Datenschutz und Arbeitsrecht – Was ändert sich durch die Datenschutz-Grundverordnung?*
Datenschutz und Arbeitsrecht – Was ändert sich durch die Datenschutz-Grundverordnung?*
Die Datenschutz-Grundverordnung (DSGVO)
Die wesentlichen Neuerungen
Terminologische Änderungen
Wesentliche Neuerungen in der DSGVO
Materiellrechtliche Grundlagen der Datenverarbeitung im Arbeitsverhältnis
Ausgewählte Problemstellungen
Betriebsrat als Verantwortlicher
Die Öffnungsklausel des Art 88 DSGVO und das Datenschutzgesetz
§ 11 Datenschutz-Anpassungsgesetz 2017
Die „endgültige“ Umsetzung im Datenschutz-Deregulierungsgesetz 2018
Die Notifikationspflicht des Art 88 Abs 3 DSGVO
Ausblick
Bis Ende Mai galt noch das „alte“ DSG 2000, das auf der DS-RL aus den 1990er-Jahren fußte. Nunmehr trat mit 25.5.2018 eine gänzlich andere Rechtsquelle an deren Stellen: Die im April 2016 beschlossene VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG* – die Datenschutz-Grundverordnung (DSGVO).*
Eine Verordnung der EU gem Art 288 AEUV entfaltet bekanntlich völlig andere Wirkungen als eine Richtlinie. Sie ist unmittelbar anzuwenden und dient an sich dem Zweck der Vollharmonisierung.* Warum diese Änderung?! Der 9. und 10. Erwägungsgrund halten fest, dass die DS-RL kein einheitliches Datenschutzniveau gewährleisten konnte, weil zu viele Unterschiede beim Schutzniveau in den einzelnen Mitgliedstaaten gegeben waren. Daher sollte das Schutzniveau durch eine Verordnung vereinheitlicht werden, „das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein
“.*463
Nur mit diesem Ansatz wäre die rigide Eingriffsintensität der Rechtsquelle Verordnung überhaupt sinnvoll zu begreifen. Allerdings enthält die DSGVO wieder über 60 Öffnungsklauseln, die den Mitgliedstaaten – zum Teil obligatorisch – weitere oder spezifischere Regelungen überlassen. Dazu erwägt 8. Erwägungsgrund: „Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.
“
Damit ist aber die angestrebte Vollharmonisierung nicht zu erreichen. Es handelt sich also um eine sogenannte hinkende Verordnung oder eine Verordnung „mit Richtlinien-Charakter“.* Die völlig aus dem Rahmen gelaufene Zahl der Öffnungsklauseln ist schlicht der Tatsache geschuldet, dass sich die Mitgliedstaaten in diesen Fällen nicht auf eine gemeinsame Linie einigen konnten und die Öffnungsklauseln es weiterhin ermöglichen, dass viele Dinge in der Gestaltungsmacht der Mitglieder verbleiben.* Gleichzeitig finden sich in manchen Bereichen auch dezente Verschlechterungen iSe Aufweichung des Schutzniveaus – mit ein Grund, warum Österreich im schriftlichen Verfahren im Rat gegen die DSGVO gestimmt hat.*
Alles in allem verbleibt nun – nach rund vier Jahren Verhandlungen mehr als 3000 (!) Abänderungsanträgen, Einflussnahmen, auch durch außereuropäische Lobbying-Organisationen – eine Verordnung, die in manchen Bereichen mehr Fragen aufwirft als sie beantwortet. Die 173 Erwägungsgründe tun das Übrige dazu, den Norminhalt nicht leicht zu erfassen.
Daneben hat der österreichische Gesetzgeber mit dem Datenschutz-Anpassungs- bzw Deregulierungsgesetz 2018* ein innerstaatliches Begleitgesetz geschaffen. Es trat ebenso am 25.5. in Kraft. Dieses neue Datenschutzgesetz enthält einiges an arbeitsrechtlichem „Sprengstoff“. Sonst enthält dieses DSG neben diversen organisatorischen Regelungen – etwa über Datenschutzbehörde und -rat – besondere Vorschriften über die Videoüberwachung, die in der DSGVO nicht geregelt wurde. Zudem finden sich Vorschriften über die Datenverwendung für Zwecke der Sicherheitspolizei.* Darauf – sowie auf andere Facetten, etwa den Datenschutz für juristische Personen* – wird hier nicht näher eingegangen. Festzuhalten ist aber, dass das Gesetz wohl einige „Doppelungen“ enthält, deren Wirksamkeit angesichts der unmittelbaren Wirkung der DSGVO fraglich ist.
