modul 5: arbeitsrecht und datenschutz · 2 datenschutzbeauftragte im arbeitsrecht 2.1...
TRANSCRIPT
Modul 5: Arbeitsrecht und Datenschutz
Skriptum/Arbeitsunterlage
Autor: Univ.-Prof. DDr. Günther Löschnigg
Datum: September 2017 Version 1.0
Graz
Inhaltsverzeichnis
Inhaltsverzeichnis ......................................................................................................... 1
Abkürzungsverzeichnis ................................................................................................. 3
1 Arbeitsvertragsrecht – Ausgestaltung des Arbeitsverhältnisses .............................. 4
2 Datenschutzbeauftragte im Arbeitsrecht ................................................................ 5
2.1 Rechtsverhältnis? .................................................................................................. 5
2.2 Pflicht zur Übernahme der Tätigkeiten? ............................................................... 5
2.3 Benachteiligungs- und Abberufungsverbot .......................................................... 5
2.4 Integration in das betriebliche Datenschutzgeschehen ....................................... 6
2.5 Verschwiegenheitspflicht ...................................................................................... 6
2.6 Haftung .................................................................................................................. 7
3 Sonderfall Telearbeit ............................................................................................. 7
4 IT-Kollektivvertrag ................................................................................................. 8
5 Nutzung und Kontrolle von IKT am Arbeitsplatz...................................................... 9
6 ArbeitnehmerInnendatenschutz........................................................................... 11
6.1 Allgemeines zum Schutz der Arbeitnehmerdaten .............................................. 11
6.1.1 Unterschiedliche gesetzliche Geltungsbereiche ..................................... 11
6.1.2 StellenwerberInnen und ehemalige ArbeitnehmerInnen ....................... 12
6.1.3 Einzelfallbezogener – gruppenspezifischer Schutz ................................. 12
6.2 Fragerecht bzw Fragepflicht des Arbeitgebers/der Arbeitgeberin ..................... 13
6.3 Datenschutzrechtliche Grenzen .......................................................................... 15
6.3.1 Verarbeiten von Arbeitnehmerdaten ..................................................... 15
6.3.2 Übermitteln von Arbeitnehmerdaten ..................................................... 19
6.3.3 Rechte der ArbeitnehmerInnen .............................................................. 20
6.4 Mitwirkung des Betriebsrates ............................................................................. 21
6.4.1 Informationsrechte ................................................................................. 22
6.4.2 § 96a ArbVG ............................................................................................ 23
6.4.3 Sonstige Mitwirkungsrechte ................................................................... 25
6.5 Datenschutz und MitarbeiterInnenkontrolle ...................................................... 26
6.6 Arbeitsverhältnis und Videoüberwachung ......................................................... 29
6.7 Datensicherheit als Pflicht der ArbeitnehmerInnen ........................................... 30
7 IKT und ArbeitnehmerInnenschutz ....................................................................... 32
8 Belegschaftsorgane als Datenverarbeiter ............................................................. 33
Abkürzungsverzeichnis
ABGB Allgemeines Bürgerliches Gesetzbuch, JGS 946
ArbVG Arbeitsverfassungsgesetz, BGBl 1974/22
ASchG ArbeitnehmerInnenschutzgesetz, BGBl 1994/450
ASVG Allgemeines Sozialversicherungsgesetz, BGBl 1955/189
AVRAG Arbeitsvertragsrechts-Anpassungsgesetz, BGBl 1993/459
AZG Arbeitszeitgesetz, BGBl 1969/461
BDG Beamten-Dienstrechtsgesetz, BGBl 1979/333
B-VG Bundes-Verfassungsgesetz, StGBl 1920/450 idF BGBl 1930/1
DHG Dienstnehmerhaftpflichtgesetz, BGBl 1965/80
DSG 2000 Datenschutzgesetz 2000, BGBl I 1995/165
DSG neu Datenschutzgesetz, BGBl I 2017/120
DS-GVO Datenschutz-Grundverordnung 2016/679, ABl. L119 von 4.5.2016, S. 1-88
EA Einigungsamt
EMRK Europäische Menschenrechtskonvention, BGBl 1958/210
GlBG Gleichbehandlungsgesetz, BGBl I 2004/66
IKT Informations- und Kommunikationstechnologien
IT-KV Kollektivvertrag für Angestellte von Unternehmen im Bereich
Dienstleistungen in der automatischen Datenverarbeitung und
Informationstechnik
OGH Oberster Gerichtshof
StGG Staatsgrundgesetz über die allgemeinen Rechte der Staatsbürger,
RGBl 1867/142
UrlG Bundesgesetz betreffend die Vereinheitlichung des Urlaubsrechtes und die
Einführung einer Pflegefreistellung, BGBl 1976/76
VBG Vertragsbedienstetengesetz, BGBl 1948/86
VO Verordnung
1 Arbeitsvertragsrecht – Ausgestaltung des Arbeitsverhältnisses
4
1 Arbeitsvertragsrecht – Ausgestaltung des Arbeitsverhältnisses
Das Arbeitsrecht ist zwar reich an speziellen Gesetzen für gewisse ArbeitnehmerInnen-
gruppen (Journalistengesetz, Theaterarbeitsgesetz, etc), ein spezifisches Gesetz für Ar-
beitnehmerInnen im IKT-Bereich wurde bisher aber nicht erlassen.
MitarbeiterInnen im IKT-Bereich sind regelmäßig als Angestellte zu qualifizieren. Dement-
sprechend gelten das Angestelltengesetz und die entsprechenden arbeitsrechtlichen Son-
dergesetze (AZG, DHG, UrlG etc).
Spezifische Rechte und Pflichten finden sich aber in den Arbeitsverträgen von IKT-
MitarbeiterInnen. Beispiele hiefür sind:
Besondere Geheimhaltungspflichten im Zusammenhang mit der Datenermittlung
und Datenverwendung; in diesem Sinn sieht auch § 15 Abs 1 DSG (§ 6 Abs 1 DSG neu)
eine besondere Geheimhaltungspflicht vor (vgl 6.7.).
Aufgrund der Ausbildungs- und Weiterbildungsintensität im EDV-Bereich finden
sich in EDV-Verträgen auch regelmäßig Klauseln hinsichtlich der Rückforderung
von Ausbildungskosten. Die Rückforderung von EDV-Ausbildungskosten bzw die
Häufigkeit entsprechender Vertragsklauseln bildete letztlich auch den Grund für
die Bestimmung des § 2d AVRAG, der die Rückforderung von Ausbildungskosten
(nicht aber Einschulungskosten!) nur unter bestimmten Voraussetzungen erlaubt.
Jegliche Rückforderbarkeit von Ausbildungskosten setzt eine entsprechende Ver-
einbarung voraus.
Im Zusammenhang mit Datenschutzbeauftragten könnten oder müssten auch
Verpflichtungen zur Weiterbildung aufgenommen werden. Problematisch ist in
diesem Fall die Frage nach der Kostenlast.
2 Datenschutzbeauftragte im Arbeitsrecht
5
2 Datenschutzbeauftragte im Arbeitsrecht
2.1 Rechtsverhältnis?
Den für die Ausübung der Tätigkeit als Datenschutzbeauftragter zugrundeliegenden Ver-
tragstyp schreibt weder die Datenschutz-Grundverordnung (DS-GVO) noch das österrei-
chische Recht vor. In Frage kommt daher sowohl ein Arbeitsvertrag, als auch ein freier
Dienstvertrag. Aufgrund der Tätigkeitsfelder des Datenschutzbeauftragten werden Werk-
verträge weniger in Frage kommen.
Auch im DSG neu, das mit 25. Mai 2018 in Kraft tritt, ist kein bestimmter Vertragstyp für die Anstellung als
Datenschutzbeauftragter vorgesehen.
