Deutliche Änderungen betreffen zunächst Begriffe und Terminologien, was ein Umlernen notwendig macht. Der schon bisher sehr weite Datenbegriff wird ein wenig modifiziert.* Weiterhin sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen, personenbezogene Daten“ iSd DSGVO. Die vormals sensiblen Daten stehen nunmehr unter dem Überbegriff besondere Kategorien schutzwürdiger Daten (Art 9 Abs 1 DSGVO). Sie umfassen wie bisher personenbezogene Daten über rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Neu hinzu gekommen sind nunmehr „genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person“. Schon nach alter Rechtslage konnten derartige Daten mE dem Begriff der Gesundheitsdaten im weitesten Sinne subsumiert werden. Wie bisher bleibt es bezüglich dieser – wohl weiterhin als sensibel bezeichneten – Daten bei einem grundsätzlichen Verarbeitungsverbot.*

Anhand zweier einschlägiger Beispiele seien die Schwierigkeiten der Interpretation datenschutzrechtlicher Normen gegeben. Dies betrifft etwa die philosophische Überzeugung – bisher in § 4 Z 2 DSG 2000 als sensibles Datum definiert. In Art 9 DSGVO fehlt dieses nunmehr, obwohl etwa die englische Fassung der DSGVO weiterhin von „religious or philosophical beliefs“ spricht. Allerdings wird eine profunde innere Haltung zu Schopenhauer oder Nietzsche in sinnvoller Subsumption dem Begriff der Weltanschauung untergeordnet werden können.*

In steter Diskussion ist weiters die Frage sogenannter Mischdaten.* Dies betrifft Daten, die sich nicht ex ante zweifelsfrei einer der beiden Datenkategorien zuordnen lassen oder in ihrer Eigenschaft zwischen sensibel und nicht-sensibel chamäleonartig wechseln können.

Dies sind einmal Fotografien von Personen. Fraglich ist, ob nicht jedes Bild sozusagen imma-464nent eine Auskunft über ethnische und rassische Herkunft, allenfalls auch Gesundheitsdaten oder Religion „inkludiert“* – also ein Foto immer als sensible Information anzusehen ist.* Diese Ansicht relativiert aber der 51. Erwägungsgrund. Dort heißt es: „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.“

Es erscheint klar, dass sämtliche Fälle von Gesichtserkennungsprogrammen eine biometrische Datenverarbeitung darstellen.* Genetische und biometrische Daten sind bloß dann sensible Verwendungen, wenn es um die Identifizierung natürlicher Personen geht. In allen sonstigen Zusammenhängen sind genetische Daten sodann wohl bloß im Lichte der Gesundheitsdaten relevant – bspw wenn ein Gentest einer bereits identifizierten natürlichen Person zum Zweck der Feststellung einer genetischen Krankheitsprädisposition durchgeführt wird.

Leider stellt auch die Neuregelung in der DSGVO derartige Fragestellungen nicht klar. Ob nun ein Bild eines Menschen immer auch eine ethnische Information beinhaltet oder nicht, ist weiterhin offen. Dasselbe wird übrigens auch für den Namen diskutiert – letztlich kann auch daraus allenfalls auf ethnische Herkunft, womöglich auch die Religion geschlossen werden.* Nach mancher Ansicht* ist davon auszugehen, dass bei bloßem Namen das datenschutzrechtliche Kriterium der „hinlänglichen Sicherheit“ idR nicht vorliegen wird. Jedenfalls zeigt bereits die Tatsache, dass darüber diskutiert wird, welche Schwierigkeiten Auslegungsfragen des Datenschutzrechts mit sich bringen können.

