Mit dem Geltungsbeginn der DSGVO* am 25.5.2018 standen in einer ersten Phase der unternehmerischen Umsetzung zunächst die Datenströme im B2C-Bereich im Fokus der rechtlichen und technischen Prüfung. Seit einiger Zeit werden auch die unternehmensinternen Datenströme rechtlich näher geprüft und hinterfragt, dies vor allem aus zwei Gründen: Zum einen aufgrund einer gestiegenen Datenschutz-Awareness der Mitarbeiter, zum anderen aufgrund gestiegener Compliance-Anforderungen an Unternehmen (nicht zuletzt auch als Folge der laufenden Einführung unionsrechtlich gebotener Whistleblowing-Kanäle, zumal der „Schutz der Privatsphäre und personenbezogener Daten“ in den sachlichen Anwendungsbereich der EU-Whistleblower-Richtlinie* fällt).

Zu den unternehmensinternen Datenströmen gehört gewiss, wohl sogar vordringlich, der Datenstrom zwischen AG und BR, der idR als Datentransfer vom AG zum BR verläuft, der Personaldaten* zur Ausübung seiner betriebsverfassungsrechtlichen Rechte und Pflichten benötigt, insb zur Mitwirkung in personellen Angelegenheiten iSd 3. Abschnittes des 3. Hauptstückes des Arbeitsverfassungsgesetzes (ArbVG); eine zentrale Norm dieses Mitwirkungskomplexes ist § 89 ArbVG, wonach zunächst in einem ersten Satz allgemein das Recht des BR statuiert wird, die Einhaltung der die AN des Betriebes betreffenden Rechtsvorschriften zu überwachen. Damit wird dem BR ein weitreichendes allgemeines Überwachungsrecht eingeräumt, das laufend und iSe präventiven Kontrolle – insb unabhängig von konkreten Verdachtsmomenten oder Anlassfällen – ausgeübt werden kann. Diese Generalklausel wird sodann durch eine demonstrative Aufzählung in den Z 1 bis 4 konkretisiert, wobei in der Praxis und Rsp in datenschutzrechtlicher Hinsicht insb die Z 1 umstritten war und ist: Soweit es die Z 1 leg cit betrifft, waren und sind sowohl entsprechende von keinen weiteren Voraussetzungen abhängige Einsichtnahmerechte des BR (in individuelle Bezüge, entsprechende Unterlagen und Arbeitszeiten) – sogar gegen den ausdrücklichen Willen einzelner AN – an sich* als auch entsprechende „Ausübungsmodi“ der Einsicht umstritten.*

In einem aktuellen Anlassfall* bestand nach einem allgemeinen Verlangen der zentralen Personalvertretung ein langjähriger Usus, dass von § 89 Z 1 ArbVG erfasste Personaldaten (zB besoldungsrechtlicher Beschäftigungsstatus, Zeitmodell, Wochenstunden und Geburtsdatum) von der Personalverwaltung des Unternehmens proaktiv monatlich an diese unternehmensweit eingerichtete zentrale Personalvertretung übermittelt wurden. Darüber hinaus wurde der Personalvertretung eine unmittelbare Zugriffsmöglichkeit auf Teilbereiche des Personalverwaltungssystems „SAP“ eingeräumt. Die zentrale Personalvertretung leitete sodann den einzelnen betrieblich eingerichteten Interessenvertretungsorganen die Personaldaten der jeweils betrieblich zugehörigen AN zur Ermöglichung der Ausübung der betrieblichen Interessenvertretung durch diese monatlich weiter. Subsidiär hatte die zentrale Personalvertretung darüber hinaus die Möglichkeit, unter Rückgriff bzw Bedachtnahme auf die zentralisiert erhaltenen Personaldaten unternehmensweite wirtschaftliche Interventionsrechte wahrzunehmen und sich bei Betriebsänderungen (zB Standortverlegungen, Änderungen der Betriebsorganisation sowie der Filialorganisation oder Rationalisierungsmaßnahmen) einzubringen.

