Betriebsverfassungsrechtliche Datenschutz-Compliance: Strukturierte Lösungsansätze für wiederkehrende ­Anlassfälle in der Praxis

WOLFGANGGORICNIK / JENSWINTER

Der Beitrag „Betriebsverfassungsrechtliche Datenschutz-Compliance am Beispiel der Einsicht des Betriebsrates in Personaldaten“* zeigte anhand eines konkreten, von der Datenschutzbehörde rechtskräftig entschiedenen Anlassfalles den rechtlichen Rahmen und die rechtlichen Grenzen des Datentransfers vom AG zu betrieblichen Interessenvertretungsorganen (hinsichtlich Betriebsverfassung und Datenschutz) auf. Zulässige und praktikable Ausübungsmodi der Einsichtnahme des BR in Personaldaten, entsprechende (freiwillige) Datentransfers zwischen AG und BR sowie die Sicherstellung der Vertraulichkeit der Betriebsratskommunikation samt jeweils notwendiger Datensicherheitsmaßnahmen sind Gegenstand dieses vertiefenden Praxisbeitrages.

1..
Möglichkeiten zur datenschutzrechtskonformen Legitimation eines „freiwilligen“* Datentransfers zwischen AG und BR

Neben spezifischen Betriebsvereinbarungen wäre auch die Einwilligung der einzelnen AN als Betroffene iSd Datenschutz-Grundverordnung (DSGVO) eine taugliche Rechtfertigung für die Einsichtnahme des BR in (ihre) Personaldaten. Durch Einwilligung einzelner AN kann der BR damit auch Zugriff auf Daten in einem Personalinformationssystem erhalten, die er sonst nicht einsehen und ihm der AG nicht zur Einsichtnahme zur Verfügung stellen dürfte.* Für die Einwilligung gelten die üblichen Anforderungen des Art 7 DSGVO, die geforderte Freiwilligkeit dürfte in dieser Konstellation mangels Abhängigkeit gegenüber dem BR keine Probleme aufwerfen.* Zugleich ist diese datenschutzrechtliche Einwilligung auch ein entsprechendes „Einverständnis“ iSd § 89 Z 4 ArbVG. Liegt sohin gegenüber dem AG zugunsten des BR eine solche rechtswirksame Einwilligung bzw ein solches Einverständnis vor, bestehen sowohl aus Sicht des AG als Betreiber eines Personalinformationssystems und eigenständiger Verantwortlicher iSd Art 4 Z 7 DSGVO als auch aus Sicht des AN als Betroffener keine datenschutzrechtlichen Bedenken gegen einen solchen Datentransfer, auf den der BR diesfalls sogar einen betriebsverfassungsrechtlichen Anspruch gem § 89 Z 4 ArbVG hat. Ein nach dem ArbVG vom BR einseitig durchsetzbarer Anspruch auf einen permanenten direkten Zugriff auf ein ­elektronisches Personalinformationssystem besteht in der Regel, also ohne dass spezifische Gründe (zB eine Unvollständigkeit entsprechender Ausdrucke) oder eine BV als Grundlage dafür vorliegen, nach bisheriger Rsp nicht.* Während in kleinen Betrieben eine entsprechende Umsetzung von Einsichtnahmen niederschwellig möglich sein wird, stellt sich in großen, oftmals auch in viele Betriebe aufgegliederten Unternehmen die Frage nach einer entsprechenden Umsetzung mit einem überschaubaren Aufwand. Hier bietet aber die IT eine vergleichsweise einfache Lösung: Einzelne AN können ihre Einwilligung/Zustimmung durch tokenbasierte Authentifizierung erteilen.* Diese Einwilligung wird im System hinterlegt. Der AG schaltet daraufhin einen Zugang zu den Daten der zustimmenden AN im Personalinformationssystem für den BR frei. Zugleich ermöglicht der Token dem AG den Nachweis für das Vorliegen einer entsprechenden Einwilligung des einzelnen AN.* Die Einwilligung erfolgt zugleich gegenüber dem BR wie auch dem AG: Der AG darf bzw muss dem BR bestimmte Daten zur Einsichtnahme zur Verfügung stellen, der BR darf diese für bestimmte Zwecke (im Rahmen der Einwilligungserklärung)* verarbeiten. Der Widerruf der Einwilligung kann technisch ebenso leicht umgesetzt werden. Trotz der jederzeitigen Widerruflichkeit der Einwilligung wäre eine (zeitlich) befristete Zustimmung uE zu präferieren. Die Einwilligung erfolgt daher für eine bestimmte Dauer 405(und könnte im Übrigen selbst während dieser Dauer nach den Vorgaben der DSGVO, also auch ohne Begründung, jederzeit widerrufen werden). Mit Auslaufen der zeitlichen Befristung verliert die Einwilligung jedenfalls und automatisch ihre Gültigkeit.