Im arbeitsrechtlichen Kontext spielt diese Frage bspw eine Rolle bei der Internetnutzung von AN im Betrieb. So können log-files, die im Rahmen jeder Nutzung anfallen und über die URL auch die aufgerufenen Websites beinhalten, einmal nichtsensible Daten – bspw das Abrufen der Wettervorhersage – enthalten. Ebenso ist aber der Anfall sensibler Daten denkbar – etwa, wenn sich ein Mitarbeiter durch Einloggen in eine Datenbank der Gewerkschaft als deren Mitglied ausweist. In einem solchen Fall scheitert auch die in der Literatur vorgeschlagene Methode einer Einteilung nach objektiven Gesichtspunkten iSv Erkennbarkeit.* Vielmehr ist sodann nach richtiger Ansicht die gesamte Verarbeitung vorab der strengeren Regelung für sensible Daten zu unterwerfen, weil es sich um „an sich sensible“ oder „potentiell sensible“ Daten handelt.

An weiteren terminologischen Neuerungen ist zu erwähnen, dass aus dem Auftraggeber nunmehr der Verantwortliche gem Art 4 Z 7 DSGVO wird. Aus dem vormaligen Dienstleister wird jetzt ein Auftragsverarbeiter – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.* Die bisherige Datenverwendung des § 4 Z 8 DSG 2000 wird zur „Verarbeitung“ gem Art 4 Z 2 DSGVO. Allerdings ist weiterhin von einem sehr weiten Begriff auszugehen, als „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ und anderes jedenfalls eine Verarbeitung darstellt.

Eine weitere Neuerung der DSGVO: Aus der Zustimmung wird nunmehr die Einwilligung. Allerdings hat sich inhaltlich abseits einer Art „Intensivierung“ der Bewusstheit des Erklärenden nicht allzu viel geändert. Die Einwilligung ist gem Art 4 Z 11 DSGVO nunmehr „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Freiwilligkeit der Einwilligung ist nur gegeben, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, also ohne Nachteile auf die Erteilung der Einwilligung verzichten kann.*

In Art 7 erweitert und präzisiert die DSGVO die Anforderungen an die Einwilligung. Sie überbürdet dem Verantwortlichen die Beweislast für die Existenz einer Einwilligung sowie die Vorabinformation über das Widerrufsrecht.* Das Ersuchen um Einwilligung hat in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.* Wie bisher kann die Einwilligung in die Verarbeitung nicht sensibler Daten auch konkludent erteilt werden – die Einwilligung in die Verwendung sensibler Daten hat weiterhin immer ausdrücklich zu erfolgen.*

Überdies besteht nunmehr ein Koppelungsverbot. Die Einwilligung muss auf Freiwilligkeit beruhen465und darf nicht mit der Einwilligung zu etwas anderem „erzwungen“ werden. Eine Koppelung mit einer Einwilligung zu einem anderen Sachverhalt hindert also die Freiwilligkeit der datenschutzrechtlichen Zustimmung.* Angesichts diverser kritischer Haltungen der Datenschutz-Community zur Einwilligung im Arbeitsverhältnis – manche meinen gar, dass eine solche Einwilligung wegen des vorhandenen „Drucks“ nach angeblich hA „kaum wirksam erteilt werden“ könne* – stellt sich die Frage, inwieweit eine Zustimmung im Arbeitsvertrag nicht immer den Hauch einer Koppelung in sich trägt. ME steht zu befürchten, dass Einwilligungen in Arbeitsverträgen prima facie regelmäßig als Koppelung anzusehen sein wird.

Allerdings hat das Einwilligungsmodell im Arbeitsverhältnis immer schon grundlegende Schwächen und ist mE untauglich. Neben der Frage, ob die so ernsthaft geforderte Freiwilligkeit in allen Fällen gewährleistet ist, bleibt die Tatsache, dass eine erteilte Einwilligung gem Art 7 Abs 3 DSGVO jederzeit widerruflich ist und zur Unzulässigkeit der weiteren Datenverwendung führt.* Damit ist eine homogene Rechtslage im Unternehmen kaum herzustellen. Daher sind mE andere, einwilligungsunabhängige Zulässigkeitstatbestände der DSGVO tauglicher. Existieren Einwilligungen im betrieblichen Kontext, so sind sie – gem dem 171. Erwägungsgrund – im Übergang auf die DSGVO nur dann anzupassen, also wohl neuerlich einzuholen, sofern die Einwilligung „den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann“. MaW: Eine Adaptierung ist notwendig, wenn die bisherigen Einwilligungen den Erfordernissen der DSGVO nicht entsprechen.