2.2 Pflicht zur Übernahme der Tätigkeiten?
Ob ein Arbeitnehmer verpflichtet ist, die Tätigkeit eines Datenschutzbeauftragten zu
übernehmen, hängt von der Ausgestaltung des Arbeitsvertrages ab. Zu beachten wäre
aber auch der Versetzungsschutz nach § 101 ArbVG, wenn mit der Funktion und dem Auf-
gabenbereich als Datenschutzbeauftragter eine Verschlechterung der Arbeitsbedingun-
gen einhergeht.
2.3 Benachteiligungs- und Abberufungsverbot
Gem. Art 38 Abs 3 DS-GVO darf der Datenschutzbeauftragte wegen Erfüllung seiner Auf-
gaben weder benachteiligt noch abberufen werden. Dieses Benachteiligungsverbot ist
umfassend konzipiert und bezieht sich auf sämtliche Arbeitsbedingungen. Zu beachten
ist, dass Art 38 Abs 3 DS-GVO von einem Verbot der Abberufung von der Funktion aus-
geht und nicht von der Beendigung des Rechtsverhältnisses. Insofern kann das Abberu-
fungsverbot nicht von vornherein mit einem besonderen Kündigungs- und Entlassungs-
schutzes gleichgesetzt werden.
Da das DSG neu diesbezüglich keine Bestimmung enthält, ist die DS-GVO ab 2018 unmittelbar anzuwenden.
2 Datenschutzbeauftragte im Arbeitsrecht
6
2.4 Integration in das betriebliche Datenschutzgeschehen
Der Datenschutzbeauftragte muss rechtzeitig und problemadäquat in betriebliche Daten-
schutzangelegenheiten eingebunden werden (Art 38 Abs 1 DS-GVO).
Weiters soll der Kontakt zu den betroffenen Personen und Personengruppen dadurch
garantiert werden, dass diese den Datenschutzbeauftragten zu Rate ziehen können (Art
38 Abs 4 DS-GVO). Umgekehrt sind die Daten und Informationen zu den Datenverarbei-
tungen dem Datenschutzbeauftragten zur Verfügung zu stellen (Art 38 Abs 2 DS-GVO).
Auch diese Regelungen werden von der Novelle des DSG nicht erfasst. Die Bestimmungen der DS-GVO sind
somit unmittelbar anzuwenden.
Art 38 Abs 3 DS-GVO sieht darüber hinaus eine generelle Weisungsfreiheit des Daten-
schutzbeauftragten vor.
§ 5 Abs 3 DSG neu beinhaltet überdies die Weisungsfreiheit des Datenschutzbeauftragten im öffentlichen
Bereich (s hiezu auch Art 20 Abs 2 Z 8 B-VG). Gemäß § 5 Abs 3 DSG neu ist der Datenschutzbeauftragte im
öffentlichen Bereich bezüglich der Ausübung seiner Aufgaben weisungsfrei. Das oberste Organ hat das
Recht, sich über die Gegenstände der Geschäftsführung beim Datenschutzbeauftragten im öffentlichen
Bereich zu unterrichten. Dem ist vom Datenschutzbeauftragten nur insoweit zu entsprechen, als dies nicht
der Unabhängigkeit des Datenschutzbeauftragten im Sinne von Art 38 Abs 3 DS-GVO widerspricht.
2.5 Verschwiegenheitspflicht
Nach Art 38 Abs 5 DS-GVO ist der Datenschutzbeauftragte zur „Wahrung der Geheimhal-
tung oder der Vertraulichkeit“ verpflichtet. Bei Verletzung der Verschwiegenheitspflicht
wird nicht nur die Abberufung von der Funktion, sondern auch die Beendigung des zu-
grundeliegenden Vertragsverhältnisses zulässig sein. Die allgemeinen Wertungen zur vor-
zeitigen Auflösung von Arbeitsverhältnissen und freien Dienstverhältnissen bzw zum
Rücktritt bei Werkvertrag sind hiebei zu übertragen.
§ 5 Abs 1 DSG neu konkretisiert Art 38 Abs 5 DS-GVO und sieht folgende Regelung vor: Der Datenschutzbe-
auftragte und die für ihn tätigen Personen sind unbeschadet sonstiger Verschwiegenheitspflichten bei der
Erfüllung der Aufgaben zur Geheimhaltung verpflichtet. Dies gilt insbesondere in Bezug auf die Identität
betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die
Rückschlüsse auf diese Personen zulassen, es sei denn, es erfolgte eine ausdrückliche Entbindung von der
Verschwiegenheit durch die betroffene Person. Der Datenschutzbeauftragte und die für ihn tätigen Perso-
3 Sonderfall Telearbeit
7
nen dürfen die zugänglich gemachten Informationen ausschließlich für die Erfüllung der Aufgaben verwen-
den und sind auch nach Ende ihrer Tätigkeit zur Geheimhaltung verpflichtet.
2.6 Haftung
Wird die Tätigkeit der Datenschutzbeauftragten im Rahmen eines Arbeitsverhältnisses
ausgeübt, sind die Haftungserleichterungen des DHG zu beachten. Bei anderen Rechts-
verhältnissen kann es auch zur Anwendung des DHG kommen, falls Arbeitnehmerähnlich-
keit vorliegt.
3 Sonderfall Telearbeit
Unter Telearbeit wird regelmäßig die Verrichtung von Arbeit/Dienstleistungen aus der
„Ferne“, dh nicht im Betrieb des Arbeitgebers/der Arbeitgeberin, mit Hilfe von Kommuni-
kationssystemen verstanden.
Aufgrund der Dislozierung der Arbeitsstätte kommt es zu einer Reihe von arbeitsrechtli-
chen Problemen:
Vorweg stellt sich die Frage, ob TelearbeitnehmerInnen überhaupt noch die Ar-
beitnehmereigenschaft zukommt. Die Weisungsrechte des Dienstgebers/der
Dienstgeberin sind unter Umständen drastisch eingeschränkt und teilweise kön-
nen auch Familienmitglieder Dienstleistungen der TelearbeitnehmerInnen über-
nehmen.
Schwierig gestaltet sich die Kontrolle des ArbeitnehmerInnenschutzes sowohl
durch den Arbeitgeber/die Arbeitgeberin als auch durch das Arbeitsinspektorat.
Letztlich verschmelzen bei der Telearbeit Arbeitsplatz und Privatbereich.
Die soziale Isolierung von TelearbeitnehmerInnen führt mitunter dazu, dass ar-
beits-vertraglich eine Absicherung sozialer Kontakte erfolgt (zB Recht auf regel-
mäßige Fahrten vom Telearbeitsplatz zum Betrieb). Daraus ergeben sich weitere
Fragen (zB wer trägt die Kosten für die Fahrten zwischen Telearbeitsplatz und Be-
trieb; wer übernimmt das Haftungsrisiko für diese Fahrten?).
4 IT-Kollektivvertrag
8
Aus der Sicht der Betriebsratsorganisation ist zu prüfen, ob der Telearbeitsplatz
dem Betrieb des Dienstgebers/der Dienstgeberin zugerechnet werden kann und
ob die ArbeitnehmerInnen im Betrieb des Dienstgebers/der Dienstgeberin aktiv
und passiv wahlberechtigt sind.
Mit der Zuständigkeit des Betriebsrates unmittelbar verbunden ist die Mitwirkung
des Betriebsrats in Bezug auf die TelearbeitnehmerInnen (zB hinsichtlich des Kün-
digungsschutzes oder des Versetzungsschutzes).
Fraglich ist, ob der Arbeitsort arbeitsvertraglich so gestaltet werden kann, dass Ar-
beitnehmerInnen per Weisung des Arbeitgebers/der Arbeitgeberin von einem be-
trieblichen Arbeitsplatz auf einen Telearbeitsplatz (und zurück) versetzt werden
können.
