Für Betriebsrät:innen und Personalvertreter:innen
In Betrieben kommen zahlreiche Informations- und Kommunikationssysteme zur Anwendung, die Daten von Mitarbeiter:innen verarbeiten. Das Arbeitsverfassungsgesetz (ArbVG) stellt dem Betriebsrat Regelungen zur Verfügung, die es ihm ermöglichen, die Interessen der Beschäftigten bei der Verwendung ihrer Daten im Betrieb zu wahren.
Der OGH hat bereits im Jahr 2014 bestätigt, dass es sich bei den Befugnissen des Betriebsrats um Pflichtbefugnisse handelt, die durch das (damals anzuwendende) Datenschutzgesetz 2000 nicht beschränkt werden. Seit 25. Mai 2018 gilt ein neues Datenschutzrecht: Das ist zum einen die Europäische Datenschutz-Grundverordnung (DSGVO) und zum anderen das Datenschutzgesetz (DSG).
Zur Frage des Verhältnisses von Arbeitsverfassungsrecht und Datenschutzrecht ist festzuhalten, dass auch das „neue“ Datenschutzrecht – wie schon in gleicher Weise das DSG 2000 und das DSG 1978 – generell nicht in die Betriebsverfassung eingreifen will.
Die Mitwirkungsbefugnisse des Betriebsrats nach dem ArbVG werden durch die DSGVO und das DSG nicht beschnitten. Zu beachten ist aber, dass die Datenverarbeitung durch den Betriebsrat und dessen Mitglieder ebenfalls datenschutzkonform, insbesondere unter Einhaltung entsprechender Datensicherheitsmaßnahmen etc. zu erfolgen hat.
Die Mitwirkungsbefugnisse des Betriebsrats bilden so neben dem individuellen Schutz der Beschäftigten durch die DSGVO und das DSG eine zusätzliche Beschränkung der Unternehmen im Umgang mit Beschäftigtendaten durch kollektive Befugnisse.
Folgende Mitwirkungsbefugnisse stehen dem Betriebsrat bei der Verarbeitung von Beschäftigtendaten zu:
Durch die in § 89 Satz 1 ArbVG enthaltene Generalklausel ist ein umfassendes Überwachungsrecht des Betriebsrats bezüglich der Einhaltung aller die Arbeitnehmer:innen berührenden Normen (insbesondere im Arbeits-, Steuer- und Sozialversicherungsrecht) sichergestellt. Dabei kommt es nicht darauf an, ob sich solche Normen aus Gesetz, Verordnung, Kollektivvertrag, Satzung, Mindestlohntarif oder Betriebsvereinbarung oder Einzelarbeitsvertrag ergeben.
Der Betriebsrat kann sich nach § 91 Abs 2 ArbVG genaue Kenntnis darüber verschaffen, welche Beschäftigtendaten aufgezeichnet werden, zu welchem Zweck deren Aufzeichnung bzw. Verwendung erfolgt und welche Verknüpfungs-, Auswertungs- oder Verarbeitungsmöglichkeiten durch den Einsatz der jeweiligen Systeme möglich sind.
Damit beim Umgang mit personenbezogenen Daten im Betrieb die Interessen der Beschäftigten gewahrt werden, hat der Gesetzgeber im ArbVG unterschiedliche Betriebsvereinbarungstatbestände zur Verfügung gestellt. In den §§ 96 und 96a ArbVG ist angeführt, welche Systeme bzw. Maßnahmen, die personenbezogen Daten von Arbeitnehmer:innen ermitteln und weiterverwenden, nur nach Abschluss einer Betriebsvereinbarung eingesetzt werden dürfen. Fällt ein System weder unter § 96 ArbVG noch unter § 96a ArbVG, kann unter Umständen eine Betriebsvereinbarung nach § 97 ArbVG abgeschlossen werden.
Die Mitwirkungsbefugnisse des Betriebsrats bilden neben dem individuellen Schutz der Arbeitnehmer:innen durch die DSGVO und das DSG eine zusätzliche Beschränkung der Arbeitgeber:innen im Umgang mit Beschäftigtendaten durch kollektive Befugnisse.
Die DSGVO sieht umfassende Dokumentations- und Nachweispflichten auf Unternehmensebene vor. Die Meldung an das Datenverarbeitungsregister (DVR) ist mit 25. Mai 2018 weggefallen. Es müssen die Verantwortlichen (in der Regel die Arbeitgeber) selbst die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (etwa Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung u. a.) nachweisen (Accountability). Der Nachweis wird in der Regel durch eine entsprechende Dokumentation erfolgen. Gefordert wird auch die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen, die ein Schutzniveau bieten, das dem mit der beabsichtigten Verarbeitung geschaffenen Risiko für die betroffenen Personen angemessen ist, und die Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Eigens geregelt ist die Durchführung einer Datenschutz-Folgenabschätzung.
So haben betroffene Personen zum Beispiel ein Recht auf transparente Information bei der Erhebung bzw. Verarbeitung ihrer Daten, das Recht auf Auskunft sowie auf eine Kopie der Daten, die Gegenstand der Verarbeitung sind oder das Recht auf Berichtigung und Löschung ihrer Daten.
Die Benennung von Datenschutzbeauftragten ist verpflichtend vorgesehen, und zwar bei allen öffentlichen Stellen und bei solchen nicht öffentlichen Stellen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen.
Die Datenschutzbehörde hat eine Vielzahl an Aufgaben und Befugnissen dazubekommen, um für die Einhaltung des Datenschutzes in Österreich zu sorgen.
Und schließlich ist auch der Strafrahmen für Verstöße gegen die DSGVO ist massiv erhöht worden.