Gänzlich neu ist die Verlagerung weg von der Registrierungs- bzw Genehmigungspflicht bei der DSB hin zu einer Eigenverantwortung bzw -verpflichtung des Verantwortlichen.* Dies beginnt mit der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art 30 DSGVO).* Es handelt sich um eine obligatorische Dokumentation sämtlicher Verarbeitungstätigkeiten, die der Zuständigkeit des Verantwortlichen unterliegen. Das Verzeichnis hat relevante Daten des Verantwortlichen, allenfalls weitere Verantwortliche, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten oder gegebenenfalls Übermittlungen uam zu enthalten.* Dasselbe gilt für Auftragsverarbeiter.*

Arbeitsrechtlich interessant ist die Tatsache, dass in Unternehmen mit „weniger als 250“ Mitarbeitern die Erstellung eines solchen Verzeichnisses unterbleiben kann, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung sensibler Daten einschließt* (Art 30 Abs 5 DSGVO).

In manchen Fällen kommt zur Pflicht zur Erstellung dieses Verzeichnisses gem Art 35 DSGVO noch eine weitere hinzu: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“ – die sogenannte Datenschutz-Folgenabschätzung.* Sollte aus dieser Datenschutz-Folgenabschätzung hervorgehen, dass die geplante Verarbeitung tatsächlich ein hohes Risiko zur Folge hätte und der Verantwortliche dieses nicht durch geeignete Abhilfemaßnahmen eindämmen kann – also trotz getroffener risikominimierender Maßnahmen weiterhin ein hohes Risiko besteht –, ist vor der Verarbeitung zusätzlich die DSB zu konsultieren (sogenannte Vorherige Konsultation nach Art 36 DSGVO).*

Verpflichtend ist weiters ein Datenschutzbeauftragter zu bestellen, sofern

• die Kerntätigkeit ua eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht, oder

• die Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten (oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem Art 10) besteht.*

Kerntätigkeit heißt offenbar, dass sich diese Kerntätigkeit stets auf die Datenverarbeitung als Haupttätigkeit, nicht aber als Nebentätigkeit bezieht. MaW: Die Personalverwaltung in einem Unternehmen ist466typischerweise als Nebentätigkeit anzusehen, selbst wenn dort sensible Daten erhoben werden.*

Der Datenschutzbeauftragte ist sodann mit allen datenschutzrechtlichen Fragen zu befassen, einzubinden, unterliegt umfassenden Verschwiegenheitspflichten, ist vor Interessenkonflikten zu schützen und kann auch DN des Verantwortlichen sein (Art 37 Abs 6 sowie Art 38 DSGVO). Voraussetzung der Bestellung ist in jedem Fall, dass die Person Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Gem Art 38 Abs 3 DSGVO ist der Datenschutzbeauftragte in dieser Funktion weisungsfrei. Ebenso darf er wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Art 38 Abs 3 DSGVO). Er ist aber nicht besonders bestandgeschützt. Allerdings wird eine Kündigung überwiegend wegen der Ausübung dieser Tätigkeit ein klassisches verpöntes Motiv iSv § 879 ABGB darstellen.*

Ein Datenschutzbeauftragter kann auch freiwillig bestellt werden. Allerdings müssen sodann auch all jene Pflichten eingehalten und Vorkehrungen (zB hinsichtlich der Unabhängigkeit des Datenschutzbeauftragten) getroffen werden, die sich aus einer verpflichtenden Bestellung ergeben.* Die Art-29-Datenschutzgruppe hat jedenfalls Leitlinien zum Thema Datenschutzbeauftragter erarbeitet, die als Orientierungshilfe dienen können.*

In einer Gesamtbetrachtung der eben skizzierten neuen Pflichten von AG als Verantwortliche fällt sofort die Tatsache auf, dass der exakte Umfang all dieser Pflichten – deren Nichteinhaltung unter Strafe steht* – derzeit und ex ante nicht präzise vorhersehbar ist.