4 IT-Kollektivvertrag
Für den IT-Bereich existiert ein eigener Kollektivvertrag. Fachlich gilt er für alle Mitglieds-
betriebe des Fachverbandes Unternehmensberatung und Informationstechnologie der
Wirtschaftskammer Österreich, die eine Berechtigung zur Ausübung des Gewerbes
„Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik“
haben.
Persönlich gilt der IT-KV für alle dem Angestelltengesetz unterliegenden Arbeitnehmer-
Innen der im fachlichen Geltungsbereich ausgewiesenen Unternehmen.
Als IKT-Tätigkeiten nennt der Kollektivvertrag:
Organisation: Anwendung/System
Planung: System/Information
Analyse: Anwendung/System/Datenbank
Softwareentwicklung/Systementwicklung
Design: Software/Datenbanken/Jobcontrol
Anwendungsbetreuung/Systembetreuung
Beratung: IDV/Anwendung/Technik
5 Nutzung und Kontrolle von IKT am Arbeitsplatz
9
Administration: Netzwerk/Datenbanken
Netzwerktechnik/Systemtechnik
Vertrieb (Key Account)
Methodik/Softwareengineering
Qualitätsmanagement/-kontrolle/-audit
Systemoperating
! Für die Anwendung des IT-KV ist die Branche des Arbeitgebers entscheidend (Industrie-
gruppenprinzip), unabhängig ob der Angestellte eine IKT-Tätigkeit ausübt oder nicht!
5 Nutzung und Kontrolle von IKT am Arbeitsplatz
Explizite gesetzliche Regelungen zur dienstlichen/oder privaten Nutzung von IKT am Ar-
beitsplatz findet man im privaten Arbeitsrecht nicht. Dementsprechend bildet häufig der
Arbeitsvertrag die Grundlage für entsprechende Verbote bzw Erlaubnisse.
Teilweise finden sich im Arbeitsvertrag keinerlei Regelungen. Der Dienstgeber/die Dienst-
geberin agiert vielmehr innerbetrieblich durch entsprechende Richtlinien im Sinn von ge-
nerellen Weisungen.
Die Rahmenbedingungen für die Nutzung von IKT im Betrieb können aber auch durch Be-
triebsvereinbarung gem § 97 Abs 1 Z 6 ArbVG (Maßnahmen zur zweckentsprechenden
Benützung von Betriebseinrichtungen und Betriebsmitteln) festgelegt werden. Es handelt
sich hiebei um eine erzwingbare Betriebsvereinbarung/erzwingbare Mitbestimmung, so-
dass Regelungen über die Privatnutzung von IKT im Betrieb sowohl vom Betriebsinha-
ber/von der Betriebsinhaberin als auch vom Betriebsrat erzwungen werden können.
Ohne entsprechende Regelungen ist davon auszugehen, dass der Arbeitnehmer/die Ar-
beitnehmerin nach den Grundsätzen der Angemessenheit innerbetriebliche Informations-
und Kommunikationstechnologien des Arbeitgebers/der Arbeitgeberin nutzen darf.
5 Nutzung und Kontrolle von IKT am Arbeitsplatz
10
Dienstpflichten des Arbeitnehmers/der Arbeitnehmerin oder berücksichtigungswürdige
Interessen des Arbeitgebers/der Arbeitsgeberin dürfen hiebei aber nicht verletzt werden.
Die rechtswidrige Nutzung von IKT kann – unter Berücksichtigung der Wertungen des all-
gemeinen Entlassungsrechts – zur vorzeitigen Beendigung des Arbeitsverhältnisses füh-
ren.
Zur Kontrolle von IKT Nutzungen durch den Arbeitnehmer vgl 6.5. und 6.6.
Für den öffentlichen Dienst enthält § 79d BDG Grundsätze für die IKT-Nutzung der Be-
diensteten. Dieser Bestimmung zufolge darf die IKT-Infrastruktur von dem Beam-ten/der
Beamtin grundsätzlich nur für dienstliche Zwecke genutzt werden. In eingeschränktem
Ausmaß ist jedoch auch die private Nutzung der für den Dienstbetrieb zur Verfügung ste-
henden IKT-Infrastruktur erlaubt,
sofern sie nicht missbräuchlich erfolgt,
sofern sie nicht dem Ansehen des öffentlichen Dienstes schadet,
sofern sie der Aufrechterhaltung eines geordneten Dienstbetriebes nicht entge-
gensteht und
sie die Sicherheit und die Leistungsfähigkeit der IKT-Infrastruktur des Dienstge-
bers/der Dienstgeberin nicht gefährdet.
Ein Rechtsanspruch auf eine private IKT-Nutzung besteht nicht. Die Beamten sind ver-
pflichtet, sich an entsprechende Verordnungen oder ressort- oder arbeitsplatzspezifische
Nutzungsregelungen zu halten.
6 ArbeitnehmerInnendatenschutz
11
6 ArbeitnehmerInnendatenschutz
6.1 Allgemeines zum Schutz der Arbeitnehmerdaten
Ein grundsätzliches Problem des Arbeitnehmerdatenschutzes besteht darin, dass kein in
sich geschlossenes Arbeitnehmerdatenschutzrecht existiert. Der Schutz von Arbeitneh-
merdaten ergibt sich vielmehr aus der Kombination von arbeitsvertrags-, betriebsverfas-
sungs- und datenschutzrechtlichen Bestimmungen. Da sich die Geltungsbereiche dieser
gesetzlichen Rechtsmaterien nicht decken, führt dies zu unterschiedlichen Ausprägungen
des Arbeitnehmerdatenschutzes.
6.1.1 Unterschiedliche gesetzliche Geltungsbereiche
Während etwa Mitglieder von Organen, die zur gesetzlichen Vertretung juristischer Per-
sonen berufen sind (zB GeschäftsführerIn einer GmbH), oder leitende Angestellte, denen
maßgebender Einfluss auf die Führung des Betriebes zusteht, nicht als ArbeitnehmerIn-
nen im betriebsverfassungsrechtlichen Sinn gelten und der Betriebsrat sie nicht vertreten
kann, unterliegen diese Personengruppen sehr wohl den datenschutzrechtlichen und
weitgehend auch den arbeitsvertragsrechtlichen Bestimmungen. Die fehlende betriebs-
verfassungsrechtliche Arbeitnehmereigenschaft führt beispielsweise dazu, dass Betriebs-
vereinbarungen über Personaldatensysteme, Fragebögen und Kontrollmaßnahmen für sie
nicht gelten. Aus dem nämlichen Grund könnte ein Einsichtsrecht in Lohn- und Gehalts-
daten leitender Angestellter vom Betriebsrat nicht geltend gemacht werden. Ebenso fal-
len StellenwerberInnen und ehemalige ArbeitnehmerInnen grundsätzlich nicht unter die
Betriebsverfassung.
Umgekehrt gilt das Betriebsverfassungsrecht für gewisse Personengruppen, die vom Ar-
beitsvertragsrecht nicht erfasst sind. So kommt der zweite Teil des Arbeitsverfassungsge-
setzes zumindest weitgehend für HeimarbeiterInnen zur Anwendung, obwohl es sich bei
dieser Personengruppe nach überwiegender Ansicht nicht um ArbeitnehmerInnen iSd
Arbeitsvertragsrechts handelt.
6 ArbeitnehmerInnendatenschutz
12
6.1.2 StellenwerberInnen und ehemalige ArbeitnehmerInnen
Bestehen schon innerhalb der ArbeitnehmerInnengruppen wesentliche Unterschiede hin-
sichtlich der Anknüpfungspunkte für einen Arbeitnehmerdatenschutz, dann wird dieses
Problem bei jenen Personen verschärft, die noch kein Arbeitsverhältnis abgeschlossen
haben, sondern sich um ein solches bewerben. Im Gegensatz zum Datenschutzgesetz
kommt das Arbeitsrecht in dieser Phase grundsätzlich nicht zur Anwendung. Um Stellen-
werberInnen zumindest einen arbeitsrechtsähnlichen Schutz angedeihen zu lassen, be-
darf es der Begründung bzw der Anwendung vorvertraglicher Fürsorgepflichten des Ar-
beitgebers bzw einer gewissen Vorwirkung betriebsverfassungsrechtlicher Instrumente
wie der Betriebsvereinbarung.