Einer Einigung zwischen AG und BR bedarf es hinsichtlich des Umfangs der Zugänglichkeit von Daten (welches Betriebsratsmitglied/welches gemäß ArbVG zuständige konkrete Organ der Belegschaftsvertretung [als Kollegialorgan], welcher [übergeordnete] Zweck, für welchen Zeitraum, etc) und einer den rechtlichen Anforderungen entsprechenden Ausgestaltung der Einwilligungserklärung der einzelnen AN. Hierfür bietet sich eine BV als Grundlage zur Schaffung der rechtlichen Rahmenbedingungen an.* In dieser sollte auch eine Zweckbindung aufgenommen werden, also geregelt werden, für welche (übergeordneten) Zwecke der BR derartige Daten verwenden darf. Weiters wäre es – soweit nicht ohnedies rechtlich notwendig – sinnvoll, dem BR als eigenständig Verantwortlichen iSd Art 4 Z 7 DSGVO, allenfalls auch den einzelnen Betriebsratsmitgliedern – auch in deren Interesse – Datensicherheitsmaßnahmen in einer solchen BV vorzuschreiben.*

2..
Die datenschutzkonforme Ausgestaltung der Vertraulichkeit des E-Mail-Postfachs des BR

Es gibt kaum mehr ein Unternehmen, in dem nicht auch die Mitglieder des BR über ein betriebliches E-Mail-Postfach kommunizieren. Bei Vorliegen bestimmter Voraussetzungen besteht gem § 72 ArbVG ein Anspruch des BR auf Zurverfügungstellung einer solchen Infrastruktur.* Manchmal gibt es zwar eigene Postfächer für die Ausübung der Funktion als Betriebsratsmitglied.* Selbst wenn keine solche Differenzierung erfolgt, sind Betriebsratspostfächer aber in der Regel personalisiert. Das E-Mail-System wird in der Regel vom AG betrieben, jedenfalls unter dessen Einfluss als Verantwortlicher. Im Zusammenhang mit dem Betreiben des E-Mail-Systems treffen den AG als Verantwortlichen iSd DSGVO sohin auch allfällige Protokollierungspflichten und die Pflicht zur Implementierung sonstiger Datensicherheitsmaßnahmen. Rein faktisch – unabhängig von der Frage der rechtlichen Zulässigkeit – kann sich der AG deshalb Zugang auch zur Kommunikation einzelner Betriebsratsmitglieder (untereinander, mit Belegschaftsangehörigen und mit AK/ÖGB) verschaffen* und damit auch zum Nachteil der Gesamtbelegschaft oder einzelner AN nachvollziehen, wie die Betriebsratsmitglieder ihre Funktion ausüben oder welche AN eine Beratung in Anspruch nehmen.