Eine Ausnahme ist in Art 35 Abs 4 DSGVO zu sehen, wonach die nationale DSB eine Liste von Verarbeitungen zu veröffentlichen hat, für die eine Datenschutz-Folgenabschätzung jedenfalls erforderlich ist – sogenannte „schwarze Listen“* – und umgekehrt auch in sogenannten „weißen Listen“ Verarbeitungen zu definieren hat, für die keine Datenschutz-Folgenabschätzung erforderlich ist.*

Gem § 21 Abs 2 DSG hat die DSB solche Listen in Form einer Verordnung, die im Bundesgesetzblatt zu veröffentlichen ist, zu erlassen. Unsinnigerweise trat diese Verordnungsermächtigung ebenso mit 25.5. in Kraft, sodass erst danach derartige „Indices“ geschaffen wurden.*

Weiters verpflichtet Art 33 DSGVO Verantwortliche dazu, Fälle von Data Breaching – also der Verletzung des Schutzes personenbezogener Daten* – unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der DSB zu melden. Diese Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (sic!), womit sich wiederum die hochgradige Ungewissheit einstellt, wann dies denn der Fall ist. Ebenso besteht unter gewissen Voraussetzungen eine Verständigungspflicht den betroffenen Personen gegenüber (Art 34 DSGVO) – allerdings nur, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht. Telos ist offenkundig, dass sich die Betroffenen vor den Folgen des Data Breaching schützen können.*

Die schon bisher in § 24 DSG 2000 bestehende Informationspflicht dem Betroffenen gegenüber wurde deutlich ausgebaut (vgl Art 13 f DSGVO). Die Information des Betroffenen zählt bekanntlich zu den Kernvoraussetzungen zur Wahrnehmung der aus dem Datenschutz erfließenden Rechte. Auf nähere Details sei im hier gegebenen Zusammenhang verzichtet. Allerdings zeigt schon ein kurzer Blick etwa ein Problem, das im Mangel an Übergangsvorschriften liegt. So ist unklar, was zu gelten hat, wenn die personenbezogenen Daten bereits vor der Geltung der DSGVO am 25.5.2018 erhoben wurden; ob den Verantwortlichen die aufgezählten Informationspflichten also auch bei bereits abgeschlossenen Erhebungen treffen?* Im Zweifel empfiehlt es sich, der erweiterten Informationspflicht nochmals bzw neuerlich nachzukommen.

Was gilt nun materiell für die Verarbeitung von AN-Daten? Wirft man einen genaueren Blick, hat sich im Kern der Verarbeitungsvoraussetzungen gar nicht viel verändert. Die Bestimmungen sind detaillierter. Der tatbestandlichen Präzisierung dient das allerdings nicht in allen Fällen. Kernbestimmung ist Art 5 der DSGVO, der grundsätzlich den bisherigen §§ 6 und 7 des DSG 2000 entspricht bzw nur eine milde Fortentwicklung mit sich bringt.

Art 5 Abs 1 zählt folgende zwingende Grundsätze der Datenverarbeitung auf:

• Rechtmäßigkeit – Verarbeitung nur aufgrund eines Rechtsgrundes nach Treu und Glauben.* Wobei der Rechtsbegriff „Treu und Glauben“ spezifisch europarechtlich iSd Gewährleistung einer „fairen“ Verarbeitung zu verstehen ist (englische Version „fairly“).*

• Transparenz – Jede Verarbeitung muss für den Betroffenen nachvollziehbar sein.467

• Zweckbindung – Nur für festgelegte, eindeutige und legitime Zwecke samt grundsätzlichem Verbot einer darüberhinausgehenden Weiterverwendung.* Diesbezüglich hat sich an der Rechtslage praktisch nichts geändert.

• Datenminimierung – Jede Verarbeitung ist in Anbetracht des jeweiligen Verarbeitungszwecks auf das unbedingt erforderliche Maß zu beschränken.

