Die seit 25.5.2018 anwendbare EU-Datenschutz- Grundverordnung (DS-GVO) hat – obwohl sie die (europäische) Rechtsmaterie des Datenschutzrechts nicht (disruptiv) neu aufgestellt hat – doch neue Fragen und auch alte Fragen neu aufgeworfen, wie auch in der betrieblichen Praxis zu bemerken ist. Etwa die nach der Rolle von Betriebsräten im Spannungsfeld zwischen (kollektiv konzipiertem) Betriebsverfassungsrecht und (individuell konzipiertem) Datenschutzrecht.

Deshalb hat das (deutsche) Hugo Sinzheimer Institut für Arbeitsrecht Prof. Dr. Marita Körner, Professorin für Deutsches und Internationales Arbeits- und Sozialrecht und Rechtsvergleichung an der Universität Hamburg, mit einem entsprechenden Gutachten beauftragt, welches in der vorliegenden Form publiziert wurde. Die Zielrichtung dieses Bandes der HSI-Schriftenreihe ist gemäß dem Vorwort von Thomas Klebe, aufgetretene Fragen betriebsnah zu beantworten und die weitere diesbezügliche Diskussion zu beeinflussen.

In ihrem sohin an Fragen der betrieblichen Praxis orientierten Gutachten behandelt Körner kapitelweise eingehend die Rolle des BR im Beschäftigtendatenschutz, datenschutzrechtliche Anforderungen an Betriebsvereinbarungen zum Beschäftigtendatenschutz, zu regelnde Datenschutzinhalte in Betriebsvereinbarungen, den Umgang mit alten Betriebsvereinbarungen, die eigene Datenverarbeitung des BR und das Verhältnis von Aufsichtsbehörden und BR.

Der Rezensent hat sich gegenständlich zum Ziel gesetzt, einzelne auch für die entsprechende österreichische Diskussion wesentliche Aussagen aus diesem (so viel darf vorweggenommen werden) spannenden und praxisorientierten Werk gleichsam eklektizistisch herauszugreifen und dogmatisch zu kommentieren:

So führt Körner zur Thematik der (in deutscher Terminologie) Rolle des „BR als verarbeitende Stelle“ aus, dass es nach wie vor umstritten sei, ob der BR eine eigene verantwortliche Stelle sei; nach hM und gemäß der Rsp des BAG solle das nicht der Fall sein (zitiert wird diesbezüglich BAG 18.7.2012, 7 ABR 23/11, welche E aber – insofern mE nicht ganz konsistent – ausführt, dass die Verantwortung für die Einhaltung des Datenschutzes der BR trage, der die geeigneten und erforderlichen Datensicherheitsmaßnahmen festzulegen hat; der BR sei selbst dem Datenschutz verpflichtet und habe eigenständig diese Maßnahmen zu beschließen).

Weder die DS-GVO noch das Bundesdatenschutzgesetz (BDSG) nF würden die Frage beantworten, 474 ob es sich beim BR um einen eigenständigen Verantwortlichen gem Art 4 Z 7 DS-GVO handelt. Dass sich der europäische Gesetzgeber bei einer europaweiten Datenschutzregelung über Besonderheiten der deutschen Betriebsverfassung keine Gedanken gemacht hat, sei nachvollziehbar; der deutsche Gesetzgeber jedoch hätte in § 26 BDSG nF diese Frage aufgreifen können.

