2018 ist im Manz-Verlag die zweite Auflage des Handbuches „Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle“ der Herausgeber Grünanger/Goricnik erschienen. Seit der ersten Auflage aus dem Jahr 2014 hat sich gerade im Bereich Datenschutz sehr viel getan. Durch das Inkrafttreten der DS-GVO und dem Anwendbarwerden der Bestimmungen mit 25.5.2018 hat sich nicht nur das öffentliche, sondern auch das unternehmerische Interesse an datenschutzrechtlicher Compliance massiv erhöht. Hintergrund sind dabei weniger inhaltliche Neuerungen, sondern vor allem die neuen Sanktionsmöglichkeiten, insb die Geldbußen von bis zu 20 Mio € oder 4 % des weltweiten Jahresumsatzes (das sind bei umsatzstarken Unternehmen wie der OMV oder der STRABAG potenzielle Strafen iHv 920 Mio € bzw 600 Mio €, freilich pro Datenschutzverstoß). Neben der DS-GVO wurde auch das österreichische Datenschutzgesetz (mehrmals) novelliert und auch erste Verordnungen, so bspw zur (Nicht-)Durchführungspflicht einer Datenschutzfolgeabschätzung erlassen. Darüber hinaus sei auch erwähnt, dass gerade in den letzten Jahren viel Literatur zum Thema Datenschutz veröffentlich wurde. Die Aussage der Autoren in der Einleitung, wonach aufgrund der zahlreichen – zT sehr überraschenden – Entwicklungen getrost davon gesprochen werden könne, dass die vorliegende zweite Auflage des Handbuchs in Wahrheit schon die dritte sei, kann sehr gut nachvollzogen werden. Mit dieser Neuauflage waren sichtlich außerordentliche Mühe und hoher Zeitaufwand verbunden, weshalb den Autoren schon an dieser Stelle herzlich gedankt sei.

Zu den Herausgebern und Autoren der ersten Auflage Mag. Dr. Josef Grünanger und Mag. Dr. Wolfgang Goricnik, MBL konnten für die Neuauflage zwei bekannte Praktiker, nämlich die Rechtsanwälte Dr. Günther Leissler, LL.M. und Dr. Jens Winter gewonnen werden.

Das Handbuch selbst gliedert sich in zwei Teile: Im ersten Teil wird ausführlich (150 Seiten!) Grundsätzliches zu den für die im zweiten Teil beschriebenen Anwendungsfälle relevanten Rechtsquellen erörtert. Ausgehend von den individualrechtlichen Bestimmungen der Persönlichkeitsrechte im Privatrecht (§§ 16 und 1157 ABGB, § 18 AngG) werden datenschutzrechtlichen Schranken einer Datenverarbeitung beschrieben. Anschließend wird auf kollektivvertragliche Bestimmungen (insb §§ 96, 96a und 97 ArbVG, § 10 AVRAG, § 79 BDG und § 29 VBG) näher eingegangen. Abgerundet wird der erste Teil mit aus PraktikerInnensicht besonders relevanten Bestimmungen, wie etwa der Frage nach allfälligen Beweisverwertungsverboten, Unterlassungs- und Beseitigungsansprüche, Zurückbehaltungs- und Austrittsrechte, Schadenersatz und verwaltungsstraf- und strafrechtliche Aspekte. Den Schluss des ersten Teiles bilden Ausführungen zum betrieblichen Datenschutzbeauftragten und zum verantwortlichen Beauftragten iSd § 9 VStG.

Diese allgemeinen Ausführungen stellen die Grundlage für die im zweiten Teil näher beschriebenen praktischen Anwendungsfälle (siehe unten) dar. Im Gegensatz zu den datenschutzrechtlichen Bestimmungen hat sich zwar im Betriebsverfassungsrecht rechtlich wenig verändert, gleichwohl ist aber darauf hinzuweisen, dass sich durch die neuen Bestimmungen der DS-GVO und des DSG dennoch zahlreiche Fragen zum Zusammenspiel der Rechtsquellen stellen. Teilweise sind gar grundlegende Fragen noch unklar. So bspw, ob sich aus der Öffnungsklausel des Art 88 Abs 1 DS-GVO ableiten lässt, dass die Betriebsvereinbarungsparteien Regelungen zum Beschäftigtendatenschutz wirksam vereinbaren können. Fraglich wäre dies deshalb, weil dadurch dem zweiseitig verbindlichen Charakter des ArbVG widersprochen werden könnte. Andererseits kann sich eine derartige Ermächtigung möglicherweise aus § 2 Abs 2 Z 2 ArbVG oder § 96a Abs 1 Z 1 ArbVG ergeben. Der BR könnte dann freilich auch datenschutzrechtliche Erlaubnistatbestände verhandeln und durchzusetzen versuchen. Bejaht man diese Ansicht, ist freilich weiter ungeklärt, wie weit dieser datenschutzrechtliche Erlaubnis reicht und vor allem, ob damit der Katalog der allgemeinen Erlaubnistatbestände des Art 6 Abs 1 DS-GVO erweitert werden kann oder diese durch die BV lediglich präzisiert und konkretisiert werden dürfen (siehe dazu bspw S 43 ff).565