• Richtigkeit – Es sollen nur sachlich richtige Daten verarbeitet werden; unrichtige Daten sind unverzüglich zu löschen bzw zu berichtigen.

• Speicherbegrenzung – Personenbezogene Daten dürfen weiterhin nicht länger als für die Zweckerreichung nötig gespeichert werden.

• Integrität und Vertraulichkeit – Personenbezogene Daten sind vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung zu schützen.*

Den oder die Verantwortliche/n trifft gem Art 5 Abs 2 DSGVO eine umfängliche Rechenschaftspflicht – insb auch der Behörde gegenüber. Daneben finden sich noch andere, teilweise neue Regelungen – etwa die in Art 25 DSGVO festgehaltenen Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen – Privacy by Design and Default.*

Vergleicht man nunmehr Art 5 Abs 1 lit e DSGVO mit der „Vorgängerregelung“ des § 6 DSG 2000, erklärt sich das arbeitsrechtliche Problem der Erfassung datenschutzrechtlicher Vorschriften. Leg cit – in der DSGVO sodann unter dem Schlagwort „Speicherbegrenzung“ verortet – regelt die Zulässigkeit der Speicherdauer von personenbezogenen Daten: „Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ (Art 5 Abs 1 lit e DSGVO). Zum DSG 2000 hat sich im Kern praktisch nichts geändert.* Auch in der DSGVO lautet die normative Kernaussage der datenschutzrechtlichen Regelung: Daten dürfen so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Dieser vollkommen unbestimmte Tatbestand ist nun mit Mitteln der Interpretation mit Leben zu erfüllen, wobei grundsätzlich die Regelungen der „Sitzmaterie“ – also hier des Arbeitsrechts – heranzuziehen sind. Gleichzeitig ist erkennbar, dass man auf Grundlage einer derartigen Bestimmung einander diametral entgegenstehende Ergebnisse methodisch unangreifbar begründen kann.

ZB sind Ermahnungen (iSe späteren beharrlichen Pflichtverletzung) in der Praxis oftmals „ewig“ im Personalakt. Geschützt durch arbeitsrechtliche Verschwiegenheitspflichten verbleibt eine solche Ermahnung mit wenigen Ausnahmen bis zum Ende der Existenz des gesamten Personalakts darin.

Nun kann einmal vertreten werden, eine solche Ermahnung ist jedenfalls zu löschen, wenn sie die Kraft verloren hat, Grundlage einer Entlassung wegen beharrlicher Pflichtverletzung zu sein. Zu denken ist bspw an jenen Fall, wo ein Mitarbeiter nach einem Jahre zurückliegenden Verstoß gegen ein betriebliches Alkoholverbot samt damaliger Ermahnung Jahre später wiederum gegen das Verbot verstößt. In diesem Fall ist eine Entlassung wegen einer beharrlichen Pflichtverletzung nicht mehr möglich. Wann sodann eine Löschungspflicht betreffend die damalige Ermahnung entsteht, ist aber arbeitsrechtlich unklar. Möglicherweise liegt der Zeitraum bei in etwa einem Jahr. Bei Zugrundelegung der Ansicht, die Erforderlichkeit als Tatbestandsvoraussetzung fiele sodann weg, wären derartige Ermahnungen tatsächlich gem Art 5 Abs 1 lit e DSGVO zu löschen.

Allerdings ist auch das vollkommen konträre Ergebnis ebenso mit guten Gründen vertretbar, wirft man einen Blick auf die Angestellten-Entlassungsgründe in § 27 AngG. Nach stRsp* ist bei der Feststellung der allgemeinen Vertrauensunwürdigkeit das bisherige Gesamtverhalten im Arbeitsverhältnis zu berücksichtigen. Daher kann es durchaus auch nach Verlust der Ermahnungsqualität als Grundlage für eine beharrliche Pflichtverletzung darüber hinaus von Bedeutung – also „erforderlich“ iSd Datenschutzes – sein, eine solche Ermahnung im Personalakt zu behalten. Bis zum Ende des Arbeitsverhältnisses ist eine Entlassung immer möglich und sodann ist die Erforderlichkeit der weiteren Speicherung als Tatbestandsvoraussetzung des Art 5 Abs 1 lit e DSGVO gegeben. Auch dieses Interpretationsergebnis ist methodisch nicht zu kritisieren und vom Datenschutz gedeckt! ME ist letzteres Ergebnis aus arbeitsrechtlichem Verständnis zu bevorzugen.

