Was ist die Folge?
Ist eine fehlende Betriebsvereinbarung iSd §§ 96ff ArbVG ein Anlass zu einer Geldbuße iSd Art 83 (3) lit DSGVO?
Einige Bestimmungen der DSGVO verpflichten die Mitgliedstaaten nach Umsetzung oder Ausnutzung einer Öffnungsklausel, die relevanten nationalen Bestimmungen der EU-Kommission mitzuteilen ("Notifikation")
Diese Mitteilungspflicht ergibt sich u.a. aus folgenden Bestimmungen der DSGVO für die Österreich auch eine Notifikation vorgenommen hat:
Art 51 Abs 4 – Aufsichtsbehörden
Art 84 Abs 2 – Vorschriften für andere Sanktionen
Art 85 Abs 3 – Verarbeitung und freie Meinungsäußerung und Informationsfreiheit
Folgende Bestimmungen wurden vom Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz (BMVRDJ) am 24.05.2018 notifiziert, dh vor Geltungsbeginn der DSGVO:
Art 51 Abs 4 DSGVO, dh iZhg mit den Aufsichtsbehörden: §§ 18 bis 23, 35 DSG, diejenigen Regelungen, die die organisatorischen Vorschriften für die Österreichische Datenschutzbehörde aber auch verfahrensrechtliche Vorschriften zB die „Verfallsfrist“ für Beschwerden des § .. DSG enthalten.
Art 84 Abs 2 DSGVO, dh iZhg mit zusätzlichen Sanktionsmöglichkeiten für etwaige Verstöße: Die Verwaltungsstrafbestimmung des § 62 DSG und die Bestimmung des § 63 DSG (Datenverarbeitung in Gewinn- und Schädigungsabsicht).
Art 85 Abs 3 DSGVO – in Bezug auf die Verarbeitung von personenbezogenen Daten und freie Meinungsäußerung und Informationsfreiheit die Bestimmung des § 9 DSG (Medienprivileg) iVm dem Mediengesetz, wobei es dazu bereits eine erste Entscheidung der Datenschutzbehörde (Stichwort: Löschung eines Postings in einem Internetforum) gibt, die sehr weitgehend ist, da § 9 DSG auch die Zuständigkeit der Datenschutzbehörde ausschließt.
keine Notifikation von arbeitsrechtlichen Vorschriften -- Was ist die Folge?
Auch Art 88 Abs DSGVO normiert eine Verpflichtung zur Notifikation im Bereich der Datenverarbeitung im Beschäftigungskontext. Die Bestimmungen des ArbVG (insbes. zur Mitwirkung des Betriebsrates; siehe zB §§ 89 ff oder §§ 96 ff ArbVG mit der Verpflichtung Betriebsvereinbarungen abzuschließen) oder auch § 10 AVRAG wurden jedoch nicht als derartige Bestimmungen notifiziert.
Art 83 Abs 5 lit d DSGVO legt fest, dass Geldstrafen auch verhängt werden können, wenn gegen Pflichten gemäß den Rechtsvorschriften der Mitgliedsstaaten verstoßen wird, die im Rahmen des Kapitel IX der DSGVO erlassen werden. Dazu gehören u.a. auch Pflicht aus Rechtsvorschriften zur Datenverarbeitung im Rahmen des Beschäftigungskontextes.
Dazu führt zB Illibauer in Knyrim, DatKomm Art 83 DSGVO RZ 104 f (Stand 1.10.2018, rdb.at) aus:
Die Notifizierungspflicht und die dahingehende Regelung in Art 83 Abs 5 lit d hätte den Schluss nahegelegt, dass die Maximalstrafe von 20 Mio Euro oder 4% des Jahresumsatzes sohin auch bei Verletzungen arbeitsbezogener Datenschutznormen drohen könnte. Der Nicht-Abschluss einer Betriebsvereinbarung gem § 96 f ArbVG hätte daher bereits zu einer enormen Strafe führen können.
I
m Hinblick auf Einsichtsrechte nach § 89 ArbVG, Auskunftsrecht und Auskunftspflicht nach § 91 Abs 1 und 2 ArbVG hätte die hohe Strafandrohung der DSGVO möglicherweise verneint werden können, da der Zweck der Auskunftspflicht nicht den von der Öffnungsklausel umfassten individuellen Arbeitnehmerdatenschutz betrifft.
Diffiziler gestaltete sich allerdings die Beurteilung hinsichtlich der Mitbestimmungspflicht nach § 96 Abs 1 Z 3 und § 96a ArbVG und die Frage nach dem Abschluss einer Betriebsvereinbarung. Allerdings wird auch hier ein rechtsdogmatischer Widerspruch in der „verwaltungsstrafrechtlichen Verknüpfung zwischen Arbeits- und Datenschutzrecht“ erkennbar, da die entsprechenden Bestimmungen des ArbVG zwar Zustimmungspflichten sind, aber keine materiell-rechtlichen Datenschutzbestimmungen darstellen.
Goricnik in Knyrim, Datkomm, Art 88 RZ 14 ff vertritt die Ansicht, dass eine Differenzierung vorgenommen werden muss. Dann wenn datenschutzrechtliche Verpflichtungen verletzt werden, zB wenn eine Videoüberwachung nicht den Vorgaben der §§ 12, 13 DSG entspricht und zur Kontrolle der Arbeitnehmer eingesetzt wird, kann eine Geldstrafe drohen. Dort wo es eine datenschutzrechtliche Rechtfertigung, zB datenschutzkonforme Videoüberwachung des Serverraumes aus berechtigtem Interesse, sowie einen legitimen Zweck gibt, aber (nur) die betriebsverfassungsrechtlich notwendige Betriebsvereinbarung fehlt, droht keine Geldstrafe.
Diese Ansicht ist mE überzeugend, da Art 83 Abs 3 lit d DSGVO von "Pflichten" spricht, und mE nur die Verletzung von datenschutzrechtlichen Verpflichtungen in Zusammenhang mit der Verarbeitung von Daten sanktioniert werden. Ob sich auch die Datenschutzbehörde dieser Ansicht anschließt, oder im Vorfeld prüft, ob eine Betriebsvereinbarung vorliegt, und dies als Verstoß gegen Norman ansieht, die die Verarbeitung von Daten im Beschäftigungskontext regeln, ist jedoch nicht absehbar, da keine Rechtssicherheit in diesem Punkt gegeben ist.
Es ist daher jedenfalls empfehlenswert, im Rahmen der Verarbeitung von personenbezogenen Daten von Arbeitnehmern die bestehenden Betriebsvereinbarungen zu prüfen und gegebenenfalls im Hinblick auf die Bestimmungen der DSGVO zu überarbeiten, oder Betriebsvereinbarungen für Verarbeitungsvorgänge abzuschließen, sofern diese über die notwendigen Verarbeitungen in Zusammenhang mit dem Arbeitsvertrag oder den gesetzlichen Vorgaben hinausgehen.
Kommentar schreiben