Ähnlich wie bei StellenwerberInnen mangelt es bei ehemaligen ArbeitnehmerInnen an
einem bestehenden Arbeitsvertrag. Gewisse rechtliche Bindungen bleiben über spezifi-
sche Vereinbarungen (zB Konkurrenzklauseln) oder nachwirkende Rechtspflichten (zB
nachwirkende Fürsorgepflicht) aufrecht. Aus datenschutzrechtlicher Sicht verlängert sich
damit regelmäßig die Zulässigkeit der Datenverwendung.
Neben den datenschutzrechtlichen Zulässigkeitsbeschränkungen bei der Datenübermitt-
lung (s auch 6.3.2.) ist während der Phase der Beendigung und danach auch zu beachten,
dass Eintragungen und Anmerkungen in einem Arbeitszeugnis, durch die dem Arbeit-
nehmer/der Arbeitnehmerin die Erlangung einer neuen Stelle erschwert wird, unzulässig
sind. Diese Wertung ist auf jegliche Form der Datenübermittlung zwischen alten und (po-
tentiell) neuen ArbeitgeberInnen zu übertragen (s auch OGH 7.2.2008, 9 ObA 104/07w).
6.1.3 Einzelfallbezogener – gruppenspezifischer Schutz
Ein weiteres strukturelles Problem ergibt sich daraus, dass das Datenschutzrecht und das
Arbeitsvertragsrecht naturgemäß einzelfallbezogene Schutzmechanismen vorsehen, die
betriebsverfassungsrechtlichen Regelungen sich hingegen auf die gesamte Belegschaft
oder zumindest auf Belegschaftsgruppen beziehen. Während das Datenschutzgesetz den
Schutz des/der einzelnen Betroffenen im Auge hat und datenschutzrechtliche Ansprüche
6 ArbeitnehmerInnendatenschutz
13
nur von den jeweiligen betroffenen ArbeitnehmerInnen selbst durchgesetzt werden kön-
nen (vgl OGH 29.6.2006, 6 ObA 1/06z), stehen in der Betriebsverfassung die Interessen
der Gesamtbelegschaft im Vordergrund. Dies zeigt sich in besonderer Weise bei der Be-
triebsvereinbarung als Instrument der Mitwirkung in sozialen Angelegenheiten. Mitbe-
stimmungsunterworfen ist nicht der Einzelfall, sondern die generelle Maßnahme. Werden
etwa die Daten eines einzigen Arbeitnehmers/einer einzigen Arbeitnehmerin an Dritte
übermittelt, so kommt nur § 7 Abs 2 DSG (ab 25. Mai 2018 Art 6 DS-GVO) zur Anwendung, die
Zustimmung des Betriebsrates ist hingegen nicht erforderlich.
6.2 Fragerecht bzw Fragepflicht des Arbeitgebers/der Arbeitgeberin
Von der BewerberInnenauswahl bis unter Umständen lange nach Beendigung des Ar-
beitsverhältnisses (zB im Fall der Zahlung von Betriebspensionen an ehemalige Arbeit-
nehmerInnen oder an Hinterbliebene des Arbeitnehmers/der Arbeitnehmerin) ist der
Dienstgeber/die Dienstgeberin vielfach auf die Zurverfügungstellung von Arbeitnehmer-
daten angewiesen. Teilweise benötigt er/sie Daten zur Erfüllung von gesetzlichen Ver-
pflichtungen (Arbeitszeitaufzeichnungen, Krankenstandszeiten uä), teilweise dienen sie
ihm/ihr zur Erleichterung von Aufgaben, zu denen er/sie sich im Arbeitsvertrag oder in
Betriebsvereinbarungen verpflichtet hat, und teilweise verwendet er/sie sie als Instru-
ment der Personalführung. Das betriebliche Personaldatenwesen muss nicht nur für den
Dienstgeber/die Dienstgeberin von Vorteil sein. Die Objektivierung und leichte Überprüf-
barkeit von Personalentscheidungen ist auch für den Dienstnehmer/die Dienstnehmerin
und den Betriebsrat von Interesse.
Ein Fragerecht des Dienstgebers/der Dienstgeberin wird man unmittelbar aus der Pri-
vatautonomie und dem Recht des Arbeitgebers/der Arbeitgeberin zur Gestaltung der
Arbeitsbedingungen im Rahmen der durch den Arbeitsvertrag und durch die Rechtsord-
nung abgesteckten Grenzen ableiten können. Grenzen des Fragerechts ergeben sich auf
unterschiedlichen Ebenen, insbesondere aus dem Persönlichkeitsschutz des Arbeitneh-
mers/der Arbeitnehmerin. Der Persönlichkeitsschutz ist als Summe jener Persönlichkeits-
rechte zu verstehen, deren Konkretisierungen dem Arbeitnehmer/der Arbeitnehmerin ein
6 ArbeitnehmerInnendatenschutz
14
umfassendes subjektives Recht auf Achtung und Entfaltung seiner Persönlichkeit gewähr-
leisten. Ansatzpunkte für die Rechtskonkretisierung sind schon auf verfassungsrechtlicher
Stufe zu finden. Zu erwähnen sind vor allem der Schutz des Privat- und Familienlebens
(Art 8 EMRK), der Schutz des Fernmeldegeheimnisses (Art 10 StGG), der Meinungsfreiheit
(Art 10 EMRK), der Gedanken-, Gewissens- und Religionsfreiheit (Art 9 EMRK) und das
Grundrecht auf Datenschutz (§ 1 DSG). Der privatrechtliche Persönlichkeitsschutz im Ar-
beitsverhältnis erfährt vor allem durch die spezifisch arbeitsrechtliche Fürsorgepflicht
eine explizite Konkretisierung (§ 1157 ABGB, § 18 AngG).
Neben der Fürsorgepflicht des Arbeitgebers/der Arbeitgeberin können aber auch sonstige
Wertungen, die sich aus den arbeitsrechtlichen Bestimmungen bzw dem allgemeinen
Schutzgedanken im Arbeitsrecht ableiten lassen, geeignet sein, das Fragerecht des Ar-
beitgebers/der Arbeitgeberin zu begrenzen. In diesem Sinn ist etwa dem Mutterschutzge-
setz und dem Gleichbehandlungsgesetz (GlBG) zu entnehmen, dass die Frage nach einer
Schwangerschaft von Stellenwerberinnen unzulässig ist.
Eine Reihe von Daten wird von vornherein als besonders schutzwürdig anzusehen sein.