Ist die Erforderlichkeit der weiteren Speicherung nicht mehr gegeben, sind die Daten jedenfalls zu löschen. Dieses Ergebnis war mE schon auf Grundlage des DSG 2000 zwingend und bleibt es auch im Geltungsbereich der DSGVO. In all diesen Fällen wird die dennoch erfolgte weitere Aufbewahrung grundrechtswidrig, was eine Löschungsverpflichtung e contrario impliziert. In der DSGVO ist nunmehr in Art 17 recht plakativ von einem „Recht auf Vergessenwerden“ als Recht auf Löschung die Rede. Dieses greift auf Antrag des Betroffenen gem Abs 1 lit a leg cit, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Darin muss eine Art normativer Doppelung erblickt werden, weil sich aus Art 5 DSGVO bereits eine Löschungsverpflichtung des Verantwortlichen ergibt.*

Werfen wir einen Blick auf die alte und neue Rechtsgrundlage für die Verwendung von nichtsensiblen Daten auch im Arbeitsverhältnis: § 8468DSG 2000 und nunmehr Art 6 DSGVO.* Bisher war abseits der Zustimmung bzw Einwilligung und der gesetzlichen Anordnung zur Datenverwendung – etwa sozialversicherungsrechtliche Meldepflichten – eine Verwendung zulässig, sofern „überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern“ (§ 8 Abs 1 Z 4 DSG 2000).* Hier bringt Art 6 Abs 1 DSGVO leichte Präzisierungen, als lit b jetzt deutlicher* jeden Vertrag zur tauglichen Rechtsgrundlage einer Datenverarbeitung macht. Die Verarbeitung muss somit für die Vertragszwecke – sowohl in Wahrnehmung von Rechten als auch Pflichten – notwendig sein.*

Weiters ist in lit c eine sonstige rechtliche Verpflichtung erwähnt, die sich sowohl aus Unionsrecht als auch dem Recht der Mitgliedstaaten ergeben kann.* Ebenso findet sich nunmehr eine Interessenabwägung als eine Art Generalklausel in Art 6 Abs 1 lit f DSGVO. Ohne auf andere Details näher einzugehen, ist aber festzuhalten, dass sich diese Regelung dezent, aber doch von § 8 Abs 1 Z 4 DSG 2000 unterscheidet. Bisher war nämlich eine Datenverarbeitung nur zulässig, wenn der Auftraggeber gegenüber dem Betroffenen ein überwiegendes Interesse an der Datenverwendung geltend machen konnte. Nunmehr reichen berechtigte Interessen des Verantwortlichen, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Darin sei eine Verschlechterung zu erblicken, weil das bloße berechtigte Interesse des Verantwortlichen niemals eine Datenverarbeitung rechtfertigen kann.* Dieses Konzept eines Gleichstandes, bei welchem sodann Zulässigkeit der Verarbeitung besteht, sei daher systemwidrig verschlechternd, ua weil es in benachteiligender Weise dem Betroffenen die Beweislast für das Überwiegen seines Interesses aufbürde.* Diese Verschlechterung war einer der Gründe für Österreichs Gegenstimme im Rat.