Deutliche Änderungen betreffen zunächst Begriffe und Terminologien, was ein Umlernen notwendig macht. Der schon bisher sehr weite Datenbegriff wird ein wenig modifiziert.* Weiterhin sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen, personenbezogene Daten
“ iSd DSGVO. Die vormals sensiblen Daten stehen nunmehr unter dem Überbegriff besondere Kategorien schutzwürdiger Daten (Art 9 Abs 1 DSGVO). Sie umfassen wie bisher personenbezogene Daten über rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Neu hinzu gekommen sind nunmehr „genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
“. Schon nach alter Rechtslage konnten derartige Daten mE dem Begriff der Gesundheitsdaten im weitesten Sinne subsumiert werden. Wie bisher bleibt es bezüglich dieser – wohl weiterhin als sensibel bezeichneten – Daten bei einem grundsätzlichen Verarbeitungsverbot.*
Anhand zweier einschlägiger Beispiele seien die Schwierigkeiten der Interpretation datenschutzrechtlicher Normen gegeben. Dies betrifft etwa die philosophische Überzeugung – bisher in § 4 Z 2 DSG 2000 als sensibles Datum definiert. In Art 9 DSGVO fehlt dieses nunmehr, obwohl etwa die englische Fassung der DSGVO weiterhin von „religious or philosophical beliefs“ spricht. Allerdings wird eine profunde innere Haltung zu Schopenhauer oder Nietzsche in sinnvoller Subsumption dem Begriff der Weltanschauung untergeordnet werden können.*
In steter Diskussion ist weiters die Frage sogenannter Mischdaten.* Dies betrifft Daten, die sich nicht ex ante zweifelsfrei einer der beiden Datenkategorien zuordnen lassen oder in ihrer Eigenschaft zwischen sensibel und nicht-sensibel chamäleonartig wechseln können.
Dies sind einmal Fotografien von Personen. Fraglich ist, ob nicht jedes Bild sozusagen imma-464nent eine Auskunft über ethnische und rassische Herkunft, allenfalls auch Gesundheitsdaten oder Religion „inkludiert“* – also ein Foto immer als sensible Information anzusehen ist.* Diese Ansicht relativiert aber der 51. Erwägungsgrund. Dort heißt es: „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.
“
Es erscheint klar, dass sämtliche Fälle von Gesichtserkennungsprogrammen eine biometrische Datenverarbeitung darstellen.* Genetische und biometrische Daten sind bloß dann sensible Verwendungen, wenn es um die Identifizierung natürlicher Personen geht. In allen sonstigen Zusammenhängen sind genetische Daten sodann wohl bloß im Lichte der Gesundheitsdaten relevant – bspw wenn ein Gentest einer bereits identifizierten natürlichen Person zum Zweck der Feststellung einer genetischen Krankheitsprädisposition durchgeführt wird.
Leider stellt auch die Neuregelung in der DSGVO derartige Fragestellungen nicht klar. Ob nun ein Bild eines Menschen immer auch eine ethnische Information beinhaltet oder nicht, ist weiterhin offen. Dasselbe wird übrigens auch für den Namen diskutiert – letztlich kann auch daraus allenfalls auf ethnische Herkunft, womöglich auch die Religion geschlossen werden.* Nach mancher Ansicht* ist davon auszugehen, dass bei bloßem Namen das datenschutzrechtliche Kriterium der „hinlänglichen Sicherheit“ idR nicht vorliegen wird. Jedenfalls zeigt bereits die Tatsache, dass darüber diskutiert wird, welche Schwierigkeiten Auslegungsfragen des Datenschutzrechts mit sich bringen können.
Im arbeitsrechtlichen Kontext spielt diese Frage bspw eine Rolle bei der Internetnutzung von AN im Betrieb. So können log-files, die im Rahmen jeder Nutzung anfallen und über die URL auch die aufgerufenen Websites beinhalten, einmal nichtsensible Daten – bspw das Abrufen der Wettervorhersage – enthalten. Ebenso ist aber der Anfall sensibler Daten denkbar – etwa, wenn sich ein Mitarbeiter durch Einloggen in eine Datenbank der Gewerkschaft als deren Mitglied ausweist. In einem solchen Fall scheitert auch die in der Literatur vorgeschlagene Methode einer Einteilung nach objektiven Gesichtspunkten iSv Erkennbarkeit.* Vielmehr ist sodann nach richtiger Ansicht die gesamte Verarbeitung vorab der strengeren Regelung für sensible Daten zu unterwerfen, weil es sich um „an sich sensible“ oder „potentiell sensible“ Daten handelt.
An weiteren terminologischen Neuerungen ist zu erwähnen, dass aus dem Auftraggeber nunmehr der Verantwortliche gem Art 4 Z 7 DSGVO wird. Aus dem vormaligen Dienstleister wird jetzt ein Auftragsverarbeiter – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.* Die bisherige Datenverwendung des § 4 Z 8 DSG 2000 wird zur „Verarbeitung“ gem Art 4 Z 2 DSGVO. Allerdings ist weiterhin von einem sehr weiten Begriff auszugehen, als „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
“ und anderes jedenfalls eine Verarbeitung darstellt.
Eine weitere Neuerung der DSGVO: Aus der Zustimmung wird nunmehr die Einwilligung. Allerdings hat sich inhaltlich abseits einer Art „Intensivierung“ der Bewusstheit des Erklärenden nicht allzu viel geändert. Die Einwilligung ist gem Art 4 Z 11 DSGVO nunmehr „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist
“. Freiwilligkeit der Einwilligung ist nur gegeben, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, also ohne Nachteile auf die Erteilung der Einwilligung verzichten kann.*
In Art 7 erweitert und präzisiert die DSGVO die Anforderungen an die Einwilligung. Sie überbürdet dem Verantwortlichen die Beweislast für die Existenz einer Einwilligung sowie die Vorabinformation über das Widerrufsrecht.* Das Ersuchen um Einwilligung hat in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.* Wie bisher kann die Einwilligung in die Verarbeitung nicht sensibler Daten auch konkludent erteilt werden – die Einwilligung in die Verwendung sensibler Daten hat weiterhin immer ausdrücklich zu erfolgen.*
Überdies besteht nunmehr ein Koppelungsverbot. Die Einwilligung muss auf Freiwilligkeit beruhen465und darf nicht mit der Einwilligung zu etwas anderem „erzwungen“ werden. Eine Koppelung mit einer Einwilligung zu einem anderen Sachverhalt hindert also die Freiwilligkeit der datenschutzrechtlichen Zustimmung.* Angesichts diverser kritischer Haltungen der Datenschutz-Community zur Einwilligung im Arbeitsverhältnis – manche meinen gar, dass eine solche Einwilligung wegen des vorhandenen „Drucks“ nach angeblich hA „kaum wirksam erteilt werden“ könne* – stellt sich die Frage, inwieweit eine Zustimmung im Arbeitsvertrag nicht immer den Hauch einer Koppelung in sich trägt. ME steht zu befürchten, dass Einwilligungen in Arbeitsverträgen prima facie regelmäßig als Koppelung anzusehen sein wird.