Nicht ganz überzeugend ist mE die Meinung, wonach Standortdaten (schon) dann als „sensibel“ gelten sollen, wenn die Daten nicht nur während der Arbeitszeit, sondern auch in der Freizeit des AN ermittelt werden (in welcher Zeit die AN aber zB eine Kirche oder Moschee oder das Krankenhaus aufsuchen könnten). Im Kern geht es dabei um die Frage, inwieweit auch „normale“ personenbezogene Daten als „sensibel“ iSd Art 9 DS-GVO qualifiziert werden müssen, wenn sich aus ihnen mittelbar (oder in Kombination miteinander) sensible Informationen entnehmen lassen. Zwar wird dies in der Literatur vielfach vertreten (vgl nur Weichert in Kühling/Buchner, DS-GVO/BDSG² [2018] Art 9 Rz 22; Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 18 ff), diese Interpretation führt allerdings zu einem ausufernden und für RechtsanwenderInnen völlig unklaren Anwendungsbereich, der in Kombination mit den eingeschränkten Erlaubnistatbeständen des Art 9 DS-GVO in der Praxis zu fundamentalen Problemen führt.

Aus meiner Sicht müsste deshalb viel stärker die subjektive Absicht des Verwerters, insb der Zweck der Verarbeitung, bei der Beurteilung berücksichtigt werden. Daten, die allein noch nicht sensibel sind, müssten daher erst zu einem bestimmten (subjektiv gewünschten) Zweck (Ermittlung des Gesundheitszustandes) ausgewertet werden, um als sensible Daten erfasst werden zu können (so schon Knyrim, Bilddaten: immer sensibel? jusIT 2016, 236).

Ein derartiges Verständnis hat wohl auch die Datenschutzbehörde, die bereits mehrfach (freilich ohne nähere Begründung) klargestellt hat, dass es sich bei Bild- und Videodaten nicht um „sensible“ Daten iSd § 9 DSGVO handelt (siehe zuletzt Datenschutzbehörde, 7.6.2018, DSB-D202.207/0001-DSB/2018; vgl zur alten Rechtslage Datenschutzkommission, 10.4.2013, K202.120/0002-DSK/2013)

Gleichwohl liefert das Werk zu zahlreichen Fragen gut begründete und argumentierte Antworten. Freilich ist nach wie vor vieles offen und rechtssichere Antworten sind erst durch die Judikatur (insb durch den EuGH) zu erwarten.

Im zweiten Teil werden spezifische Kontroll- und Überwachungsformen im Mitarbeiterkontext auf ihre Zulässigkeit nach den oben genannten Grundsätzen untersucht. Dabei handelt es sich um Personal- und Taschenkontrollen, Gesundheitskontrollen, Videoüberwachung am Arbeitsplatz, die Kontrolle der Internetnutzung und des E-Mail-Verkehrs, die Ermittlung von Standortdaten im Arbeitsverhältnis und Datenverwendung in der Personalverwaltung und Personalführung.

Diese Auflistung der unter die Lupe genommenen Anwendungsfälle ist sehr breit und entspricht – das kann der Autor aus eigener Erfahrung bestätigen – den Fragestellungen, die sich in der Praxis in einem großen Unternehmen stellen. Aber auch nicht angesprochene Sachverhalte können durch die analoge Anwendung der Wertungssätze gelöst werden.

Insgesamt ist das vorliegende Werk sehr gut recherchiert (dies belegen schon 1.657 Fußnoten) und auch mit vielen eigenen Meinungen gespickt. Bereits Löschnigg hat in seiner Buchbeschreibung der ersten Auflage angemerkt, dass die Autoren die Arbeit zwar als „Praxishandbuch“ bezeichnen, dies aber insofern untertrieben ist, als der Großteil der Darstellungen sich sehr intensiv mit Rsp und Lehre auseinandersetzt und begründete (rechtsdogmatische) Wertungen enthält. Dies gilt umso mehr für die zweite Auflage. Abgerundet wird das Handbuch durch ein umfangreiches Stichwortverzeichnis und einen tollen Judikaturspiegel. Das Buch ist auch in der RDB zu erwerben.

Diese intensive (wissenschaftliche) Darstellung hat freilich Auswirkungen auf die Handhabbarkeit für die betriebliche Praxis. Denn trotz der Bezeichnung als Handbuch ist das Werk gemäß seiner Ausrichtung eher für den versierten Anwender geeignet. Für die zahlreichen betrieblichen DatenschutzkoordinatorInnen und Datenschutzbeauftragten in der Praxis besteht die Gefahr, dass das vorliegende Werk aufgrund des Umfangs und der Komplexität den einen oder anderen überfordern könnte. Wenn das Ziel des Autorenteams und dabei insb der Herausgeber aber war, das österreichische Beschäftigtendatenschutzrecht weiterzuentwickeln, dann ist ihnen das in hervorragender Weise gelungen.