Anlassgegenständlich erachtete sich aber ein von dieser Praxis betroffener AN in seinem grundrechtlich geschützten Recht auf Geheimhaltung des § 1 DSG* dadurch verletzt, dass erstens die zentralisierte Übermittlung der Personaldaten nicht unmit203telbar an das dafür gesetzlich zuständige (betriebliche) Interessenvertretungsorgan, sondern vielmehr an ein an sich dafür unzuständiges Personalvertretungsorgan erfolgte, und dass zweitens diese Übermittlung auch ohne einen jeweiligen konkreten Anlass, dh ohne aktive Anfrage (im Einzelfall) durch die Personalvertretung vorgenommen wurde.

Die angerufene Datenschutzbehörde (DSB) folgte beiden Argumenten, bewertete diese „Verarbeitung“ deshalb als unrechtmäßig und gab der Beschwerde in Bezug auf die Verletzung im Recht auf Geheimhaltung (mittlerweile rechtskräftig) statt. Überdies wurde mittlerweile sogar ein entsprechendes Verwaltungsstrafverfahren gegen das Unternehmen und dessen Geschäftsführung eingeleitet, worauf dieser Beitrag aber nicht näher eingeht. In ihrer Begründung führte die DSB – in ihrer Auslegung des ArbVG – weiters aus, dass eine sich auf § 89 ArbVG stützende Übermittlung von Personaldaten weder regelmäßig noch proaktiv durch den AG erfolgen dürfe, sondern ausschließlich auf Anfrage der zuständigen Personalvertretung in einem konkreten Anlassfall.

Die angesprochene Voraussetzung der gesetzlichen Zuständigkeit für eine rechtmäßige Datenübermittlung ergibt sich evident aus den detaillierten Zuständigkeitsregeln der gesetzlichen Betriebsverfassung.* Die von der DSB in Auslegung des ArbVG angeführte Einschränkung auf eine jeweilige konkrete Anfrage stößt hingegen auf unseren Widerspruch, zumal sich eine solche (zwingende) Einschränkung aus keinen betriebsverfassungsrechtlichen Normen ergibt (weder aus dem ArbVG noch aus Sonder-Betriebsverfassungsrechten wie etwa dem Post-Betriebsverfassungsgesetz [PBVG]). Ein Anlass für jeden Einzelfall einer Datenübermittlung muss uE schon gar nicht vorliegen, weil die Wahrnehmung der Einsichtsrechte des § 89 ArbVG nach richtiger hA keiner Begründung bedarf.*

Dieser gemischt betriebsverfassungsrechtliche-datenschutzrechtliche Ansatz der DSB ist aber auch datenschutzrechtlich zu eng, weil neben gesetzlichen Pflichten* auch andere Erlaubnistatbestände in Frage kommen. Auch den Belegschaftsvertretungsorganen stehen generell alle Erlaubnistatbestände der DSGVO zur Verfügung, um eine Datenverarbeitung zu rechtfertigen. Es gibt keinen Grund dafür, Belegschaftsvertretungsorganen lediglich den Erlaubnistatbestand des Art 6 Abs 1 lit c DSGVO zuzugestehen, auch wenn das ArbVG in vielen Fällen eine derartige Grundlage sein wird. Gegenständlich wären somit zB auch praxisgerechte „Absprachen“* zwischen den betrieblichen Sozialpartnern vor dem Hintergrund des datenschutzrechtlichen Erlaubnistatbestandes des Art 6 Abs 1 lit f DSGVO (Interessenabwägung) rechtlich zu prüfen und als Rechtfertigungsgrund denkbar. Diesen Ansatz wollen wir im Folgenden vertiefen.

Der datenschutzrechtliche Erlaubnistatbestand des Art 6 Abs 1 lit f DSGVO für eine Datenübermittlung zwischen zwei datenschutzrechtlichen Verantwortlichen iSd Art 4 Z 7 DSGVO bedarf keiner schriftlichen Vereinbarung zwischen den beiden Verantwortlichen (hier AG und BR*). Dennoch bringt eine Verschriftlichung nicht nur einen erheblichen Zugewinn an Rechtssicherheit (auch iSd „vernünftigen Erwartungen“ der betroffenen AN),* sondern „zwingt“ die beiden Verantwortlichen (AG und BR) – vorab – auch zu einer transparenten und nachprüfbaren Verfahrensausgestaltung samt allgemeinen angemessenen Datensicherheitsmaßnahmen* sowie beschäftigungskontextuellen geeigneten und besonderen Maßnahmen insb zur Wahrung der berechtigten Interessen und der Grundrechte der betroffenen AN.*