Allerdings hat das Einwilligungsmodell im Arbeitsverhältnis immer schon grundlegende Schwächen und ist mE untauglich. Neben der Frage, ob die so ernsthaft geforderte Freiwilligkeit in allen Fällen gewährleistet ist, bleibt die Tatsache, dass eine erteilte Einwilligung gem Art 7 Abs 3 DSGVO jederzeit widerruflich ist und zur Unzulässigkeit der weiteren Datenverwendung führt.* Damit ist eine homogene Rechtslage im Unternehmen kaum herzustellen. Daher sind mE andere, einwilligungsunabhängige Zulässigkeitstatbestände der DSGVO tauglicher. Existieren Einwilligungen im betrieblichen Kontext, so sind sie – gem dem 171. Erwägungsgrund – im Übergang auf die DSGVO nur dann anzupassen, also wohl neuerlich einzuholen, sofern die Einwilligung „den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann
“. MaW: Eine Adaptierung ist notwendig, wenn die bisherigen Einwilligungen den Erfordernissen der DSGVO nicht entsprechen.
Gänzlich neu ist die Verlagerung weg von der Registrierungs- bzw Genehmigungspflicht bei der DSB hin zu einer Eigenverantwortung bzw -verpflichtung des Verantwortlichen.* Dies beginnt mit der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art 30 DSGVO).* Es handelt sich um eine obligatorische Dokumentation sämtlicher Verarbeitungstätigkeiten, die der Zuständigkeit des Verantwortlichen unterliegen. Das Verzeichnis hat relevante Daten des Verantwortlichen, allenfalls weitere Verantwortliche, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten oder gegebenenfalls Übermittlungen uam zu enthalten.* Dasselbe gilt für Auftragsverarbeiter.*
Arbeitsrechtlich interessant ist die Tatsache, dass in Unternehmen mit „weniger als 250“ Mitarbeitern die Erstellung eines solchen Verzeichnisses unterbleiben kann, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung sensibler Daten einschließt* (Art 30 Abs 5 DSGVO).
In manchen Fällen kommt zur Pflicht zur Erstellung dieses Verzeichnisses gem Art 35 DSGVO noch eine weitere hinzu: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch
“ – die sogenannte Datenschutz-Folgenabschätzung.* Sollte aus dieser Datenschutz-Folgenabschätzung hervorgehen, dass die geplante Verarbeitung tatsächlich ein hohes Risiko zur Folge hätte und der Verantwortliche dieses nicht durch geeignete Abhilfemaßnahmen eindämmen kann – also trotz getroffener risikominimierender Maßnahmen weiterhin ein hohes Risiko besteht –, ist vor der Verarbeitung zusätzlich die DSB zu konsultieren (sogenannte Vorherige Konsultation nach Art 36 DSGVO).*
Verpflichtend ist weiters ein Datenschutzbeauftragter zu bestellen, sofern
die Kerntätigkeit ua eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht, oder
die Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten (oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem Art 10) besteht.*
Kerntätigkeit heißt offenbar, dass sich diese Kerntätigkeit stets auf die Datenverarbeitung als Haupttätigkeit, nicht aber als Nebentätigkeit bezieht. MaW: Die Personalverwaltung in einem Unternehmen ist466typischerweise als Nebentätigkeit anzusehen, selbst wenn dort sensible Daten erhoben werden.*
Der Datenschutzbeauftragte ist sodann mit allen datenschutzrechtlichen Fragen zu befassen, einzubinden, unterliegt umfassenden Verschwiegenheitspflichten, ist vor Interessenkonflikten zu schützen und kann auch DN des Verantwortlichen sein (Art 37 Abs 6 sowie Art 38 DSGVO). Voraussetzung der Bestellung ist in jedem Fall, dass die Person Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Gem Art 38 Abs 3 DSGVO ist der Datenschutzbeauftragte in dieser Funktion weisungsfrei. Ebenso darf er wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art 38 Abs 3 DSGVO). Er ist aber nicht besonders bestandgeschützt. Allerdings wird eine Kündigung überwiegend wegen der Ausübung dieser Tätigkeit ein klassisches verpöntes Motiv iSv § 879 ABGB darstellen.*
Ein Datenschutzbeauftragter kann auch freiwillig bestellt werden. Allerdings müssen sodann auch all jene Pflichten eingehalten und Vorkehrungen (zB hinsichtlich der Unabhängigkeit des Datenschutzbeauftragten) getroffen werden, die sich aus einer verpflichtenden Bestellung ergeben.* Die Art-29-Datenschutzgruppe hat jedenfalls Leitlinien zum Thema Datenschutzbeauftragter erarbeitet, die als Orientierungshilfe dienen können.*
In einer Gesamtbetrachtung der eben skizzierten neuen Pflichten von AG als Verantwortliche fällt sofort die Tatsache auf, dass der exakte Umfang all dieser Pflichten – deren Nichteinhaltung unter Strafe steht* – derzeit und ex ante nicht präzise vorhersehbar ist.