Zutreffend führt Körner zur betrieblichen Realität aus, dass der BR den Zugang zu („seinen“) digitalen Daten selbständig organisieren kann; so befinde der BR auch über die Frage, wie der Zugang zum Internet organisiert wird – nur über einen zentralen PC im Betriebsratsbüro oder am Arbeitsplatz des einzelnen Betriebsratsmitglieds –, allein. ME nicht ganz schlüssig kommt Körner dann dennoch zum Ergebnis, dass sich aus dieser Realität keine eigenständige datenschutzrechtliche Verantwortung des BR ableiten lasse. Sie begründet das damit, dass der BR nicht zusätzliche eigene Verarbeitungszwecke definieren könne; weiters könne er auch über die Sachmittel für die Datenverarbeitung nicht frei entscheiden. Letzteres entspricht aber mE nicht der betrieblichen Realität, man denke nur an die Verwendung (betriebsverfassungsrechtlich wohl zulässiger) privater bzw vom BR zentral zur Verfügung gestellter Smartphones und an die Inanspruchnahme betriebsfremder (insbesondere von der Gewerkschaft bereit gestellter) Software (zB die „GÖD-Cloud“ und fachgewerkschaftsspezifische Apps). Aber auch das erste Argument von Körner verfängt mE nicht, da der BR im Rahmen der nur global vorgegebenen Aufgaben der betrieblichen Interessenvertretung en detail sehr wohl verschiedenste eigene Datenverarbeitungszwecke definieren kann.

Schwerer wiegt da schon das weitere Argument von Körner, dass der europäische Gesetzgeber bei der verantwortlichen Stelle einen solventen, eigenständigen und unabhängigen Schuldner vor Augen gehabt hätte, dem strenge Haftung auferlegt und hohe Bußgelder abverlangt werden könnten; diese Haftungsregeln liefen aber beim nicht rechtsfähigen BR ins Leere und würde eine persönliche Haftung einzelner Betriebsratsmitglieder die Unabhängigkeit des BR unterminieren.

Es bleibe also auch unter der DS-GVO dabei, dass der BR keine eigene datenverantwortliche Stelle sei, sondern Teil der Datenverarbeitung des AG, der allein nach außen als Verantwortlicher auftrete (S 58).

Zugleich konzediert Körner aber, dass diese Ansicht direkt zu dem schwerwiegenden Problem führt, ob dann nicht konsequenterweise der AG als die verarbeitende Stelle oder der betriebliche Datenschutzbeauftragte (des AG) Kontrollbefugnisse hinsichtlich der vom BR verarbeiteten personenbezogenen Beschäftigtendaten habe; obwohl das BAG solches schon 1997 abgelehnt hat (BAG 11.11.1997, 1 ABR 21/97), sei nicht eindeutig, ob auch der EuGH das so sehen würde (S 20).

Nach Ansicht des Rezensenten spricht die entsprechende Weisungsfreistellung der Betriebsratsmitglieder (für Österreich gem § 115 Abs 2 ArbVG) iVm der betrieblichen Realität der Beschäftigtendatenverarbeitungen des BR vielmehr für dessen Rolle als datenschutzrechtlich Verantwortlichen iSv Art 4 Z 7 DS-GVO (so schon Goricnik in Felten [Hrsg], Betriebsrat und Information [2017] Rz 3.35; Goricnik in Knyrim [Hrsg], DatKomm Art 88 Rz 98 [Stand Oktober 2018] mwN). Damit ist insb auch klargestellt, dass dem Datenschutzbeauftragten keinerlei Kontrollrechte hinsichtlich Datenverarbeitungen des BR zukommen (so schon Goricnik in Haslinger/Krisch/Riesenecker-Caba [Hrsg], Beschäftigtendatenschutz [2017] 211). Daran kann mE auch die offene Haftungsfrage nichts ändern, zumal diese weder in Art 4 Z 7 DS-GVO noch in der entsprechenden Stellungnahme der Art 29-Datenschutzgruppe (in deren WP 169-Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“) als konstitutives Element der Verantwortlichenstellung genannt wird bzw eine Rolle spielt. Hinsichtlich der Rechtslage in Österreich darf an dieser Stelle auch noch darauf hingewiesen werden, dass aus § 30 Abs 5 DSG überdies abgeleitet werden könnte, dass Betriebsratskörperschaften als „öffentliche Stellen“ iS dieser Bestimmung angesehen werden könnten, wodurch die Verhängung von Geldbußen gegen Betriebsratskörperschaften ausscheiden würde.

