Zum Hauptinhalt springen

Paradigmenwechsel beim Datenschutz

Von Dominik Stella und Jens Winter

Recht

Der Nationalrat hat die Novellierung des Datenschutzgesetzes beschlossen - was folgt daraus für das Arbeitsrecht?

Hinweis: Der Inhalt dieser Seite wurde vor 7 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Die Datenschutz-Grundverordnung der EU (DSGVO) ist im Anrollen und bringt für Unternehmen und damit auch Arbeitgeber einen Paradigmenwechsel. Am Donnerstag hat im Zuge dessen in Österreich der Nationalrat die Novellierung des Datenschutzgesetzes beschlossen. Bei der Konkretisierung der DSGVO wurden nämlich nationale Spielräume gelassen. Zustimmung kam nur von der Koalition. Die Opposition beklagte vor allem die überstürzte Vorgangsweise.

Ersetzt wird insbesondere die Meldung von Datenanwendungen beim behördlichen Datenverarbeitungsregister. Verantwortliche (bisher "Auftraggeber"), aber auch Auftragsverarbeiter (bislang "Dienstleister") müssen künftig selbst Verfahrensverzeichnisse erstellen, die auf Anfrage der Behörde vorzulegen sind. Weiters haben Verantwortliche bei der Datenverarbeitung künftig - abhängig von Natur, Umfang, Kontext und Risiken und der verfügbaren Technologien und Implementierungskosten - geeignete technische und organisatorische Maßnahmen (etwa Pseudonymisierung) zu ergreifen, damit die Rechte der betroffenen Personen umfassend geschützt werden ("privacy by design/privacy by default").

Datenschutz-Folgenabschätzung

Neu ist auch, dass Unternehmer bei Verarbeitungsvorgängen, die etwa bei Verwendung neuer Technologien voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen zur Folge haben, eine Pflicht zur Datenschutz-Folgenabschätzung trifft. Bestimmte Unternehmen, insbesondere öffentliche Stellen, werden zudem verpflichtend einen Datenschutzbeauftragten bestellen müssen. Dieser ist bei Erfüllung seiner Aufgaben weisungsfrei.

Verstößt ein Unternehmen gegen diese Pflichten, sind empfindliche Verwaltungsstrafen vorgesehen. Liegt der Strafrahmen derzeit bei maximal 25.000 Euro, sieht die DSGVO bis zu 20 Millionen Euro oder, falls höher, 4 Prozent des (weltweiten) Konzernumsatzes vor. Unternehmen stehen somit vor zahlreichen Neuerungen, deren Nichtbeachtung oder nicht rechtzeitige Umsetzung im Einzelfall teure Folgen nach sich ziehen können.

Im Nationalrat war eine - zuletzt im Verfassungsausschuss weitgehend überarbeitete - Regierungsvorlage für ein Datenschutz-Anpassungsgesetz 2018 eingebracht worden, die die unmittelbar anwendbare DSGVO in nationales Recht "einbetten" soll. Weite Teile des bisherigen Datenschutzgesetzes 2000 (DSG 2000) und viele darauf beruhende Verordnungen sollen außer Kraft treten. Die Novelle des Datenschutzgesetzes sieht keine materiell eigenständigen Bestimmungen zum Arbeitsrecht respektive ein Beschäftigungsdatenschutzrecht vor. Paragraph 11 hält lediglich fest, dass das Arbeitsverfassungsgesetz (ArbVG), soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO ist und die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse unberührt bleiben. Dieses "Unberührtbleiben" ist nichts Neues. Nach gefestigter Rechtsprechung erfolgte durch das Datenschutzrecht schon bisher kein Eingriff in die Mitwirkungsrechte der Belegschaft, das heißt, die Befugnisse des Betriebsrats nach dem ArbVG wurden durch das DSG 2000 nicht beschnitten.

Rechtlich spannender ist der erste Halbsatz von Paragraph 11 in der Novelle. Art 88 DSGVO gestattet den Mitgliedsstaaten betreffend Datenverarbeitung im Beschäftigungskontext spezifische Vorschriften durch Kollektivvertrag oder Betriebsvereinbarung zu schaffen. Paragraph 11 schafft die rechtlich notwendige, nationale Kompetenzgrundlage dafür und umfangreiche Gestaltungsmöglichkeiten für die (über-)betrieblichen Sozialpartner.

Davon abgesehen trägt die Novelle unmittelbar aber wenig zur Lösung des seit jeher bestehenden Spannungsverhältnisses zwischen Arbeits- und Datenschutzrecht bei. Vielmehr gilt die bisherige Rechtslage mit den bestehenden Unsicherheiten unverändert fort. Auch zukünftig muss jeder Arbeitgeber, der Arbeitnehmerdaten verarbeiten will, sowohl die Vorgaben des Datenschutzrechts als auch jene des Arbeitsrechts beachten.

Kontrolle der Arbeitnehmer

Bei der Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschwürde berühren, wie etwa die in der Praxis nicht wegzudenkende digitale Telefonanlage, ist in der Regel eine Betriebsvereinbarung abzuschließen (Paragraph 96 ArbVG). Ebenso bedarf die Einführung von automationsunterstützen Personaldatensystemen und von Systemen zur Personalbeurteilung der Zustimmung des Betriebsrates (Paragraph 96a ArbVG).

Unklar bleibt vorerst, ob durch die Qualifikation des ArbVG als Vorschrift im Sinne des Art 88 DSGVO auch das Haftungsregime der DSGVO (erhebliche Geldbußen) direkt auf das ArbVG zur Anwendung kommt. Die DSGVO sieht vor, dass alle Pflichten, die Mitgliedstaaten im Rahmen des Art 88 DSGVO erlassen, mit den Geldbußen der DSGVO zu sanktionieren sind. Würde die Benennung des ArbVG - und vor allem die in Art 88 Abs 3 DSGVO geforderte Notifikation dieser Bestimmungen an die EU-Kommission - diesen Sanktionsmechanismus direkt auslösen, folgte daraus, dass allein der Nichtabschluss einer nach dem ArbVG notwendigen Betriebsvereinbarung mit einer Geldbuße sanktioniert wäre.

Nicht zuletzt deshalb sollte auch Datenschutz im Arbeitsrecht zum bedeutsamen Compliance Thema werden. Die DSGVO verlangt Arbeitgebern bei der Verarbeitung von Arbeitnehmerdaten mehr Eigenverantwortung und Sensibilität ab. Die Zulässigkeit von Datenanwendungen, die auch sensible Daten enthalten, wird nicht mehr wie bisher vorab durch die Datenschutzbehörde überprüft und damit "legitimiert". Die vormalige Datenschutzbehörde wird im Wesentlichen zur Strafbehörde, der erhebliche Strafdrohungen zur Verfügung stehen, um den Schutz personenbezogener Daten zu gewährleisten.

Bis zum Inkrafttreten der DSGVO und des Datenschutz-Anpassungsgesetzes mit 25. Mai 2018 empfiehlt es sich, die eigenen Datenanwendungen sorgfältig zu prüfen und Verfahrensverzeichnisse zu erstellen. Dabei sollte auch dem Arbeitsrecht Bedeutung beigemessen werden. Gerade im Arbeitsverhältnis werden sehr viele personenbezogene Daten verarbeitet. Sollten Betriebsvereinbarungen (oder bei Fehlen eines Betriebsrats Individualvereinbarungen nach Paragraph 10 Abs 1 AVRAG) bisher nicht abgeschlossen worden sein, sollte dies rechtzeitig nachgeholt werden.