Davon geht auch Art 6 der Datenschutzkonvention des Europarates aus, der personenbe-
zogene Daten, welche die rassische Herkunft, politische Anschauungen oder religiöse und
andere Überzeugungen erkennen lassen, und personenbezogene Daten, welche die Ge-
sundheit, das Sexualleben oder Strafurteile betreffen, besonders hervorhebt. Die Daten-
schutzkonvention verpflichtet diesbezüglich das innerstaatliche Recht, geeignete Schutz-
maßnahmen zu treffen. Wenngleich die Datenschutzkonvention Maßnahmen zum Schutz
vor automationsunterstützter Verarbeitung der Daten vorsieht, sind die Wertungen insb
des Art 6 der Datenschutzkonvention auch auf die nichtautomationsunterstützte Daten-
verarbeitung übertragbar. Eine entsprechende Umsetzung erfolgte in Österreich durch
die Sonderregelungen im DSG zu den sog „sensiblen Daten“ (Mit Inkrafttreten des DSG neu ist
Art 9 DS-GVO bezüglich „sensibler Daten“ anzuwenden) (vgl 6.3.1.), aber auch durch das GlBG. Da-
ten von ArbeitnehmerInnen werden generell als besonders schutzwürdig anzusehen sein,
unabhängig davon, ob sie zu den sensiblen Daten iSd DSG (bzw der DS-GVO) zählen oder
6 ArbeitnehmerInnendatenschutz
15
nicht. Dies lässt sich insb mit der besonderen Kontextabhängigkeit der Personaldaten
aber auch mit der persönlichen und wirtschaftlichen Abhängigkeit des Arbeitnehmers/der
Arbeitnehmerin vom Dienstgeber/von der Dienstgeberin begründen. Weitere Einschrän-
kungen des Fragerechts des Arbeitgebers/der Arbeitgeberin resultieren aus den einfach-
gesetzlichen Bestimmungen des Datenschutzgesetzes (bzw der DS-GVO) (vgl 6.3.) und der
Betriebsverfassung (vgl 6.4.). Teilweise ergibt sich aus der Rechtsordnung nicht nur ein
Frage-recht, sondern sogar eine Fragepflicht des Arbeitgebers/der Arbeitgeberin (zB zum
Schutz der Gesundheit des betroffenen Arbeitnehmers/der betroffenen Arbeitnehmerin
oder zur Sicherheit anderer ArbeitnehmerInnen).
6.3 Datenschutzrechtliche Grenzen
6.3.1 Verarbeiten von Arbeitnehmerdaten
Gemäß § 7 DSG dürfen Daten nur verarbeitet, dh iSd § 4 Z 9 DSG nur ermittelt, gespei-
chert, verändert, verknüpft, abgefragt, ausgegeben, gelöscht etc werden, soweit Zweck
und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen
Befugnissen des Auftraggebers/der Auftraggeberin gedeckt sind und die schutzwürdigen
Geheimhaltungsinteressen des/der Betroffenen nicht verletzen. Hinsichtlich der Verarbei-
tung von Arbeitnehmerdaten liegt die von § 7 DSG geforderte Zwecksetzung in einem
rationellen, kostenoptimalen, aber auch den sozialen Bedürfnissen angepassten und hu-
manen Einsatz der ArbeitnehmerInnen. Als zulässiger Rahmen ist hiebei die Summe der
für das Arbeitsverhältnis geltenden Normen und der von Rechtsprechung und Lehre ent-
wickelten Grundsätze anzusetzen. Das Verarbeiten von Arbeitnehmerdaten ist dement-
sprechend unter Berücksichtigung der schutzwürdigen Interessen des Dienstnehmers/der
Dienstnehmerin soweit zulässig, als es für einen ordnungsgemäßen Ablauf des Arbeits-
verhältnisses unter Beachtung zeitgemäßer Personalführungs- und Personalverwaltungs-
methoden notwendig ist.
Mit Außerkrafttreten des DSG 2000 ist diesbezüglich Art 6 DS-GVO anzuwenden. Demgemäß ist eine Daten-verarbeitung (darunter versteht man laut Art 4 Z 2 DS-GVO jeden mit oder ohne Hilfe automatisierter Ver-fahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbrei-tung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das
6 ArbeitnehmerInnendatenschutz
16
Löschen oder die Vernichtung) nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer ande-ren natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Eine wesentliche Grenze für das Verarbeiten von Daten ergibt sich zusätzlich zu § 7 DSG
aus den Grundsätzen der Datenverwendung iSd § 6 DSG. Dieser Bestimmung zufolge dür-
fen Daten insb nur nach Treu und Glauben und auf rechtmäßige Weise verwendet wer-
den. Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von
Daten nach Treu und Glauben anzusehen ist, können die gesetzlichen Interessenvertre-
tungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln aus-
arbeiten (§ 6 Abs 4 DSG). Für den Arbeitnehmerschutz bedeutet dies, dass die Sozialpart-
ner aufgerufen sind, entsprechende Richtlinien zu schaffen.
Ab Inkrafttreten des DSG neu finden sich entsprechende Grundsätze in Art 5 DS-GVO und umfassen die
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung,
Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht.
Gemäß Art 40 Abs 2 DS-GVO sind in Zukunft „Verbände und andere Vereinigungen, die Kategorien von
Verantwortlichen oder Auftragsverarbeitern vertreten,“ dazu berechtigt, Verhaltensregeln auszuarbeiten,
abzuändern oder zu erweitern, mit denen die Anwendung der Verordnung präzisiert wird.
Bei der Beurteilung der Rechtmäßigkeit der Verwendung von Arbeitnehmerdaten spielt
die Frage, ob es sich um StellenwerberInnen, um bereits eingestellte oder um ehemalige
DienstnehmerInnen handelt, eine wesentliche Rolle (s auch 6.1.2.). Eine Reihe von Daten,
6 ArbeitnehmerInnendatenschutz
17
die zur ordnungsgemäßen Abwicklung der Dienstverhältnisse unbedingt notwendig sind
und die in aufrechten Dienstverhältnissen durchaus ermittelt werden könnten, wird man
bei StellenwerberInnen als unzulässig erachten müssen. Vor allem die Lohn- und Gehalts-
abrechnung verlangt eine Anzahl von Daten, deren Erhebung „im vorvertraglichen Ar-
beitsverhältnis“ nur in speziellen Ausnahmen von einem berechtigten Zweck getragen ist.
Auch zB die Frage nach der Schwangerschaft muss vor der Einstellung als unzulässig, nach
der Einstellung sehr wohl als zulässig angesehen werden. Im Fall ausgeschiedener Arbeit-
nehmerInnen werden deren Daten regelmäßig nicht mehr oder zumindest nicht mehr in
vollem Umfang benötigt werden. Das DSG nimmt darauf insofern Bezug, als gem § 6 Abs 1
Z 5 Daten nur solange in personenbezogener Form aufbewahrt werden dürfen, als dies
für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist. Der Zweck der
Datenverwendung wird etwa wegfallen, wenn ein Stellenwerber/eine Stellenwerberin
nicht aufgenommen oder wenn das Arbeitsverhältnis beendet wird. Ausnahmsweise kann
aber auch nach Beendigung des Arbeitsverhältnisses bzw nach Ablehnung des Stellen-
werbers/der Stellenwerberin ein berechtigtes Interesse zumindest an einem reduzierten
Personaldatenbestand vorhanden sein. Dies ist beispielsweise dann anzunehmen, wenn
betriebliche Ruhegelder bezahlt werden oder wenn der vorerst abgelehnte Stellenwer-
ber/die vorerst abgelehnte Stellenwerberin für einen anderen Dienstposten, der in naher
Zukunft zu besetzen ist, vorgemerkt wird.
Der Grundsatz der Speicherbegrenzung wird zukünftig von Art 5 Abs 1 lit e DS-GVO erfasst, wonach perso-
nenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Per-
sonen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Ein weiteres für die Zulässigkeit der Datenerhebung maßgebliches Element ist die Ar-
beitsplatzbezogenheit des zu ermittelnden Datums. Ohne sachlichen Bezug zur Tätigkeit
des Arbeitnehmers/der Arbeitnehmerin ist ein berechtigter Zweck grundsätzlich nicht
anzunehmen. Die Problematik arbeitsplatzbezogener Datenermittlung stellt sich bei Ge-
sundheitsdaten, sonstigen Eignungsdaten, Angaben über Vorstrafen uä.
Zu beachten ist, dass selbst im Falle rechtmäßig erhobener Daten sich aus dem Verarbei-
tungszweck oder dem Verarbeitungsergebnis die Unrechtmäßigkeit der Datenverarbei-
6 ArbeitnehmerInnendatenschutz
18
tung ergeben kann. Teilweise ist der Dienstgeber/die Dienstgeberin zur Erhebung sensib-
ler Daten (zB Krankenstandsdaten) sogar gesetzlich verpflichtet. Die Zulässigkeit der Ver-
arbeitung wird in diesen Fällen vom gesetzlichen Zweck begrenzt. Jede darüberhinausge-
hende Verarbeitung bedarf einer neuerlichen Zulässigkeitsprüfung.