Einen weiteren mE unschlüssigen Widerspruch aus der Ansicht, der BR sei nur Teil der an den AG anknüpfenden verantwortlichen Stelle, stellt denn auch das (richtige) Postulat von Körner dar, der BR unterliege den Auskunftsansprüchen der Betroffenen aus der DS-GVO, denn der AG sei zu umfassenden Auskünften über die Datenverarbeitung des BR gar nicht in der Lage (S 60).

Diese Kette von Unschlüssigkeiten (resultierend aus der mE schon an der Wurzel falschen Beurteilung der datenschutzrechtlichen Rolle des BR) setzt sich fort, wenn Körner weiters den BR (richtigerweise) – je nach seinen Verarbeitungstätigkeiten – als verpflichtet ansieht, ein Verarbeitungsverzeichnis gem Art 30 DSGVO hinsichtlich seiner Verarbeitungsprozesse zu erstellen, was sie aber jedenfalls empfiehlt (S 61 f; zu Österreich so schon Goricnik in Haslinger/Krisch/Riesenecker-Caba, Beschäftigtendatenschutz 211).

Bemerkenswert ist die Ansicht Körners, die sich wie ein Roter Faden durch ihre Ausführungen zieht, dass es nicht ausreiche, wenn die datenschutzrechtlichen Grundsätze in Betriebsvereinbarungen nur beachtet werden; vielmehr müssten diese Grundsätze in ausdrückliche Regelungen „übersetzt“ werden. Bspw betreffe das die Unterrichtungspflichten nach Art 13 und 14, die Auskunftspflichten nach Art 15 oder Löschkonzepte gem Art 17 DS-GVO (S 31). Weiters seien unter dem Aspekt der Datenminimierung (gem Art 5 Abs 1 lit c DS-GVO) entsprechende Minimierungsmaßnahmen in die konkrete BV aufzunehmen und es reichten nicht etwa allgemeine Hinweise aus, dass der Grundsatz der Datenminimierung einzuhalten sei; auch müssten gem Art 5 Abs 1 lit d DS-GVO in Betriebsvereinbarungen „Berichtigungsverfahren“ vorgesehen werden. Überdies sei auch eine Regelung, dass Beschäftigtendaten zu löschen sind, wenn sie nicht mehr benötigt werden, zu ungenau; Fristen müssten vielmehr klar festgelegt werden und ihre Länge dem konkreten Verarbeitungszweck gemäß dem Grundsatz der Speicherbegrenzung nach Art 5 Abs 1 lit e DS-GVO angepasst sein (S 32 f).

Seien Informationspflichten (bzw Informationen) allerdings gleichförmig, würde ihre Aufnahme in jede einzelne BV zum reinen Formalismus degenerieren und gerade daher der Transparenz der Datenverarbeitung (vgl den entsprechenden Grundsatz gem Art 5 Abs 1 lit a DS-GVO) entgegenstehen. Aus diesem Grund empfiehlt Körner hier andere Formen der betrieblichen Umsetzung, insb Rahmenbetriebsvereinbarungen (S 36).475