Eine Ausnahme ist in Art 35 Abs 4 DSGVO zu sehen, wonach die nationale DSB eine Liste von Verarbeitungen zu veröffentlichen hat, für die eine Datenschutz-Folgenabschätzung jedenfalls erforderlich ist – sogenannte „schwarze Listen“* – und umgekehrt auch in sogenannten „weißen Listen“ Verarbeitungen zu definieren hat, für die keine Datenschutz-Folgenabschätzung erforderlich ist.*
Gem § 21 Abs 2 DSG hat die DSB solche Listen in Form einer Verordnung, die im Bundesgesetzblatt zu veröffentlichen ist, zu erlassen. Unsinnigerweise trat diese Verordnungsermächtigung ebenso mit 25.5. in Kraft, sodass erst danach derartige „Indices“ geschaffen wurden.*
Weiters verpflichtet Art 33 DSGVO Verantwortliche dazu, Fälle von Data Breaching – also der Verletzung des Schutzes personenbezogener Daten* – unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der DSB zu melden. Diese Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (sic!), womit sich wiederum die hochgradige Ungewissheit einstellt, wann dies denn der Fall ist. Ebenso besteht unter gewissen Voraussetzungen eine Verständigungspflicht den betroffenen Personen gegenüber (Art 34 DSGVO) – allerdings nur, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht. Telos ist offenkundig, dass sich die Betroffenen vor den Folgen des Data Breaching schützen können.*
Die schon bisher in § 24 DSG 2000 bestehende Informationspflicht dem Betroffenen gegenüber wurde deutlich ausgebaut (vgl Art 13 f DSGVO). Die Information des Betroffenen zählt bekanntlich zu den Kernvoraussetzungen zur Wahrnehmung der aus dem Datenschutz erfließenden Rechte. Auf nähere Details sei im hier gegebenen Zusammenhang verzichtet. Allerdings zeigt schon ein kurzer Blick etwa ein Problem, das im Mangel an Übergangsvorschriften liegt. So ist unklar, was zu gelten hat, wenn die personenbezogenen Daten bereits vor der Geltung der DSGVO am 25.5.2018 erhoben wurden; ob den Verantwortlichen die aufgezählten Informationspflichten also auch bei bereits abgeschlossenen Erhebungen treffen?* Im Zweifel empfiehlt es sich, der erweiterten Informationspflicht nochmals bzw neuerlich nachzukommen.
Was gilt nun materiell für die Verarbeitung von AN-Daten? Wirft man einen genaueren Blick, hat sich im Kern der Verarbeitungsvoraussetzungen gar nicht viel verändert. Die Bestimmungen sind detaillierter. Der tatbestandlichen Präzisierung dient das allerdings nicht in allen Fällen. Kernbestimmung ist Art 5 der DSGVO, der grundsätzlich den bisherigen §§ 6 und 7 des DSG 2000 entspricht bzw nur eine milde Fortentwicklung mit sich bringt.
Art 5 Abs 1 zählt folgende zwingende Grundsätze der Datenverarbeitung auf:
Rechtmäßigkeit – Verarbeitung nur aufgrund eines Rechtsgrundes nach Treu und Glauben.* Wobei der Rechtsbegriff „Treu und Glauben“ spezifisch europarechtlich iSd Gewährleistung einer „fairen“ Verarbeitung zu verstehen ist (englische Version „fairly“).*
Transparenz – Jede Verarbeitung muss für den Betroffenen nachvollziehbar sein.467
Zweckbindung – Nur für festgelegte, eindeutige und legitime Zwecke samt grundsätzlichem Verbot einer darüberhinausgehenden Weiterverwendung.* Diesbezüglich hat sich an der Rechtslage praktisch nichts geändert.
Datenminimierung – Jede Verarbeitung ist in Anbetracht des jeweiligen Verarbeitungszwecks auf das unbedingt erforderliche Maß zu beschränken.
Richtigkeit – Es sollen nur sachlich richtige Daten verarbeitet werden; unrichtige Daten sind unverzüglich zu löschen bzw zu berichtigen.
Speicherbegrenzung – Personenbezogene Daten dürfen weiterhin nicht länger als für die Zweckerreichung nötig gespeichert werden.