Art 88 Abs 1 DSGVO (iVm ErwGr 155 gelesen) ermöglicht auch Betriebsvereinbarungen als datenschutzrechtliche Erlaubnistatbestände im Beschäftigungskontext zu fungieren, gegenständlich sohin die allgemein formulierte Interessenabwägung des Art 6 Abs 1 lit f DSGVO durch eine präzise betriebliche Ausgestaltung zu konkretisieren.* Diese praxisgerechte Anpassungsmöglichkeit allgemeiner Datenschutzvorgaben und Datenschutzaspekte an betriebliche Gegebenheiten respektiert auch eine entsprechende Einschätzungsprärogative der (betrieblichen) Sozialpartner.*204

Die damit verbundene Statuierung der verpflichtenden Vornahme allgemeiner Datensicherheitsmaßnahmen (zB Protokollierungspflichten stattgefundener Einsichtnahmen bzw Übermittlungen als eigene Datenverarbeitung in Bezug auf den BR bzw die betreffenden Betriebsratsmitglieder) könnte idZ nicht nur als ein Wertungsgesichtspunkt der gegenständlichen Interessenabwägung angesehen werden, sondern darüber hinaus sogar unter Art 6 Abs 1 lit c DSGVO („Erfüllung einer rechtlichen Verpflichtung“) subsumiert werden.

Rechtsdogmatisch verbleibt damit noch das Auffinden geeigneter Betriebsvereinbarungstatbestände im ArbVG, da Art 88 DSGVO selbst kein eigener Betriebsvereinbarungstatbestand ist, sondern als „Öffnungsklausel“ diesbezüglich auf mitgliedstaatliches Betriebsverfassungsrecht rekurriert. Betriebsvereinbarungen, die unionsrechtlich Erlaubnistatbestände iSd (Art 6 oder 9) DSGVO sein können, bedürfen also einer nationalen (Kompetenz-)Grundlage (idR das ArbVG).*

Im gegenständlichen Zusammenhang bieten sich auf den ersten Blick zwei passende Betriebsvereinbarungstatbestände an, nämlich § 96a Abs 1 Z 1 und § 97 Abs 1 Z 6 ArbVG:

In beiden Fällen wurden bisher zwar (nur) andere Zielrichtungen dieser kollektiven Rechtsetzung vertreten und diskutiert,* doch stehen (auch) diese Betriebsvereinbarungstatbestände wohl einer zusätzlichen (digitalisierungs-)zeitgemäßen Ausfüllung offen.

Es handelt sich um Kompetenzgrundlagen für die heteronome Normsetzungsbefugnis der betrieblichen Sozialpartner. Ihr Wortlaut ist deshalb von besonderer Bedeutung, spricht aber gegenständlich nicht dagegen, dass diese Betriebsvereinbarungstatbestände (auch) als Grundlage für eine Regelung über den Datentransfer zwischen AG und BR dienen können.*

Damit sollten uE keine Bedenken dagegen bestehen, dass Daten der Personalverwaltung abfragende Betriebsratsmitglieder, (digitale) „Betriebseinrichtungen zweckentsprechend zu benützen“, vermittels einer Betriebsvereinbarungsregelung angehalten werden können (§ 97 Abs 1 Z 6 ArbVG), wie überhaupt ein Modul bzw eine Konfiguration einer Personalverwaltungssoftware in diesem Kontext ein „System zur automationsunterstützten Verarbeitung und Übermittlung von personenbezogenen Daten des AN“ (§ 96a Abs 1 Z 1 ArbVG) sein kann.

Eine auf § 89 ArbVG gestützte Übermittlung von Personaldaten an den (zuständigen) BR darf auch regelmäßig und proaktiv durch den AG ohne eine entsprechende Anfrage durch den BR erfolgen; diesfalls besteht zwar keine betriebsverfassungsrechtliche Pflicht des AG zu diesem „übergesetzlichen“ laufenden Datentransfer. Dieser ist aber zum einen betriebsverfassungsrechtlich gedeckt, soweit er inhaltlich nicht über § 89 ArbVG hinausgeht,* und bildet Art 6 Abs 1 lit f DSGVO, insb iVm einer konkretisierenden BV, dafür zum anderen auch einen geeigneten datenschutzrechtlichen Erlaubnistatbestand.*