Das deutsche Bundesarbeitsgericht* hat zur (in ­Bezug auf diesen Problemaufriss) ähnlichen deutschen Rechtslage bereits aufgezeigt, wie das Zusammenspiel Datensicherheit und Vertraulichkeit der ­Betriebsratskommunikation funktionieren könnte, nämlich durch einen sogenannten „Gruppenaccount“, dh alle Mitglieder des BR nutzen gemeinsam einen Account. Damit fällt nämlich zumindest die Möglichkeit der Zuordnung bestimmter betriebsverfassungsrechtlicher Tätigkeiten und Kommunikation zu einzelnen Betriebsratsmitgliedern (mit Hilfe der Protokolldaten) weg. Mangels eines namentlichen Postfachs ist die Korrespondenz nicht einem bestimmten Mitglied des BR, sondern lediglich dem BR als Kollegialorgan zuordenbar.* Was aber, wenn die gebotene Datensicherheit, insb auf Grund einer risikobasierten Wertung, dennoch nach einer Einzel-Zuordnung verlangt?

Nach hA ist der BR in Österreich als Verantwortlicher iSd DSGVO zu qualifizieren.* ISd Ausführungen der vorzitierten E des BAG ist der BR selbst dem Datenschutz verpflichtet und hat eigenverantwortlich über Maßnahmen zu beschließen, um den Anforderungen des Datenschutzrechts gerecht zu werden.* Aus der (auch) datenschutzrechtlichen Eigenverantwortlichkeit des BR – jedenfalls in Österreich – folgt dessen Pflicht, für die Eingabekontrolle Sorge zu tragen und zu gewährleisten, dass auch nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Die danach grundsätzlich gebotene individuelle Zugangsregelung (iSe ID- und Access-Managements) zum gemeinsam genutzten Betriebsrats-PC setzt jedoch nicht zwingend einen für den AG erkennbaren personalisierten Zugang zum PC voraus. Eine geeignete Eingabekontrolle lässt sich auch anders konfigurieren, etwa über ID-Eingaben, 406deren persönliche Zuordnung nicht dem AG, sondern nur dem BR bekannt ist (zB durch die Bezeichnungen als BR 1, BR 2, BR 3 usw). (Auch erlaubte, erst recht missbräuchliche) Datenmanipulationen durch einzelne Betriebsratsmitglieder müssen iSd Vorgaben der DSGVO nachvollziehbar sein, die Verantwortung dafür liegt (aber) beim BR, nicht beim AG. Damit ist dem AG eine Zuordnung nicht möglich, den Vorgaben der DSGVO wird aber entsprochen, weil die Datenschutzbehörde im Beschwerdefall eine entsprechende Offenlegung vom BR verlangen bzw erzwingen könnte. Die Betriebsparteien verfolgen naturgemäß gegenläufige Interessen, auch wenn beide auf einen Interessenausgleich zum Wohl der AN und des Betriebes hinwirken sollen.* Diese im Betriebsverfassungsrecht verankerte „Rollenverteilung“ gebietet und rechtfertigt zugleich diese ausdifferenzierte Maßnahme des ID- und Access-Managements in Bezug auf das E-Mail-Postfach des BR. Der AG als Verantwortlicher iSd DSGVO ist in diesem Umfang entlastet, weil der BR (im Unterschied zur bundesdeutschen Rechtslage) als ebenfalls selbständig Verantwortlicher iSd DSGVO entsprechend zuständig und rechtlich verantwortlich ist.

Neu geschaffene „BR-Apps“ und Cloud-Lösungen,* bei denen der ÖGB oder einzelne Fachgewerkschaften als Auftragsdatenverarbeiter auftreten, ermöglichen dem BR und seinen Mitgliedern darüber hinaus das Verlassen der Informations- und Kommunikationstechnik-(IKT-)Umgebung des AG. Erst in dieser autonomen IKT-Umgebung wird eine vom Verhalten des AG unabhängige (und damit Vertraulichkeit garantierende) digitale Kommunikation bzw ein entsprechendes digitales Agieren möglich.