Integrität und Vertraulichkeit – Personenbezogene Daten sind vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung zu schützen.*
Den oder die Verantwortliche/n trifft gem Art 5 Abs 2 DSGVO eine umfängliche Rechenschaftspflicht – insb auch der Behörde gegenüber. Daneben finden sich noch andere, teilweise neue Regelungen – etwa die in Art 25 DSGVO festgehaltenen Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen – Privacy by Design and Default.*
Vergleicht man nunmehr Art 5 Abs 1 lit e DSGVO mit der „Vorgängerregelung“ des § 6 DSG 2000, erklärt sich das arbeitsrechtliche Problem der Erfassung datenschutzrechtlicher Vorschriften. Leg cit – in der DSGVO sodann unter dem Schlagwort „Speicherbegrenzung“ verortet – regelt die Zulässigkeit der Speicherdauer von personenbezogenen Daten: „Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist
“ (Art 5 Abs 1 lit e DSGVO). Zum DSG 2000 hat sich im Kern praktisch nichts geändert.* Auch in der DSGVO lautet die normative Kernaussage der datenschutzrechtlichen Regelung: Daten dürfen so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Dieser vollkommen unbestimmte Tatbestand ist nun mit Mitteln der Interpretation mit Leben zu erfüllen, wobei grundsätzlich die Regelungen der „Sitzmaterie“ – also hier des Arbeitsrechts – heranzuziehen sind. Gleichzeitig ist erkennbar, dass man auf Grundlage einer derartigen Bestimmung einander diametral entgegenstehende Ergebnisse methodisch unangreifbar begründen kann.
ZB sind Ermahnungen (iSe späteren beharrlichen Pflichtverletzung) in der Praxis oftmals „ewig“ im Personalakt. Geschützt durch arbeitsrechtliche Verschwiegenheitspflichten verbleibt eine solche Ermahnung mit wenigen Ausnahmen bis zum Ende der Existenz des gesamten Personalakts darin.
Nun kann einmal vertreten werden, eine solche Ermahnung ist jedenfalls zu löschen, wenn sie die Kraft verloren hat, Grundlage einer Entlassung wegen beharrlicher Pflichtverletzung zu sein. Zu denken ist bspw an jenen Fall, wo ein Mitarbeiter nach einem Jahre zurückliegenden Verstoß gegen ein betriebliches Alkoholverbot samt damaliger Ermahnung Jahre später wiederum gegen das Verbot verstößt. In diesem Fall ist eine Entlassung wegen einer beharrlichen Pflichtverletzung nicht mehr möglich. Wann sodann eine Löschungspflicht betreffend die damalige Ermahnung entsteht, ist aber arbeitsrechtlich unklar. Möglicherweise liegt der Zeitraum bei in etwa einem Jahr. Bei Zugrundelegung der Ansicht, die Erforderlichkeit als Tatbestandsvoraussetzung fiele sodann weg, wären derartige Ermahnungen tatsächlich gem Art 5 Abs 1 lit e DSGVO zu löschen.
Allerdings ist auch das vollkommen konträre Ergebnis ebenso mit guten Gründen vertretbar, wirft man einen Blick auf die Angestellten-Entlassungsgründe in § 27 AngG. Nach stRsp* ist bei der Feststellung der allgemeinen Vertrauensunwürdigkeit das bisherige Gesamtverhalten im Arbeitsverhältnis zu berücksichtigen. Daher kann es durchaus auch nach Verlust der Ermahnungsqualität als Grundlage für eine beharrliche Pflichtverletzung darüber hinaus von Bedeutung – also „erforderlich“ iSd Datenschutzes – sein, eine solche Ermahnung im Personalakt zu behalten. Bis zum Ende des Arbeitsverhältnisses ist eine Entlassung immer möglich und sodann ist die Erforderlichkeit der weiteren Speicherung als Tatbestandsvoraussetzung des Art 5 Abs 1 lit e DSGVO gegeben. Auch dieses Interpretationsergebnis ist methodisch nicht zu kritisieren und vom Datenschutz gedeckt! ME ist letzteres Ergebnis aus arbeitsrechtlichem Verständnis zu bevorzugen.
Ist die Erforderlichkeit der weiteren Speicherung nicht mehr gegeben, sind die Daten jedenfalls zu löschen. Dieses Ergebnis war mE schon auf Grundlage des DSG 2000 zwingend und bleibt es auch im Geltungsbereich der DSGVO. In all diesen Fällen wird die dennoch erfolgte weitere Aufbewahrung grundrechtswidrig, was eine Löschungsverpflichtung e contrario impliziert. In der DSGVO ist nunmehr in Art 17 recht plakativ von einem „Recht auf Vergessenwerden“ als Recht auf Löschung die Rede. Dieses greift auf Antrag des Betroffenen gem Abs 1 lit a leg cit, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Darin muss eine Art normativer Doppelung erblickt werden, weil sich aus Art 5 DSGVO bereits eine Löschungsverpflichtung des Verantwortlichen ergibt.*
Werfen wir einen Blick auf die alte und neue Rechtsgrundlage für die Verwendung von nichtsensiblen Daten auch im Arbeitsverhältnis: § 8468DSG 2000 und nunmehr Art 6 DSGVO.* Bisher war abseits der Zustimmung bzw Einwilligung und der gesetzlichen Anordnung zur Datenverwendung – etwa sozialversicherungsrechtliche Meldepflichten – eine Verwendung zulässig, sofern „überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern
“ (§ 8 Abs 1 Z 4 DSG 2000).* Hier bringt Art 6 Abs 1 DSGVO leichte Präzisierungen, als lit b jetzt deutlicher* jeden Vertrag zur tauglichen Rechtsgrundlage einer Datenverarbeitung macht. Die Verarbeitung muss somit für die Vertragszwecke – sowohl in Wahrnehmung von Rechten als auch Pflichten – notwendig sein.*
Weiters ist in lit c eine sonstige rechtliche Verpflichtung erwähnt, die sich sowohl aus Unionsrecht als auch dem Recht der Mitgliedstaaten ergeben kann.* Ebenso findet sich nunmehr eine Interessenabwägung als eine Art Generalklausel in Art 6 Abs 1 lit f DSGVO. Ohne auf andere Details näher einzugehen, ist aber festzuhalten, dass sich diese Regelung dezent, aber doch von § 8 Abs 1 Z 4 DSG 2000 unterscheidet. Bisher war nämlich eine Datenverarbeitung nur zulässig, wenn der Auftraggeber gegenüber dem Betroffenen ein überwiegendes Interesse an der Datenverwendung geltend machen konnte. Nunmehr reichen berechtigte Interessen des Verantwortlichen, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Darin sei eine Verschlechterung zu erblicken, weil das bloße berechtigte Interesse des Verantwortlichen niemals eine Datenverarbeitung rechtfertigen kann.* Dieses Konzept eines Gleichstandes, bei welchem sodann Zulässigkeit der Verarbeitung besteht, sei daher systemwidrig verschlechternd, ua weil es in benachteiligender Weise dem Betroffenen die Beweislast für das Überwiegen seines Interesses aufbürde.* Diese Verschlechterung war einer der Gründe für Österreichs Gegenstimme im Rat.
