Datenverarbeitung im Beschäftigungskontext nach der DSGVO

Mit 25.05.2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die DSGVO sieht zwar kein eigenes Kapitel für den Arbeitnehmerdatenschutz vor, allerdings gibt es eine Öffnungsklausel nach Art 88 DSGVO.

Art 88 DSGVO sieht vor, dass die Mitgliedstaaten für personenbezogene Beschäftigungsdaten im Beschäftigungskontext spezifischere Regelungen erlassen dürfen. Nach § 11 DSG 2000 neu handelt es sich beim Arbeitsverfassungsgesetz – soweit es die Verarbeitung personenbezogener Daten regelt – um eine Vorschrift im Sinne des Art 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben hiervon unberührt.

Fraglich ist hier allerdings wie weit die Öffnungsklausel nach Art 88 DSGVO reicht und ob diese Bestimmung Einfluss auf die Mitbestimmungsrechte und Informationspflichten/rechte der Arbeitnehmer hat.

Nach derzeitiger Rechtslage muss ein Arbeitgeber bei einer Datenverarbeitung darauf achten, dass
– die Persönlichkeitsrechte des AN nicht verletzt werden,
– die Rechte des Betriebsrates – sofern einer der Tatbestände der betrieblichen Mitbestimmung erfüllt sind – gewahrt werden und
– die Bestimmungen des DSG 2000 eingehalten werden.

Da die DSGVO keine eigenen Regelungen zum Arbeitnehmerdatenschutz vorsieht wird sich grundsätzlich nichts an dieser Prüfung ändern. Eine Rechtfertigung muss weiterhin auf jeder der drei oben angeführten Ebenen vorliegen. Es wird somit insofern die bisherige Rechtslage aufrechterhalten werden.

Daher ist auch künftig bei der Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschwürde berühren (so etwa regelmäßig bei Videoüberwachungen), eine Betriebsvereinbarung zwischen Betriebsinhaber und Betriebsrat abzuschließen (§ 96 ArbVG). Bereits abgeschlossene Betriebsvereinbarungen gelten weiterhin. Allerdings empfiehlt sich hier eine Durchsicht und Anpassung der Betriebsvereinbarungen sofern bestehende Betriebsvereinbarungen auf Regelungen des alten DSG 2000 Bezug nehmen.

Offen ist derzeit noch, ob durch den Hinweis auf das ArbVG in § 11 DSG 2000 Neu, die Haftungsregime der DSGVO (Geldbußen von bis zu EUR 20 Mio oder 4 % des weltweiten Konzernumsatzes) auf das ArbVG zur Anwendung kommt.

Art 83 Abs 5 lit d) DSGVO sieht vor, dass alle Pflichten, die von Mitgliedstaaten im Rahmen des Kapitel IX. erlassen wurden, mit den Geldstrafen der DSGVO zu sanktionieren sind. Durch die Auslösung dieses direkten Sanktionsmechanismus, würde dies bedeuten, dass allein der Nichtabschluss einer Betriebsvereinbarung künftig mit einem Strafrahmen von bis zu EUR 20 Mio sanktioniert wäre!

Betriebsvereinbarungen im Sinne des Art 88 DSGVO müssen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigen Interessen und der Grundrechte der betroffenen Personen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben und die Überwachungssysteme am Arbeitsplatz umfassen.

Nach dem ArbVG können nur vom Gesetz oder Kollektivvertrag vorgegebene Regelungstatbestände Inhalt einer Betriebsvereinbarung sein. Aus datenschutzrechtlicher Sicht ist hier vor allem auf die §§ 96 Abs 1 Z 3 und 96a ArbVG Bedacht zunehmen. Eine konkrete inhaltliche Ausgestaltung einer Betriebsvereinbarung ist dem österreichischen Recht grundsätzlich fremd. Was unter angemessenen und besonderen Maßnahmen im Sinne des Art 88 Abs 2 DSGVO genau zu verstehen ist, wird die Rechtsprechung des EuGH noch zeigen.

FAZIT:
Sollten Sie als Arbeitgeber keine Betriebsvereinbarungen bzw Individualvereinbarungen nach § 10 Abs 1 AVRAG abgeschlossen haben, sollte dies bis längstens 25.05.2018 unbedingt nachgeholt werden.

vgl  näheres hierzu: Josef Grünanger, Auswirkungen der DSGVO auf den Arbeitnehmer-Datenschutz in Österreich, ZAS 2017/55