3..
Aufnahme von datenschutzkonformen Klauseln zum Datentransfer in Sozialpläne oder allgemeine Betriebsvereinbarungen

Aus vielen Gründen – rechtlichen* wie faktischen* – sehen Sozialpläne gem § 109 Abs 3 ArbVG im Vergleich zu früher immer differenziertere Regelungen vor, die es dem AG und/oder dem BR ermöglichen sollen, Härten eines Personalabbaus möglichst treffsicher abzufedern. Beide Betriebsparteien, BR wie AG, haben daran Interesse. Um eine möglichst „gerechte“ Verteilung vorhandener finanzieller Mittel zu ermöglichen, sind mitunter viele Daten aller oder der meisten von einem Personalabbau betroffenen AN erforderlich. Oftmals ist es – je nach Restrukturierung und Gliederung eines Unternehmens/Betriebs, des Ausmaßes und der Betroffenheit der Belegschaft – mitunter auch notwendig, die von einem Personalabbau nicht betroffenen AN in eine vergleichsweise Betrachtung einzubeziehen. Dafür ist, um diese Aufgabe treffsicher erfüllen zu können, die Verarbeitung einer Vielzahl personenbezogener Daten auch dieser Gruppe notwendig, jedenfalls aber sinnvoll. Je nach Ausgestaltung des Sozialplans empfiehlt sich daher zur rechtlichen Absicherung eines Datentransfers zwischen AG und BR die ausdrückliche Aufnahme einer Klausel zum Umfang des zulässigen Datentransfers in den Sozialplan. Um diesen Umfang festlegen und darauf gründend die Klausel gestalten zu können, empfiehlt es sich, folgende Fragen abzuarbeiten:

Welche Daten dürfen zu welchen Zwecken, die ihren Grund im Sozialplan bzw der diesem vorgelagerten Betriebsänderung iSd § 109 ArbVG haben müssen, zum BR transferiert werden? Was sind die Voraussetzungen dafür? Welche Datensicherungsmaßnahmen muss der BR ergreifen, um diesbezüglich eine Datensicherheit iSd DSGVO zu gewährleisten? In welcher Art und Weise darf der BR diese so erhaltenen Daten weiterverarbeiten? Wie sieht ein entsprechendes Löschkonzept aus?

Nach der hier vertretenen Ansicht, wonach eine ­normative BV iVm Art 88 Abs 1 DSGVO eine taug­liche Rechtsgrundlage für eine Datenverarbeitung nach der DSGVO bilden kann, wäre für einen solchen Datentransfer damit eine sowohl betriebsverfassungsrechtliche als auch datenschutzrechtliche Rechtsgrundlage geschaffen. Geht mit der (zulässigen) Zurverfügungstellung von personenbezogenen Daten und deren Verarbeitung durch den BR im Zuge eines Sozialplans eine umfangreiche („systematische“) Verarbeitung personenbezogener AN-Daten einher, ist vor allem, aber keineswegs nur aus Sicht des BR, in diesem Zusammenhang datenschutzrechtlich auch zu bedenken, dass zumindest zeitlich befristet die Voraussetzungen für die Bestellung eines DPO (Data Protection Officers [Datenschutzbeauftragten]) nach Art 37 Abs 1 DSGVO vorliegen könnten und der BR als iSd DSGVO eigenständig Verantwortlicher sohin auch einen DPO bestellen muss.*

Neben der in Kap 1 aufgezeigten Möglichkeit, unter Einsatz technischer Hilfsmittel vor allem in größeren Unternehmen die Einwilligung einzelner AN als Rechtsgrundlage für einen „freiwilligen“ Datentransfer zu nutzen, bietet sich ganz allgemein die BV iVm Art 88 DSGVO als spezifische beschäftigtendatenschutzrechtliche Rechtsgrundlage für (betriebsverfassungsrechtlich verpflichtende oder freiwillige) Datentransfers an. Die Betriebsparteien sind bei der Schaffung solcher Grundlagen aber nicht gänzlich frei. 407Zunächst bedarf es eines geeigneten normativen ­Betriebsvereinbarungstatbestandes im ArbVG.* Weiters ist zu beachten, dass das ArbVG für Betriebsvereinbarungsregelungen und damit auch datenschutzrechtliche Grundlagen iVm Art 88 DSGVO die äußerste Grenze zweiseitig zwingend* vorgibt. Mangels Einwilligung des einzelnen AN kann die BV eine taugliche Rechtsgrundlage entweder gem Art 88 Abs 1 iVm Art 6 Abs 1 lit c oder lit f DSGVO sein.* Bezüglich der Mitwirkung in sozialen Angelegenheiten kommen neben (Betriebsvereinbarungs-)Sozialplänen zB auch Betriebsvereinbarungen über Wohlfahrtseinrichtungen in Betracht, deren sinnvolle und effiziente Verwaltung abhängig von der konkreten Wohlfahrtseinrichtung die Verarbeitung personenbezogener Daten von AN erfordert.