Auch weiterhin ist jedenfalls eine Interessenabwägung vorzunehmen. In deren Rahmen sind zudem auch die aus Art 7 und 8 GRC zustehenden Grundrechte beachtlich. Zudem seien alle Interessen des Betroffenen zu berücksichtigen, ohne dass diese Interessen „berechtigt“ sein müssen.* Auch hier spielen die vernünftigen Erwartungen („reasonable expectations“) der betroffenen Person eine bedeutsame Rolle.*
Hinzuweisen ist allerdings auf eine „Regelung“ im 48. Erwägungsgrund, die sich auf Art 6 Abs 1 lit f DSGVO bezieht und als „kleines Konzernprivileg“ bezeichnet wird. „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.
“ Durch die hier ausdrückliche Erwähnung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung sollen Datenflüsse innerhalb einer Konzerngruppe zukünftig leichter zu rechtfertigen sein.*
Für die schon erwähnten sensiblen Daten gilt der taxative Katalog an Durchbrechungen des Verarbeitungsverbotes nach Art 9 DSGVO, der im Übrigen auch nicht durch Sondernormen der Mitgliedstaaten verändert werden darf.* Im arbeitsrechtlichen Kontext ist – abseits der Einwilligung nach Abs 2 lit a – ausschließlich Abs 2 lit b von Relevanz.* Und auch hier zeigt sich, dass sich am materiellrechtlichen Gehalt nicht allzu viel geändert hat. Weiterhin verweist das Datenschutzrecht völlig unverhohlen auf Regelungen des Arbeitsrechts und sagt nicht mehr oder weniger, als es dazu selbst keinerlei Wertungen enthält. Die Verarbeitung sensibler Daten ist somit zulässig, wenn die „Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und Pflichten nachkommen kann
“.
Im Ergebnis kommt es durch die DSGVO sogar zu einer Art Verbesserung als die mehr oder weniger irrtümlich in § 9 Z 11 DSG 2000 aufgenommene Voraussetzung einer kumulativ existenten „besonderen Rechtsvorschrift“ nunmehr wegfällt.* Es reicht nunmehr die Erforderlichkeit aufgrund arbeitsrechtlicher Wertungen. Dabei ist schon nach dem Wortlaut der Bestimmung ein strenger Maßstab anzulegen.
Zum Abschluss sei noch exemplarisch auf einige Fragestellungen eingegangen, die in Hinkunft wohl noch Probleme bereiten werden.
Ein bisher noch gar nicht beachtetes Problemfeld ist idZ die Frage, wie bspw die Belegschaftsvertre-469tung selbst in das System der DSGVO einzubetten ist – schließlich verarbeitet auch der BR in vielen Fällen personenbezogene AN-Daten. Wird er etwa von der beabsichtigten Kündigung eines konkreten AN im Rahmen des betrieblichen Vorverfahrens nach § 105 ArbVG verständigt, so enthält diese Information regelmäßig eine Reihe von personenbezogenen Daten des betroffenen AN. Damit beginnt beim Organ der Belegschaft allerdings eine Verarbeitung iSd DSGVO.
Es ist mangels Wahrnehmung der Öffnungsklausel in Art 4 Z 7 DSGVO zu beachten, dass uU der BR oder die Belegschaft selbst Träger der Pflichten aus der DSGVO werden können. Versteht man den Begriff „andere Stelle“ in Art 4 Z 7 DSGVO im europarechtlichen Kontext weit – was dem traditionellen Verständnis des Datenschutzes entspricht –, muss der BR wohl tatsächlich Verantwortlicher sein. Andernfalls wäre davon auszugehen, dass die DSGVO die Teilrechtfähigkeit der Belegschaft um die Position des Verantwortlichen erweitert. Die gem Art 4 Z 7 DSGVO vorgesehene Zweckfestsetzung durch das Recht der Mitgliedstaaten liegt sodann bspw in der Ausübung des Mitwirkungsrechts im Rahmen des Kündigungsschutzes nach § 105 ArbVG. Es kann jedenfalls nicht damit enden, dass die Datenverarbeitung durch die Belegschaftsorgane nicht in den Geltungsbereich der DSGVO fällt.*
Art 88 Abs 1 der DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, „durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu schaffen*
“. Diese Vorschriften umfassen „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person
“ uam (Art 88 Abs 2 DSGVO). Nach dem 155. Erwägungsgrund fallen auch Betriebsvereinbarungen unter die spezifischeren Vorschriften iSv Art 88 DSGVO.*
Der österreichische Gesetzgeber hat von dieser Öffnungsklausel im Sommer 2017 in § 11 des Datenschutz-Anpassungsgesetzes 2018* Gebrauch gemacht. Dieses Gesetz gehörte zu den eher verblüffenden Normtexten der jüngeren Rechtsgeschichte – die Regierungsvorlage* hatte mit dem später beschlossenen Gesetzestext nur wenig zu tun. Die wichtigsten Materialien sind dem Ausschussbericht* zu entnehmen.