Im Arbeitsverhältnis ist der Schutz von sog „sensiblen Daten“ von besonderer Bedeutung.
Als derart besonders schutzwürdige Daten definiert § 4 Z 2 DSG Daten natürlicher Perso-
nen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschafts-
zugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualle-
ben. Im Fall sensibler Daten geht das DSG grundsätzlich davon aus, dass deren Verwen-
dung zu einer Verletzung von schutzwürdigen Geheimhaltungsinteressen führt. Selbst die
Verwendung sensibler Daten ist jedoch erlaubt, wenn einer der taxativ aufgezählten Fälle
des § 9 DSG vorliegt. Aus arbeitsrechtlicher Sicht sind vor allem die Regelungen der Z 6
und der Z 11 des § 9 DSG zu erwähnen.
In der DS-GVO finden sich die „sensiblen Daten“ nunmehr in Art 9 unter dem Titel „Verarbeitung besonde-
rer Kategorien personenbezogener Daten“. Generell ist die Verarbeitung personenbezogener Daten, aus
denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Über-
zeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen
Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten
oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt. In Aus-
nahmefällen ermöglicht Art 9 Abs 2 DS-GVO die Verarbeitung dieser Daten. Aus arbeitsrechtlicher Sicht sind
vor allem Art 9 Abs 2 lit a und b DS-GVO von Bedeutung.
Gemäß § 9 Z 6 DSG kann der Arbeitgeber/die Arbeitgeberin sensible Daten verarbeiten,
wenn der Arbeitnehmer/die Arbeitnehmerin seine/ihre Zustimmung hiezu ausdrücklich
erteilt hat. Gemäß Art 9 Abs 2 lit a DS-GVO kann der Arbeitgeber/die Arbeitgeberin sensible Daten verar-
beiten, wenn der Arbeitnehmer/die Arbeitnehmerin in die Verarbeitung der genannten personenbezoge-
nen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat.
Zu beachten ist hiebei allerdings, dass der Arbeitnehmer/die Arbeitnehmerin bei Ab-
schluss des Arbeitsvertrages und während des aufrechten Dienstverhältnisses vielfach
unter einem nicht zu unterschätzenden wirtschaftlichen Druck agiert und man nur be-
schränkt von einer freien Entscheidung des Arbeitnehmers/der Arbeitnehmerin ausgehen
6 ArbeitnehmerInnendatenschutz
19
kann. § 9 Z 6 DSG (zukünftig Art 9 Abs 2 lit a DS-GVO) wird daher dahingehend ausgelegt wer-
den müssen, dass der Arbeitnehmer/die Arbeitnehmerin zwar eine weitgehende Disposi-
tionsfreiheit besitzt, dass ein gewisser Bereich seines Persönlichkeitsschutzes aber unver-
zichtbar ist. Ein Widerruf der Zustimmung des Arbeitnehmers/der Arbeitnehmerin ist dem
DSG zufolge jederzeit möglich und bewirkt die Unzulässigkeit der weiteren Verwendung
der Daten. In Art 7 Abs 3 DS-GVO ist ebenfalls ein Widerrufsrecht enthalten. Die betroffene Person hat
das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Recht-
mäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die be-
troffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung
muss so einfach wie die Erteilung der Einwilligung sein.
Die Schutzwürdigkeit von Arbeitnehmerdaten soll gem § 9 Z 11 DSG auch dann nicht ge-
geben sein, wenn die Verwendung sensibler Daten erforderlich ist, um den Rechten und
Pflichten des Dienstgebers/der Dienstgeberin auf dem Gebiet des Arbeitsrechts Rech-
nung zu tragen und sie nach besonderen Rechtsvorschriften zulässig ist. Der Hinweis auf
die besonderen Rechtsvorschriften muss wohl so verstanden werden, dass darin die Ver-
wendung der sensiblen Daten ausdrücklich erwähnt wird oder dass der in den Rechtsvor-
schriften verankerte Regelungszweck ausschließlich durch die Verwendung der sensiblen
Daten erreicht werden kann.
Eine derartige Vorschrift sieht auch Art 9 Abs 2 lit b DS-GVO vor. Damit der Verantwortliche oder die be-
troffene Person die ihm bzw ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozial-
schutzes erwachsenden Rechte ausüben und seinen bzw ihren diesbezüglichen Pflichten nachkommen
kann, ist die Verarbeitung schutzwürdiger Arbeitnehmerdaten rechtmäßig. Dies allerdings nur soweit als
nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht
der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Per-
son vorsieht, zulässig ist.
6.3.2 Übermitteln von Arbeitnehmerdaten
Die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber
oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten, ist als
„Übermitteln von Daten“ gem § 4 Z 12 DSG zu verstehen. Geht der Datenfluss über die
rechtliche Einheit des Unternehmens hinaus, dann liegt Datenübermittlung vor. Inner-
6 ArbeitnehmerInnendatenschutz
20
halb des Unternehmens gilt ein Datenfluss nicht als Datenübermittlung, soweit die Emp-
fänger der Daten sie zur Erfüllung ihrer dienstlichen Aufgaben benötigen. Können Ar-
beitnehmerInnen ohne betriebliche Notwendigkeit auf Daten anderer ArbeitnehmerIn-
nen zugreifen, liegt eine Datenübermittlung vor, deren Zulässigkeit nach den Bestimmun-
gen des § 7 Abs 2 DSG zu prüfen ist.
Das DSG bezieht das Veröffentlichen von Daten ausdrücklich in den Begriff des Übermit-
telns ein. Die Bekanntgabe von Daten an die Betriebsöffentlichkeit (zB mittels einer Be-
triebszeitung) stellt demnach eine Datenübermittlung dar.
Zukünftig ist nicht mehr zwischen dem Begriff der „Datenverarbeitung“ und der „Übermittlung von Daten“
zu unterscheiden. Die DS-GVO behandelt diese zwei Begrifflichkeiten nicht getrennt voneinander, wie dies
noch im DSG 2000 der Fall ist, sondern bezieht in Art 4 Z 2 die „Datenübermittlung“ in die Definition der
„Verarbeitung von Daten“ mit ein. Die Zulässigkeit der Übermittlung von Arbeitnehmerdaten ist somit wie
alle weiteren Datenverarbeitungsmöglichkeiten anhand der Rechtmäßigkeit der Verarbeitung gemäß Art 6
DS-GVO zu überprüfen.
6.3.3 Rechte der ArbeitnehmerInnen
Gemäß § 26 DSG besitzt ein Arbeitnehmer/eine Arbeitnehmerin – wie jeder Betroffene im
Sinne des DSG – ein Recht auf Auskunft über die zu seiner Person verarbeiteten Daten.
Die Auskunft hat die verarbeiteten Daten, dh sämtliche vom Arbeitnehmer/von der Ar-
beitnehmerin vorhandenen konkreten Daten, die verfügbaren Informationen über ihre
Herkunft (zB aus welchen Personalfragebögen, welchen Kontrollsystemen, welchen Ver-
knüpfungen der Daten und Datenbeständen oder von welchen externen Institutionen wie
Personalbereitstellern oder Personalberatungsbüros die Daten stammen), allfällige Emp-
fängerInnen oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwen-
dung (zB Gehaltsverrechnung, MitarbeiterInnenbeurteilung, Beförderungen, Aus-wahl
von zu kündigenden ArbeitnehmerInnen) sowie die Rechtsgrundlagen (dies können auch
zB Normen der kollektiven Rechtsgestaltung wie Betriebsvereinbarung oder Kollektivver-
trag sein) hiefür in allgemein verständlicher Form anzuführen.