Diese Datenschutz-Rahmenbetriebsvereinbarungen empfiehlt Körner auch zur (datenschutzrechtlichen) „Rettung“ bestehender alter (dh zum Zeitpunkt der Anwendbarkeit der DS-GVO schon bestehender) Betriebsvereinbarungen durch entsprechende datenschutzrechtliche Klarstellungen, Ergänzungen und Ersetzungen (S 53 f); so weise das Archiv der Hans- Böckler-Stiftung für das Jahr 2015 einen Bestand von 2.472 Betriebsvereinbarungen zu den Themen „Technologie und IT“ aus. Daraus könne abgeleitet werden, dass der Bestand an Betriebsvereinbarungen, die nun an der DSGVO zu messen sind, erheblich sei. Verstoßen derartige „alte“ Betriebsvereinbarungen aber gegen die DSGVO, kann dies dazu führen, dass sie unwirksam bzw unanwendbar sind, wenn der verbleibende Teil der Betriebsvereinbarungen ohne die unzulässigen Bestimmungen keine sinnvolle, in sich geschlossene Regelung mehr ergibt (vgl BAG 9.7.2013, 1 ABR 19/12; Körner S 49; zum diesbezüglichen Anwendungsvorrang des Unionsrechtes schon Goricnik, Anpassungsbedarf für bestehende Betriebsvereinbarungen vor dem Hintergrund der Europäischen Datenschutz-Grundverordnung? DRdA-infas 2017, 53 [58]; dazu speziell für Österreich ausführlich ders in Knyrim, DatKomm Art 88 Rz 57 ff). Bezüglich dieses Themenkomplexes muss der geneigte Leser aber beachten, dass Körner entsprechend der hM (in Deutschland) davon ausgeht, dass Betriebsvereinbarungen auch weiterhin eine Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten sein können, ihre Ausführungen also von datenschutzrechtlichen Erlaubnisnormen (auf Betriebsebene) handelt. Demgegenüber ist nach Ansicht des Rezensenten in Österreich seit dem 25.5.2018 von einer entsprechenden Dichotomie auszugehen, nämlich einerseits weiterhin möglichen „schlichten“ Datenschutz-Betriebsvereinbarungen und andererseits neuen „europarechtlich qualifizierten“ Betriebsvereinbarungen (in Konkretisierung der Öffnungsklausel zum Beschäftigtendatenschutz des Art 88 DS-GVO unter Fruchtbarmachung entsprechender nationaler Betriebsvereinbarungsermächtigungen, insb § 96a Abs 1 Z 1 ArbVG), die zum einen der Erfüllung der Mitbestimmungsrechte des BR dienen, zum anderen aber auch (neuerdings) als Erlaubnistatbestand einer Datenverarbeitung fungieren können (siehe dazu näher Goricnik in Knyrim, DatKomm Art 88 Rz 39 ff). Die oben wiedergegebenen Anforderungen von Körner beziehen sich demnach – umgelegt auf die österreichische Rechtslage – nur auf den zweiteren Typus „europarechtlich qualifizierter“ Betriebsvereinbarungen.

Völlig zutreffend postuliert Körner, dass der Entwicklungsstand der Digitalisierung im Betrieb schon jetzt dazu geführt hat, dass sich die Konzeption eines wirkungsvollen Datenschutzes gewandelt hat. Allein normative Vorgaben für Datenschutz seien nicht mehr ausreichend. Sie müssten vielmehr durch technische Maßnahmen flankiert werden, durch die Hard- und Software so gestaltet werden, dass bestimmte Verarbeitungsformen entweder gar nicht erst bereitgestellt oder zumindest eingeschränkt werden, welche Gedanken auch Art 25 DS-GVO über Datenschutz durch Technikgestaltung („privacy by design“) und über datenschutzfreundliche Voreinstellungen („privacy by default“) aufgreift. Um wirksame Standards für technische Voreinstellungen für die Verarbeitung von Beschäftigtendaten zu definieren, müssen natürlich zuvor die immer komplexeren Verarbeitungszusammenhänge (von Betriebsräten) verstanden werden. Um die Betriebsräte dabei nicht zu überfordern, empfiehlt Körner, besonders in Datenschutz-Rahmenbetriebsvereinbarungen die nötige IT-Beratung (auf Kosten des AG) gleich mit vorzusehen. Gleichermaßen sei dies auch angezeigt, um allein die Überwachungspflicht des BR gem § 80 Betriebsverfassungsgesetz (BetrVG) (umgelegt auf Österreich § 89 ArbVG) erfüllen zu können (S 44 ff).

Diesen Ausführungen und Empfehlungen kann nur gänzlich zugestimmt werden.

Resümierend handelt es sich bei diesem praxisorientierten Werk, das aber auch einen wissenschaftlichen Anspruch aufweist, um eine spannende Schrift für jeden, der vertieft mit AN-Datenschutzrecht – auch nur in Österreich – zu tun hat. Auch angesichts des günstigen Preises ist für diese JuristInnengruppe die Anschaffung vorbehaltlos zu empfehlen.