§ 11 DSG enthielt eine Anordnung, die per se und in sich widersprüchlich war. So wurde zwar die Betriebsverfassung als Sonderregelung des Datenschutzes iSv Art 88 deklariert, gleichzeitig aber weiterhin die Neutralität des Datenschutzes zur Betriebsverfassung angeordnet, die seit dem DSG 1978 Bestandteil des österreichischen Rechts war:
§ 11 DSG 2017: „Das Arbeitsverfassungsgesetz ... ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.
“
Die Materialien des Verfassungsausschusses* sagen dazu Folgendes: „Nachdem weder das DSG 2000 – noch zuvor das DSG 1978 – eine systematische Regelung des Beschäftigtendatenschutzes enthalten hat, sondern sich derartige Regelungen in arbeitsrechtlichen Vorschriften (§§ 89, 91, 96, 96a und 97 im ArbVG) finden, wird von einer inhaltlich Ausgestaltung des Beschäftigtendatenschutzes im DSG Abstand genommen. Fortgeschrieben werden soll jedoch das bestehende Verhältnis zwischen dem DSG 2000 (§ 9 Z 11 DSG 2000) und dem ArbVG.
“* Daher sollte dieses gem Art 88 Abs 3 DSGVO der EU notifiziert werden. Und weiter sagen die Materialien: „Den bestehenden Mitwirkungsrechten der Belegschaft (§§ 89, 91, 92 und 96 bis 106 ArbVG) wird nicht derogiert.
“
Ohne hier auf Details eingehen zu können, hätte Österreich damit wohl Betriebsvereinbarungen iSv „spezifischeren“ Vorschriften des Art 88 DSGVO zu „individual-datenschutzrechtlich“ wirkenden Regelungen erhoben.*
Kurz vor Ostern 2018 haben allerdings ÖVP, SPÖ und FPÖ einen Initiativantrag an den Verfassungsausschuss des Nationalrates (NR) gerichtet,* das Datenschutzgesetz noch vor Inkrafttreten am 25.5. zu ändern – ein Datenschutz-Deregulierungsgesetz 2018. Neben der sinnvollen Novellierung der Verfassungsbestimmungen mit der notwendigen470Mehrheit sollte aber auch der dargelegte § 11 geändert werden.
§ 11 DSG sollte demgemäß lauten: „Die Befugnisse der Arbeitnehmerschaft nach dem 3. Hauptstück des Arbeitsverfassungsgesetzes, insbesondere nach dessen §§ 89, 91, 96, 96a und 97, sowie die Mitwirkungsrechte in Bezug auf die Personalvertretung bleiben, soweit sie die Verarbeitung personenbezogener Daten betreffen, unberührt.
“
Die dazu gehörigen Materialien* sagten dazu: „Das Arbeitsverfassungsgesetz ... ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO
“ – was dem Normtext der derzeit beschlossenen Fassung entspricht! „Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt. Es ist aber selbstverständlich, dass nicht jegliche Übertretung des ArbVG zu einer Strafbarkeit nach Art 83 DSGVO führt, sondern nur Übertretungen von Schutzvorschriften des ArbVG betreffend die Verarbeitung personenbezogener Daten dem Regime des Art 83 DSGVO unterliegen.
“
Aufgrund eines weiteren Abänderungsantrags – nur mehr von ÖVP und FPÖ getragen – lautet die am 20.4.2018 im NR beschlossene – nunmehr „letzte“ – Fassung des § 11 DSG:
„Verwarnung durch die Datenschutzbehörde
§ 11.Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.
“
Damit ist von der ersten bzw zweiten Version nichts mehr übrig. Der neue „Vorrang“ von Ermahnungen vor Strafen ist jedenfalls DSGVO-konform auszulegen, um ihm überhaupt Geltung zu erhalten. Wo die DSGVO Strafen vorsieht, ist demgemäß zu strafen und nicht zu ermahnen (vgl Art 58, 83 DSGVO).*
Der endgültige Normtext des § 11 DSG hat jedenfalls einen völlig neuen Inhalt als die zunächst beschlossenen bzw intendierten Versionen. Insb fehlt nunmehr jeder arbeitsrechtliche Bezug.* Es ist somit davon auszugehen, dass Österreich die Öffnungsklausel des Art 88 DSGVO überhaupt nicht wahrnimmt und auf spezifischere Regelungen im arbeitsrechtlichen Bereich verzichtet. Inwieweit der damit ebenso einhergehende Verzicht auf das ausdrückliche Festhalten an der Neutralität des Datenschutzes zur Betriebsverfassung Auswirkungen zeigt, muss an anderer Stelle untersucht werden.