Gemäß § 44 Abs 1 DSG neu hat jede betroffene Person das Recht, vom Verantwortlichen eine Bestätigung
darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so
hat sie das Recht, Auskunft über personenbezogene Daten und zu folgenden Informationen zu erhalten:
1. die Zwecke der Verarbeitung und deren Rechtsgrundlage,
6 ArbeitnehmerInnendatenschutz
21
2. die Kategorien personenbezogener Daten, die verarbeitet werden, 3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen
Daten offengelegt worden sind, 4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder,
falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 5. das Bestehen eines Rechts auf Berichtigung oder Löschung personenbezogener Daten oder
Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person durch den Verantwortlichen,
6. das Bestehen eines Beschwerderechts bei der Datenschutzbehörde sowie deren Kontaktdaten und 7. Mitteilung zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle
verfügbaren Informationen über die Herkunft der Daten.
Unrichtige oder rechtswidrig verarbeitete Arbeitnehmerdaten hat der Dienstgeber/die
Dienstgeberin richtig zu stellen oder zu löschen (Recht auf Richtigstellung und Löschung,
§ 27 DSG). Im Zuge einer Videoüberwachung aufgezeichnete Daten sind grundsätzlich
spätestens nach 72 Stunden zu löschen (§ 50b Abs 2 DSG).
Das DSG neu beinhaltet zukünftig in § 45 das Recht auf Berichtigung oder Löschung personenbezogener
Daten und auf Einschränkung der Verarbeitung. Bezüglich aufgezeichneter Daten im Zuge einer Videoüber-
wachung sieht § 13 Abs 3 DSG neu vor, dass aufgenommene personenbezogene Daten vom Verantwortli-
chen zu löschen sind, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden
und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andau-
ernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.
Ergibt sich aus einer besonderen Situation des Arbeitnehmers/der Arbeitnehmerin eine
Verletzung überwiegend schutzwürdiger Geheimhaltungsinteressen, dann steht dem Ar-
beitnehmer/der Arbeitnehmerin ein eigenes Widerspruchsrecht zu (§ 28 DSG).
Art 21 DS-GVO beinhaltet in Zukunft ein Widerspruchsrecht in bestimmten Fällen.
6.4 Mitwirkung des Betriebsrates
Das DSG 1978 sah in § 31 vor, dass die dem Betriebsrat nach dem ArbVG zustehenden
Befugnisse durch das DSG nicht berührt werden. Eine derart allgemeine Norm fehlt im
DSG 2000. Einen Hinweis findet man im DSG 2000 allerdings in § 9 Z 11 im Zusammen-
hang mit den Regelungen über sensible Daten: Werden schutzwürdige Geheimhaltungsin-
teressen bei der Verwendung sensibler Daten nicht verletzt, weil deren Verwendung er-
forderlich ist um den Rechten und Pflichten des Arbeitgebers/der Arbeitgeberin Rech-
6 ArbeitnehmerInnendatenschutz
22
nung zu tragen und weil die Verwendung nach besonderen Rechtsvorschriften zulässig ist,
dann sollen die Mitwirkungsrechte des Betriebsrates nach dem ArbVG unberührt bleiben.
Diese Bestimmung ist insofern zu eng formuliert, als wohl nicht nur die Mitwirkungsrech-
te nach dem ArbVG, sondern auch solche, die dem Betriebsrat bzw der Belegschaft nach
anderen gesetzlichen Bestimmungen zustehen, unberührt bleiben sollen. Die Regelung
des § 9 Z 11 DSG ist auch dahingehend zu verallgemeinern, dass zum Ausdruck kommen
soll, dass nicht nur der Bereich der sensiblen Daten betroffen ist, sondern dass das DSG
2000 – in gleicher Weise wie das DSG 1978 – generell nicht in die Betriebsverfassung
eingreifen will.
Das DSG neu weist nun in § 11 ausdrücklich darauf hin, dass die dem Betriebsrat nach dem ArbVG zu-
stehenden Befugnisse unberührt bleiben.
6.4.1 Informationsrechte
Seit der ArbVG-Novelle 1986 sind in § 91 ArbVG spezielle Informationsrechte des Be-
triebsrates im Zusammenhang mit Personaldatensystemen verankert. Gem § 91 Abs 2
ArbVG hat der Betriebsinhaber/die Betriebsinhaberin von sich aus dem Betriebsrat Mit-
teilung zu machen, welche Arten von personenbezogenen Arbeitnehmerdaten er/sie au-
tomationsunterstützt aufzeichnet und welche Verarbeitungen und Übermittlungen er/sie
vorsieht. Das Informationsrecht beschränkt sich auf die Bekanntgabe der Datenkatego-
rien. Ein generelles Einsichtsrecht in die konkreten Arbeitnehmerdaten ist damit nicht
verbunden. Aus § 91 Abs 2 ArbVG ergibt sich vielmehr das Gegenteil. Sofern nicht § 89
ArbVG oder andere Rechtsvorschriften ein unbeschränktes Einsichtsrecht des Betriebsra-
tes vorsehen, ist zur Einsicht in die Daten einzelner ArbeitnehmerInnen deren Zustim-
mung erforderlich. Während somit der Betriebsinhaber/die Betriebsinhaberin die Lohn-
und Gehaltsdaten, Daten zu deren Berechnung sowie Daten, die aufgrund von rechtlichen
Vorschriften zu führen sind, dem Betriebsrat selbst dann zur Verfügung stellen muss,
wenn der Arbeitnehmer/die Arbeitnehmerin dem ablehnend gegenübersteht, ist er/sie
bei den sonstigen Personaldaten verpflichtet, sich zu vergewissern, dass die Zustimmung
des betroffenen Arbeitnehmers/der betroffenen Arbeitnehmerin vorliegt.
6 ArbeitnehmerInnendatenschutz
23
Zusätzlich zu den Informationen über die Datenkategorien kann der Betriebsrat verlan-
gen, dass ihm die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung
der Arbeitnehmerdaten ermöglicht wird.
6.4.2 § 96a ArbVG
Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und
Übermittlung von personenbezogenen Daten des Arbeitnehmers/der Arbeitnehmerin
bedarf der Zustimmung des Betriebsrates im Rahmen einer Betriebsvereinbarung. Keine
Zustimmung des Betriebsrates ist jedoch erforderlich,
wenn die Ermittlung über allgemeine Angaben zur Person und die fachlichen Vo-
raussetzungen nicht hinausgeht oder
wenn die tatsächliche oder vorgesehene Verwendung von Daten über die Erfül-
lung von Verpflichtungen, die sich aus Gesetz, Normen der kollektiven Rechtsge-
staltung oder Arbeitsvertrag ergeben, nicht hinausreicht.
Wenn das Gesetz von „Verpflichtungen“ des Dienstgebers/der Dienstgeberin spricht,
dann ist davon auszugehen, dass primär das Interesse des Arbeitnehmers/der Arbeit-
nehmerin bzw der Belegschaft oder eine andere nicht im überwiegenden Interesse des
Dienstgebers/der Dienstgeberin stehende Zwecksetzung angesprochen ist. Gesetzliche –
und damit mitbestimmungsfreie – Aufzeichnungspflichten bestehen etwa bei geleisteten
Arbeitsstunden (§ 26 AZG), bei Sonn- und Feiertagsarbeit (§ 25 Abs 1 ARG) oder bei der
Beschäftigung von begünstigten Behinderten und InhaberInnen von Amtsbescheinigun-
gen und Opferausweisen (§ 16 Abs 2 BEinstG). Detaillierte Aufzeichnungspflichten kennt
auch § 8 UrlG betreffend den Zeitpunkt des Dienstantritts, die angerechneten Dienstzei-
ten, Dauer und Verbrauch des Erholungsurlaubs sowie betreffend das Urlaubs-entgelt.
