Gerichten zu beachten wäre.*
Neue Kollektivvereinbarungen, in praxi insb Betriebsvereinbarungen, die ab jetzt abgeschlossen werden, sollten natürlich bereits die neuen Begrifflichkeiten und Vorgaben der DS-GVO beachten, um einen diesbezüglichen Anpassungsbedarf bis zum oder nach dem 25.5.2018 zu vermeiden.
Hinsichtlich zum Zeitpunkt 25.5.2018 bestehender (und nicht entsprechend adaptierter) Kollektivverträge und Betriebsvereinbarungen* ist von Folgendem auszugehen:
Nationale Normen, die in Umsetzung der DS-RL 95/46/EG erlassen worden sind, werden nicht automatisch durch die Anwendbarkeit der DS-GVO mit der DS-RL 95/46/EG gem Art 94 Abs 1 DS-GVO (formell) mit aufgehoben.* Sie sind in unionsrechtlicher Hinsicht aber daraufhin zu überprüfen, ob sie mit der Anwendbarkeit der DS-GVO noch (materiell) aufrecht erhalten werden können. Ein zwingender Anpassungsbedarf im nationalen Recht besteht bspw sodann nur soweit, wie im Recht der DS-GVO keine Öffnungsklauseln bestehen, die das Aufrechterhalten der nationalen Regelung rechtfertigen.* Zugleich schlägt hier aber der Rechtsformwechsel dergestalt durch, dass Vorgaben im nationalen Recht, die nicht der DSGVO entsprechen, von dieser verdrängt werden. Die DS-GVO gilt insoweit gem Art 288 Satz 2 AEUV unmittelbar und es greift insofern der Vorrang des Unionsrechtes.
Diese Rechtslage gilt auch für den normativen Teil von privatrechtlichen Normenverträgen, beitragsgegenständlich Kollektivverträgen und Betriebsvereinbarungen.
In Anbetracht der Öffnungsklausel des Art 88 Abs 1 DS-GVO wird idR von einem Aufrechtbleiben im weitesten Sinn datenschutzrechtlicher Regelungen in Kollektivverträgen und Betriebsvereinbarungen auszugehen sein, zumal sich die bisherigen Datenschutz-Standards inhaltlich nicht wesentlich verändert haben. Sollte dennoch solchen Standards nicht (mehr) entsprochen werden, entweder weil Regelungen in genere der DS-GVO (hinsichtlich „schlichter“ Datenschutz-Kollektivvereinbarungen) oder in specie Art 88 Abs 2 DS-GVO (hinsichtlich „europarechtlich qualifizierter“ Kollektivvereinbarungen) nicht entsprechen oder sogar widersprechen, ist allenfalls die betroffene Regelung im KollV oder in der BV auf Grund des Anwendungsvorrangs des Unionsrechtes nicht (mehr) anwendbar.* Bspw wird die Regelung in einer BV über eine Videoüberwachung öffentlich zugänglicher Betriebsräumlichkeiten zu Sicherheitszwecken (zB in einer Bank), die auch eine zweckändernde Verarbeitung von Daten über Beschäftigte bei (zufällig mitgefilmten) Disziplinarverstößen allgemein legitimiert, mit Anwendbarkeit der DS-GVO wohl nicht mehr den „Kompatibilitätstest“ des Art 6 Abs 4 DS-GVO hinsichtlich der Vorgabe einer rechtmäßigen Zweckbindung einer Datenverarbeitung bestehen* und würde damit eine derartige Weiterverarbeitung von Bilddaten trotz Erlaubnis durch die BV rechtswidrig.* Selbst eine Berufung von AG oder BR auf die Öffnungsklausel des Art 88 DS-GVO mit dem Ziel, einen entsprechenden europarechtlichen datenschutzrechtlichen Erlaubnistatbestand zu schaffen, würde in diesem Beispiel zu keinem anderen Befund führen, da diese „spezifischeren Vorschriften“ nicht – wie in Kap 4. ausgeführt – von allgemeinen Grundsätzen der DS-GVO abweichen dürfen (gegenständlich dem Zweckbindungsgrundsatz des Art 5 Abs 1 lit b DS-GVO).
Ganz wesentlich ist zu beachten, dass dem Verantwortlichen (idR der AG), aber auch dem Auftragsverarbeiter, ab dem 25.5.2018 empfindliche Geldstrafen drohen, wenn gegen Datenschutz-Standards der DS-GVO bzw gegen Pflichten gem den auf der Grundlage der Öffnungsklausel des Art 88 Abs 1 DS-GVO erlassenen nationalen Rechtsvorschriften verstoßen wird.* Das bedeutet gegenständlich zum einen, dass künftig bestimmte Datenverarbeitungen des AG im Beschäftigungskontext, die entgegen § 96 Abs 1 Z 3 oder § 96a Abs 1 Z 1 ArbVG ohne eine entsprechende BV als notwendige (betriebsverfassungsrechtliche und gleichzeitig datenschutzrechtliche) Legitimationsgrundlage betrieben werden, insb Mitarbeiterüberwachungen,17in Folge § 11 Satz 1 DSG 2018 mit einer entsprechenden Sanktion bedroht sein werden.* Zum anderen würden Verstöße gegen datenschutzrechtliche Pflichten des AG, die in „europarechtlich qualifizierten“ Kollektivvereinbarungen, insb Betriebsvereinbarungen, enthalten sind (zB das Verbot heimlicher Überwachungen oder bestimmte Verwertungsverbote), zu dieser Strafbarkeit führen.
Man sollte die DS-GVO nicht als lästigen bürokratischen Mehraufwand sehen, da sie den höchst notwendigen Anstoß setzt, die digitale Transformation unserer gesamten Gesellschaft und insb auch der Arbeitswelt, die von den unbändigen Leistungskräften neuer Technologien angetrieben wird, in Bahnen zu lenken, die es beitragsgegenständlich Beschäftigten auch im digitalen Zeitalter erlauben, Rechtsstaatlichkeit, Betriebsdemokratie und Grundrechtsschutz am Arbeitsplatz zu erfahren.
Betriebsbezogen sollte man vielmehr die Chancen des neuen Datenschutz-Rechtsrahmens begreifen und nutzen: Für Betriebsräte tun sich sowohl neue Möglichkeiten der Mitbestimmung (insb hinsichtlich Risikobewertungen iVm Datenschutz-Folgenabschätzungen) als auch neue effektive Durchsetzungsmechanismen (insb Beweisverwertungsverbote) auf; für AG bieten sich organisatorische Erleichterungsmöglichkeiten durch entsprechende Regelungsspielräume an (zB der Wegfall zusätzlicher persönlichkeitsrechtlicher Einwilligungserklärungen von Beschäftigten oder Erleichterungen bei konzerninternen Übermittlungen von Beschäftigtendaten).