Zuletzt ist auf das Problem hinzuweisen, dass Art 88 Abs 3 DSGVO eine Notifikation der spezifischeren Regelungen an die EU anordnet und Österreich bis zum 25.5. keinerlei einschlägige Normen notifiziert bzw gemeldet hat. In der Literatur finden sich höchst widersprüchliche Ansichten zu den Rechtsfolgen dieses Unterbleibens.* Insb bleibt die Frage, welche Rechtsfolgen die Existenz von „spezifischeren“ Vorschriften bei gleichzeitiger Nicht-Notifikation auslöst. Ist die Notifikation somit konstitutiv für die Geltung von innerstaatlich spezifischeren Normen oder nicht?*
In der deutschen Literatur wird – soweit überblickt – oftmals mit dem Verlust der Rechtsetzungskompetenz bzw dem Eintritt von Nichtanwendbarkeit argumentiert. Einmal wird darin eine Art Sanktion für Mitgliedstaaten, die keine Rechtsvorschriften melden, erblickt, als diese hinsichtlich Art 88 DSGVO ihre „Rechtsetzungskompetenz“ verlieren.* Überdies sorge die Ausschlussfrist des 25.5. dafür, dass generell keine Erlassung neuer Vorschriften zum Beschäftigtendatenschutz mehr möglich wäre.* Es wären lediglich Änderungen an einer schon vor Ablauf der Meldefrist bestehenden, gegebenenfalls als bloßer „Rumpf“ ordnungsgemäß gemeldeten Vorschrift, aber keine Neuschöpfungen und wohl auch keine Veränderung nicht gemeldeter Vorschriften mehr möglich. Zum anderen wird davon ausgegangen, dass nicht gemeldete Vorschriften zum Beschäftigtendatenschutz aufgrund des Anwendungsvorranges der DSGVO ihre Anwendbarkeit verlieren und in diesem Bereich nur mehr die allgemeinen Vorschriften der (insofern vollharmonisierenden) DSGVO zu beachten wären.* Allerdings finden sich auch komplett konträre Ansichten.*
Ich habe diese Frage an anderer Stelle* ausführlicher untersucht und gehe davon aus, dass vieles für die Rechtsfolge „Verlust der Rechtsetzungskompetenz“ spricht. Österreich hat die Öffnungsklausel des Art 88 DSGVO nicht wahrgenommen und folglich auch nichts notifiziert. So haben wir eben keinerlei spezifischere Vorschriften, also keinen individualrechtlichen Beschäftigtendatenschutz geschaffen. Damit verlieren wir die Rechtsetzungsbefugnis für spezifischere Normen im Beschäftigungskontext und die DSGVO gilt unmodifiziert471sozusagen in ihrer „reinsten“ Form. Konsequenterweise können sodann bestehende Bestimmungen – wie bspw §§ 96, 96a ArbVG oder auch § 10 AVRAG – nicht als spezifischere Bestimmungen iSv Art 88 DSGVO angesehen werden.* Dies schließt sodann auch eine Strafbarkeit bei Verstößen gegen diese Bestimmungen nach Art 83 DSGVO aus.
Dieses Ergebnis folgt jedenfalls am klarsten und konsequentesten Konzept und Funktion einer Verordnung der EU. Zum anderen griffen andere Ansätze massivst in die österreichische Arbeitsrechtsordnung ein. Diese Absicht kann dem europäischen und dem österreichischen Gesetzgeber nicht unterstellt werden. Welchem Ansatz letztlich die Behörden bzw der EuGH folgen werden, lässt sich kaum prognostizieren.
IZm § 10 AVRAG ist mE davon auszugehen, dass leg cit mit Geltung der DSGVO nicht mehr anzuwenden ist. Leg cit enthält keinerlei spezifischere Vorschriften oder angemessene und besondere Maßnahmen* zur Datenverarbeitung, sondern entspricht dem in der DSGVO unmittelbar geregelten Modell der Einwilligung in die Datenverarbeitung und ist daher überflüssig. § 10 Abs 2 AVRAG enthält eine der DSGVO widersprechende Regelung über eine einzuhaltende Kündigungsfrist bei schriftlicher Vereinbarung und ist somit ebenso hinfällig.
Es bleibt tatsächlich alles anders. Die DSGVO ändert an den Grundsätzen der Datenverarbeitung nur wenig. Änderungen finden sich im Detail und sind oft plakativer Natur. Letzten Endes wird vieles von der Spruchpraxis der DSB bzw folgend des EuGH abhängen. Der Gerichtshof hat qua Verordnung nunmehr quasi-meritorisch selbst zu entscheiden, was mittelfristig allenfalls eine Art gefestigter Judikatur versprechen mag. Wie immer im Datenschutz ist allerdings Skepsis angebracht. Die Normqualität der Bestimmungen der DSGVO ist aufgrund der mannigfachen politischen Kompromisse hochgradig unterdeterminiert. Was vor der DSB im arbeitsrechtlichen Kontext passiert, ist ebenso kritisch zu beleuchten.
Die innerstaatliche Umsetzung im arbeitsrechtlichen Kontext im DSG 2018 muss qualitativ als eher minderwertig bezeichnet werden. Was die Wahrnehmung der Öffnungsklausel des Art 88 DSGVO betrifft, wäre es spannend (gewesen), einmal grundlegend darüber nachzudenken, in wenigen Bestimmungen tatsächlich einen AN-Datenschutz zu schaffen – Ansätze gäbe es genug.472