Datenschutz

Mitwirkungsbefugnisse des Betriebsrats bei der Verarbeitung von Beschäftigtendaten

Die DSGVO hat viele Neuerungen mit sich gebracht. Die Mitwirkungsbefugnisse des Betriebsrats werden allerdings nicht beschnitten. Doch welche Befugnisse haben Betriebsrät:innen bei der Verarbeitung von Mitarbeiter:innen-Daten? Und welche Neuerungen hat die DSGVO konkret mit sich gebracht?
Martina Chlestil
18.05.2022
in diesem Artikel

    Mitwirkungsbefugnisse des Betriebsrats und die DSGVO

    In Betrieben kommen zahlreiche Informations- und Kommunikationssysteme zur Anwendung, die Daten von Mitarbeiter:innen verarbeiten. Das Arbeitsverfassungsgesetz (ArbVG) stellt dem Betriebsrat Regelungen zur Verfügung, die es ihm ermöglichen, die Interessen der Beschäftigten bei der Verwendung ihrer Daten im Betrieb zu wahren.

    Das Verhältnis von Arbeitsverfassungsrecht und Datenschutzrecht?

    Der OGH hat bereits im Jahr 2014 bestätigt, dass es sich bei den Befugnissen des Betriebsrats um Pflichtbefugnisse handelt, die durch das (damals anzuwendende) Datenschutzgesetz 2000 nicht beschränkt werden. Seit 25. Mai 2018 gilt ein neues Datenschutzrecht: Das ist zum einen die Europäische Datenschutz-Grundverordnung (DSGVO) und zum anderen das Datenschutzgesetz (DSG).

    Zur Frage des Verhältnisses von Arbeitsverfassungsrecht und Datenschutzrecht ist festzuhalten, dass auch das „neue“ Datenschutzrecht – wie schon in gleicher Weise das DSG 2000 und das DSG 1978 – generell nicht in die Betriebsverfassung eingreifen will.

    Betriebsrat muss sich ebenfalls an DSGVO halten

    Die Mitwirkungsbefugnisse des Betriebsrats nach dem ArbVG werden durch die DSGVO und das DSG nicht beschnitten. Zu beachten ist aber, dass die Datenverarbeitung durch den Betriebsrat und dessen Mitglieder ebenfalls datenschutzkonform, insbesondere unter Einhaltung entsprechender Datensicherheitsmaßnahmen etc. zu erfolgen hat.


    Welche Mitwirkungsbefugnisse hat der Betriebsrat bei der Verarbeitung von Beschäftigten-Daten?

    Die Mitwirkungsbefugnisse des Betriebsrats bilden so neben dem individuellen Schutz der Beschäftigten durch die DSGVO und das DSG eine zusätzliche Beschränkung der Unternehmen im Umgang mit Beschäftigtendaten durch kollektive Befugnisse.

    Folgende Mitwirkungsbefugnisse stehen dem Betriebsrat bei der Verarbeitung von Beschäftigtendaten zu:

    1. Überwachungsrecht des Betriebsrats nach § 89 ArbVG

    Durch die in § 89 Satz 1 ArbVG enthaltene Generalklausel ist ein umfassendes Überwachungsrecht des Betriebsrats bezüglich der Einhaltung aller die Arbeitnehmer:innen berührenden Normen (insbesondere im Arbeits-, Steuer- und Sozialversicherungsrecht) sichergestellt. Dabei kommt es nicht darauf an, ob sich solche Normen aus Gesetz, Verordnung, Kollektivvertrag, Satzung, Mindestlohntarif oder Betriebsvereinbarung oder Einzelarbeitsvertrag ergeben.

    2. Informationspflicht des Arbeitgebers nach § 91 Abs 2 ArbVG

    Der Betriebsrat kann sich nach § 91 Abs 2 ArbVG genaue Kenntnis darüber verschaffen, welche Beschäftigtendaten aufgezeichnet werden, zu welchem Zweck deren Aufzeichnung bzw. Verwendung erfolgt und welche Verknüpfungs-, Auswertungs- oder Verarbeitungsmöglichkeiten durch den Einsatz der jeweiligen Systeme möglich sind. 

    3. Betriebsvereinbarungstatbestände nach §§ 96, 96a und 97 ArbVG

    Damit beim Umgang mit personenbezogenen Daten im Betrieb die Interessen der Beschäftigten gewahrt werden, hat der Gesetzgeber im ArbVG unterschiedliche Betriebsvereinbarungstatbestände zur Verfügung gestellt. In den §§ 96 und 96a ArbVG ist angeführt, welche Systeme bzw. Maßnahmen, die personenbezogen Daten von Arbeitnehmer:innen ermitteln und weiterverwenden, nur nach Abschluss einer Betriebsvereinbarung eingesetzt werden dürfen. Fällt ein System weder unter § 96 ArbVG noch unter § 96a ArbVG, kann unter Umständen eine Betriebsvereinbarung nach § 97 ArbVG abgeschlossen werden.

    FACTBOX

    DSGVO und DSG

    Die Mitwirkungsbefugnisse des Betriebsrats bilden neben dem individuellen Schutz der Arbeitnehmer:innen durch die DSGVO und das DSG eine zusätzliche Beschränkung der Arbeitgeber:innen im Umgang mit Beschäftigtendaten durch kollektive Befugnisse.

    Welche wesentlichen Änderungen brachte das seit 25. Mai 2018 geltende Datenschutzrecht?

    Die DSGVO sieht umfassende Dokumentations- und Nachweispflichten auf Unternehmensebene vor. Die Meldung an das Datenverarbeitungsregister (DVR) ist mit 25. Mai 2018 weggefallen. Es müssen die Verantwortlichen (in der Regel die Arbeitgeber) selbst die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (etwa Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung u. a.) nachweisen (Accountability). Der Nachweis wird in der Regel durch eine entsprechende Dokumentation erfolgen. Gefordert wird auch die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen, die ein Schutzniveau bieten, das dem mit der beabsichtigten Verarbeitung geschaffenen Risiko für die betroffenen Personen angemessen ist, und die Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Eigens geregelt ist die Durchführung einer Datenschutz-Folgenabschätzung.

    Die Rechte der Betroffenen wurden erweitert

    So haben betroffene Personen zum Beispiel ein Recht auf transparente Information bei der Erhebung bzw. Verarbeitung ihrer Daten, das Recht auf Auskunft sowie auf eine Kopie der Daten, die Gegenstand der Verarbeitung sind oder das Recht auf Berichtigung und Löschung ihrer Daten.

    Ein Datenschutzbeauftragter muss ernannt werden

    Die Benennung von Datenschutzbeauftragten ist verpflichtend vorgesehen, und zwar bei allen öffentlichen Stellen und bei solchen nicht öffentlichen Stellen, bei denen besonders risikoreiche Datenverarbeitungen erfolgen.

    Die Datenschutzbehörde hat eine Vielzahl an Aufgaben und Befugnissen dazubekommen, um für die Einhaltung des Datenschutzes in Österreich zu sorgen.

    Und schließlich ist auch der Strafrahmen für Verstöße gegen die DSGVO ist massiv erhöht worden.