Auch weiterhin ist jedenfalls eine Interessenabwägung vorzunehmen. In deren Rahmen sind zudem auch die aus Art 7 und 8 GRC zustehenden Grundrechte beachtlich. Zudem seien alle Interessen des Betroffenen zu berücksichtigen, ohne dass diese Interessen „berechtigt“ sein müssen.* Auch hier spielen die vernünftigen Erwartungen („reasonable expectations“) der betroffenen Person eine bedeutsame Rolle.*

Hinzuweisen ist allerdings auf eine „Regelung“ im 48. Erwägungsgrund, die sich auf Art 6 Abs 1 lit f DSGVO bezieht und als „kleines Konzernprivileg“ bezeichnet wird. „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“ Durch die hier ausdrückliche Erwähnung des anerkannten Interesses von Unternehmensgruppen an internem Datenaustausch zwecks Verwaltungsoptimierung und -vereinfachung sollen Datenflüsse innerhalb einer Konzerngruppe zukünftig leichter zu rechtfertigen sein.*

Für die schon erwähnten sensiblen Daten gilt der taxative Katalog an Durchbrechungen des Verarbeitungsverbotes nach Art 9 DSGVO, der im Übrigen auch nicht durch Sondernormen der Mitgliedstaaten verändert werden darf.* Im arbeitsrechtlichen Kontext ist – abseits der Einwilligung nach Abs 2 lit a – ausschließlich Abs 2 lit b von Relevanz.* Und auch hier zeigt sich, dass sich am materiellrechtlichen Gehalt nicht allzu viel geändert hat. Weiterhin verweist das Datenschutzrecht völlig unverhohlen auf Regelungen des Arbeitsrechts und sagt nicht mehr oder weniger, als es dazu selbst keinerlei Wertungen enthält. Die Verarbeitung sensibler Daten ist somit zulässig, wenn die „Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und Pflichten nachkommen kann“.

Im Ergebnis kommt es durch die DSGVO sogar zu einer Art Verbesserung als die mehr oder weniger irrtümlich in § 9 Z 11 DSG 2000 aufgenommene Voraussetzung einer kumulativ existenten „besonderen Rechtsvorschrift“ nunmehr wegfällt.* Es reicht nunmehr die Erforderlichkeit aufgrund arbeitsrechtlicher Wertungen. Dabei ist schon nach dem Wortlaut der Bestimmung ein strenger Maßstab anzulegen.

Zum Abschluss sei noch exemplarisch auf einige Fragestellungen eingegangen, die in Hinkunft wohl noch Probleme bereiten werden.

Ein bisher noch gar nicht beachtetes Problemfeld ist idZ die Frage, wie bspw die Belegschaftsvertre-469tung selbst in das System der DSGVO einzubetten ist – schließlich verarbeitet auch der BR in vielen Fällen personenbezogene AN-Daten. Wird er etwa von der beabsichtigten Kündigung eines konkreten AN im Rahmen des betrieblichen Vorverfahrens nach § 105 ArbVG verständigt, so enthält diese Information regelmäßig eine Reihe von personenbezogenen Daten des betroffenen AN. Damit beginnt beim Organ der Belegschaft allerdings eine Verarbeitung iSd DSGVO.

Es ist mangels Wahrnehmung der Öffnungsklausel in Art 4 Z 7 DSGVO zu beachten, dass uU der BR oder die Belegschaft selbst Träger der Pflichten aus der DSGVO werden können. Versteht man den Begriff „andere Stelle“ in Art 4 Z 7 DSGVO im europarechtlichen Kontext weit – was dem traditionellen Verständnis des Datenschutzes entspricht –, muss der BR wohl tatsächlich Verantwortlicher sein. Andernfalls wäre davon auszugehen, dass die DSGVO die Teilrechtfähigkeit der Belegschaft um die Position des Verantwortlichen erweitert. Die gem Art 4 Z 7 DSGVO vorgesehene Zweckfestsetzung durch das Recht der Mitgliedstaaten liegt sodann bspw in der Ausübung des Mitwirkungsrechts im Rahmen des Kündigungsschutzes nach § 105 ArbVG. Es kann jedenfalls nicht damit enden, dass die Datenverarbeitung durch die Belegschaftsorgane nicht in den Geltungsbereich der DSGVO fällt.*