Aber auch die Gestaltung von Betriebsvereinbarungen nach den §§ 96 Abs 1 Z 3 und 96a Abs 1 Z 1 und Z 2 sollte unter Beachtung der Vorgaben der DSGVO und der datenschutzrechtlichen Rollenverteilung neu gedacht werden. Oftmals sehen derartige Betriebsvereinbarungen entsprechende Kontrollrechte des BR vor, die im normativen Teil verankert sein müssen, um von der Öffnungsklausel des Art 88 DSGVO Gebrauch machen zu können. Diese sollen es dem BR im Interesse der Belegschaft und des einzelnen AN ermöglichen, die Einhaltung solcher Betriebsvereinbarungen sicherzustellen. In der Regel werden aber auch dafür personenbezogene Daten von AN durch den BR zu diesem Kontrollzweck ­verarbeitet werden müssen. Auch hier empfiehlt sich die Schaffung einer klaren Rechtsgrundlage durch BV.* Es sollten bestimmte Mechanismen, begleitet von Datensicherungsmaßnahmen, in dieser BV selbst normiert werden. Was sind die Voraussetzungen für eine Kontrolle durch den BR? Welche Daten in welchem Ausmaß – zB hinsichtlich welchen Zeitraums – dürfen für eine Kontrolle verarbeitet werden? Ist die eigenständige Verarbeitung durch den BR notwendig und verhältnismäßig oder reicht es nicht vielmehr aus, dass der BR eine Bildaufzeichnung im Beisein eines Vertreters des AG einsehen kann? Bedarf es nach § 91 Abs 2 Satz 3 ArbVG der Zustimmung einzelner AN? Muss ein Protokoll darüber angefertigt werden und wenn ja, in welcher Form? Was ist Mindestinhalt einer solchen nach der DSGVO grundsätzlich gebotenen Protokollierung? Hier können und sollten in einer BV, zB über eine Videoüberwachung, konkrete Voraussetzungen und Mechanismen normativ geschaffen werden. Diese müssen den Vorgaben des Art 88 Abs 2 DSGVO entsprechen, damit die BV selbst taugliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein kann.* Hinsichtlich der Konkretisierung der von Art 88 Abs 2 DSGVO geforderten Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen AN kann wohl auf die bestehende Rsp und Literatur zur Menschenwürde iSd § 96 Abs 1 Z 3 ArbVG als hilfreicher Leitfaden zurückgegriffen werden.

4..
Resümee

Auch den Belegschaftsvertretungsorganen stehen generell alle Erlaubnistatbestände der DSGVO zur Verfügung, um eine Datenverarbeitung – innerhalb des durch das ArbVG (zweiseitig) zwingend vorgegebenen Rahmens – zu rechtfertigen. Insb können Betriebsvereinbarungen vom datenschutzrecht­lichen Erlaubnistatbestand des Art 6 Abs 1 lit f DSGVO (Interessenabwägung) dergestalt Gebrauch machen, dass sie – unter der Voraussetzung der Einhaltung der Grundsätze der DSGVO, insb unter Setzung von hinreichenden Datensicherheitsmaßnahmen, und unter Wahrung der Persönlichkeitsrechte der betroffenen AN – die dort vorgegebene allgemein formulierte Interessenabwägung durch eine präzise betriebliche Ausgestaltung konkretisieren. Solange kein entsprechend präzises gesetzliches Beschäftigtendatenschutzrecht existiert, obliegt es sohin den betrieblichen Sozialpartnern, iSd Rechtssicherheit transparente Datenverarbeitungen zu normieren und damit betriebsbezogen praxissicher zu ermöglichen.408