Rechtlich spannender ist der erste Halbsatz von Paragraph 11 in der Novelle. Art 88 DSGVO gestattet den Mitgliedsstaaten betreffend Datenverarbeitung im Beschäftigungskontext spezifische Vorschriften durch Kollektivvertrag oder Betriebsvereinbarung zu schaffen. Paragraph 11 schafft die rechtlich notwendige, nationale Kompetenzgrundlage dafür und umfangreiche Gestaltungsmöglichkeiten für die (über-)betrieblichen Sozialpartner.

Davon abgesehen trägt die Novelle unmittelbar aber wenig zur Lösung des seit jeher bestehenden Spannungsverhältnisses zwischen Arbeits- und Datenschutzrecht bei. Vielmehr gilt die bisherige Rechtslage mit den bestehenden Unsicherheiten unverändert fort. Auch zukünftig muss jeder Arbeitgeber, der Arbeitnehmerdaten verarbeiten will, sowohl die Vorgaben des Datenschutzrechts als auch jene des Arbeitsrechts beachten.

Kontrolle der Arbeitnehmer

Bei der Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschwürde berühren, wie etwa die in der Praxis nicht wegzudenkende digitale Telefonanlage, ist in der Regel eine Betriebsvereinbarung abzuschließen (Paragraph 96 ArbVG). Ebenso bedarf die Einführung von automationsunterstützen Personaldatensystemen und von Systemen zur Personalbeurteilung der Zustimmung des Betriebsrates (Paragraph 96a ArbVG).

Unklar bleibt vorerst, ob durch die Qualifikation des ArbVG als Vorschrift im Sinne des Art 88 DSGVO auch das Haftungsregime der DSGVO (erhebliche Geldbußen) direkt auf das ArbVG zur Anwendung kommt. Die DSGVO sieht vor, dass alle Pflichten, die Mitgliedstaaten im Rahmen des Art 88 DSGVO erlassen, mit den Geldbußen der DSGVO zu sanktionieren sind. Würde die Benennung des ArbVG - und vor allem die in Art 88 Abs 3 DSGVO geforderte Notifikation dieser Bestimmungen an die EU-Kommission - diesen Sanktionsmechanismus direkt auslösen, folgte daraus, dass allein der Nichtabschluss einer nach dem ArbVG notwendigen Betriebsvereinbarung mit einer Geldbuße sanktioniert wäre.

Nicht zuletzt deshalb sollte auch Datenschutz im Arbeitsrecht zum bedeutsamen Compliance Thema werden. Die DSGVO verlangt Arbeitgebern bei der Verarbeitung von Arbeitnehmerdaten mehr Eigenverantwortung und Sensibilität ab. Die Zulässigkeit von Datenanwendungen, die auch sensible Daten enthalten, wird nicht mehr wie bisher vorab durch die Datenschutzbehörde überprüft und damit "legitimiert". Die vormalige Datenschutzbehörde wird im Wesentlichen zur Strafbehörde, der erhebliche Strafdrohungen zur Verfügung stehen, um den Schutz personenbezogener Daten zu gewährleisten.

Bis zum Inkrafttreten der DSGVO und des Datenschutz-Anpassungsgesetzes mit 25. Mai 2018 empfiehlt es sich, die eigenen Datenanwendungen sorgfältig zu prüfen und Verfahrensverzeichnisse zu erstellen. Dabei sollte auch dem Arbeitsrecht Bedeutung beigemessen werden. Gerade im Arbeitsverhältnis werden sehr viele personenbezogene Daten verarbeitet. Sollten Betriebsvereinbarungen (oder bei Fehlen eines Betriebsrats Individualvereinbarungen nach Paragraph 10 Abs 1 AVRAG) bisher nicht abgeschlossen worden sein, sollte dies rechtzeitig nachgeholt werden.