Zuletzt ist auf das Problem hinzuweisen, dass Art 88 Abs 3 DSGVO eine Notifikation der spezifischeren Regelungen an die EU anordnet und Österreich bis zum 25.5. keinerlei einschlägige Normen notifiziert bzw gemeldet hat. In der Literatur finden sich höchst widersprüchliche Ansichten zu den Rechtsfolgen dieses Unterbleibens.* Insb bleibt die Frage, welche Rechtsfolgen die Existenz von „spezifischeren“ Vorschriften bei gleichzeitiger Nicht-Notifikation auslöst. Ist die Notifikation somit konstitutiv für die Geltung von innerstaatlich spezifischeren Normen oder nicht?*

In der deutschen Literatur wird – soweit überblickt – oftmals mit dem Verlust der Rechtsetzungskompetenz bzw dem Eintritt von Nichtanwendbarkeit argumentiert. Einmal wird darin eine Art Sanktion für Mitgliedstaaten, die keine Rechtsvorschriften melden, erblickt, als diese hinsichtlich Art 88 DSGVO ihre „Rechtsetzungskompetenz“ verlieren.* Überdies sorge die Ausschlussfrist des 25.5. dafür, dass generell keine Erlassung neuer Vorschriften zum Beschäftigtendatenschutz mehr möglich wäre.* Es wären lediglich Änderungen an einer schon vor Ablauf der Meldefrist bestehenden, gegebenenfalls als bloßer „Rumpf“ ordnungsgemäß gemeldeten Vorschrift, aber keine Neuschöpfungen und wohl auch keine Veränderung nicht gemeldeter Vorschriften mehr möglich. Zum anderen wird davon ausgegangen, dass nicht gemeldete Vorschriften zum Beschäftigtendatenschutz aufgrund des Anwendungsvorranges der DSGVO ihre Anwendbarkeit verlieren und in diesem Bereich nur mehr die allgemeinen Vorschriften der (insofern vollharmonisierenden) DSGVO zu beachten wären.* Allerdings finden sich auch komplett konträre Ansichten.*

Ich habe diese Frage an anderer Stelle* ausführlicher untersucht und gehe davon aus, dass vieles für die Rechtsfolge „Verlust der Rechtsetzungskompetenz“ spricht. Österreich hat die Öffnungsklausel des Art 88 DSGVO nicht wahrgenommen und folglich auch nichts notifiziert. So haben wir eben keinerlei spezifischere Vorschriften, also keinen individualrechtlichen Beschäftigtendatenschutz geschaffen. Damit verlieren wir die Rechtsetzungsbefugnis für spezifischere Normen im Beschäftigungskontext und die DSGVO gilt unmodifiziert471sozusagen in ihrer „reinsten“ Form. Konsequenterweise können sodann bestehende Bestimmungen – wie bspw §§ 96, 96a ArbVG oder auch § 10 AVRAG – nicht als spezifischere Bestimmungen iSv Art 88 DSGVO angesehen werden.* Dies schließt sodann auch eine Strafbarkeit bei Verstößen gegen diese Bestimmungen nach Art 83 DSGVO aus.

Dieses Ergebnis folgt jedenfalls am klarsten und konsequentesten Konzept und Funktion einer Verordnung der EU. Zum anderen griffen andere Ansätze massivst in die österreichische Arbeitsrechtsordnung ein. Diese Absicht kann dem europäischen und dem österreichischen Gesetzgeber nicht unterstellt werden. Welchem Ansatz letztlich die Behörden bzw der EuGH folgen werden, lässt sich kaum prognostizieren.

IZm § 10 AVRAG ist mE davon auszugehen, dass leg cit mit Geltung der DSGVO nicht mehr anzuwenden ist. Leg cit enthält keinerlei spezifischere Vorschriften oder angemessene und besondere Maßnahmen* zur Datenverarbeitung, sondern entspricht dem in der DSGVO unmittelbar geregelten Modell der Einwilligung in die Datenverarbeitung und ist daher überflüssig. § 10 Abs 2 AVRAG enthält eine der DSGVO widersprechende Regelung über eine einzuhaltende Kündigungsfrist bei schriftlicher Vereinbarung und ist somit ebenso hinfällig.