Verpflichtungen, die zur Mitbestimmungsfreiheit der Datenverarbeitung führen, können
sich nicht nur aufgrund von Gesetzen, sondern auch durch Normen der kollektiven
Rechtsgestaltung (Kollektivvertrag, Satzung, Mindestlohntarif, Lehrlingsentschädigung
und Betriebsvereinbarung) und den Arbeitsvertrag ergeben. Verpflichtungen aus dem
Kollektivvertrag können entsprechend seinem umfangreichen Regelungsinhalt breit ge-
6 ArbeitnehmerInnendatenschutz
24
streut sein. Beispiele für Daten, die aus Verpflichtungen durch Betriebsvereinbarungen
stammen, wären: Daten, die zur Erfüllung von Urlaubsplänen (Prioritätenfestlegung mit
dem Betriebsrat), Sozialplänen oder Arbeitszeitregelungen notwendig sind. Konkrete Bei-
spiele für Verpflichtungen, die aus dem Arbeitsvertrag resultieren und ohne Zustimmung
des Betriebsrates über EDV abgewickelt werden könnten, wären: Daten über die Ein-
kommensverhältnisse des Ehegatten, wenn bei betrieblichen Wohnzulagen das Familien-
einkommen als Bemessungsgrundlage herangezogen wird; Angaben über die Kinder des
Arbeitnehmers (Alter, Studium etc), wenn freiwillige Kinderzulagen bezahlt werden; Be-
kanntgabe der Mitgliedschaft zur Gewerkschaft, wenn der ÖGB Beitrag vom Dienstge-
ber/von der Dienstgeberin einbehalten werden soll.
Jede Änderung des Datenverarbeitungssystems (zB Ergänzung des Systems durch neue
Verfahren, neue Aufgabenstellungen oder neue Programme) bedarf wiederum der Zu-
stimmung des Betriebsrates. Die bloße Veränderung von Hardwarekomponenten ohne
gleichzeitige Veränderung der Datenbasis, der Programme oder der Verarbeitungszwecke
ist darunter nicht subsumierbar. Personaldatensysteme im Sinn des § 96a ArbVG bedür-
fen zwar der Zustimmung des Betriebsrates, diese Zustimmung kann aber durch die Ent-
scheidung der Schlichtungsstelle ersetzt werden. Fehlt die Zustimmung des Betriebsrates
bzw die Zustimmung der Schlichtungsstelle, so ist ein dennoch eingeführtes Personalda-
tensystem rechtswidrig und rechtsunwirksam.
Die Zustimmung einzelner oder aller ArbeitnehmerInnen kann die Zustimmung des Be-
triebsrates nicht ersetzen.
Sollte ausnahmsweise ein Kollektivvertrag die Einführung von Personaldatensystemen
vorsehen/erlauben, dann muss innerbetrieblich keine Zustimmung des Betriebsrates
mehr eingeholt werden, dh keine Betriebsvereinbarung abgeschlossen werden.
6 ArbeitnehmerInnendatenschutz
25
6.4.3 Sonstige Mitwirkungsrechte
Die Ansatzpunkte für Mitwirkungsrechte der Belegschaft bei der Ermittlung, Verarbeitung
und Übermittlung von Arbeitnehmerdaten sind vielfältiger Natur. Abgesehen von den
Sonderbestimmungen der §§ 91 Abs 2 und 96a ArbVG handelt es sich um Befugnisse, die
nicht speziell auf Personaldatensysteme zugeschnitten sind. Die nachfolgende Aufzählung
soll auf einige Mitwirkungsrechte hinweisen, die im Zusammenhang mit Personaldaten-
systemen Bedeutung haben können (zur Mitwirkung bei Kontrollmaßnahmen vgl 6.5.).
Werden bei der Datenermittlung Personalbeurteilungssysteme, die nicht mit der ganz
konkret in Aussicht genommenen unmittelbar bevorstehenden Tätigkeit im Zusammen-
hang stehen oder Personalfragebögen, die nicht nur die allgemeinen Angaben zur Person
(zB wissenschaftliche Studie) und Angaben über die fachlichen Voraussetzungen für die
beabsichtigte Verwendung des Arbeitnehmers/der Arbeitnehmerin betreffen (qualifizier-
te Fragebögen), verwendet, dann unterliegen sie der notwendigen (zwingenden) Mitbe-
stimmung nach § 96 Abs 1 Z 2 ArbVG. Dies bedeutet, dass ein qualifizierter Fragebogen
nur mit Zustimmung des Betriebsrates eingeführt werden darf, wobei die Zustimmung
des Betriebsrates in Form einer Betriebsvereinbarung zu erfolgen hat. Die Zustimmung
des Betriebsrates kann auch nicht durch den Spruch einer Schlichtungsstelle ersetzt wer-
den, gleichgültig, ob der Personalfragebogen automationsunterstützt erfasst und verwer-
tet wird. Betriebsvereinbarungen über Personalfragebögen von StellenwerberInnen ver-
pflichten jedoch nur den Betriebsinhaber/die Betriebsinhaberin jene Fragestellungen vor-
zulegen, denen der Betriebsrat zugestimmt hat. Eine Verpflichtung für den Stellenwer-
ber/die Stellenwerberin kann sich aus dieser Betriebsvereinbarung nicht ergeben, da er
vom persönlichen Geltungsbereich der Betriebsverfassung mangels ArbeitnehmerIn-
neneigenschaft nicht erfasst ist. Dasselbe gilt für bereits aus dem Betrieb/Unternehmen
ausgeschiedene MitarbeiterInnen. Anders stellt sich die Situation beim Fragebogen für
ArbeitnehmerInnen mit aufrechtem Dienstverhältnis dar. Für sie ist die Betriebsvereinba-
rung unmittelbar rechtsverbindlich, sodass daraus die Verpflichtung zur wahrheitsgemä-
ßen Beantwortung des Fragebogens resultiert. Sind hingegen einzelne Fragen als Eingriffe
in Persönlichkeitsrechte des Arbeitnehmers/der Arbeitnehmerin zu werten oder aus sons-
6 ArbeitnehmerInnendatenschutz
26
tigen Gründen unzulässig, so beseitigt auch die Zustimmung des Betriebsrates nicht deren
Rechtswidrigkeit.
Für leitende Angestellte kommen Betriebsvereinbarungen generell nicht zur Anwendung,
da diese Personengruppe vom Geltungsbereich der Mitwirkungsrechte (des Betriebsra-
tes) ausgeschlossen ist. Damit ist für sie auch eine Betriebsvereinbarung über Personal-
fragebögen unbeachtlich.
Weitere Mitwirkungsrechte können sich insb ergeben aus
§ 92 Abs 1 ArbVG: Monatliche bzw vierteljährliche Beratungen mit dem Betriebs-
inhaber/der Betriebsinhaberin über allgemeine Grundsätze der Betriebsführung in
sozialer, personeller, wirtschaftlicher und technischer Hinsicht;
§ 108 ArbVG: Wirtschaftliche Informations-, Interventions- und Beratungsrechte;
§ 109 ArbVG: Mitwirkung bei Betriebsänderungen/Sozialplan;
§ 111 ArbVG: Einspruch gegen die Wirtschaftsführung;
§ 97 Abs 1 Z 1 ArbVG: Erzwingbare Mitbestimmung bei allgemeinen Ordnungsvor-
schriften, die das Verhalten der ArbeitnehmerInnen im Betrieb regeln;
§ 97 Abs 1 Z 6 ArbVG: Erzwingbare Mitbestimmung bei Maßnahmen zur zweck-
entsprechenden Benützung von Betriebseinrichtungen und Betriebsmitteln;
§ 97 Abs 1 Z 6a ArbVG: Erzwingbare Mitbestimmung bei Nachtschwerarbeit;
§ 97 Abs 1 Z 8 u 9 ArbVG: Freiwillige Mitbestimmung bei Maßnahmen und Einrich-
tungen zur Verhütung von Unfällen und Berufskrankheiten, zum Schutz der Ge-
sundheit der ArbeitnehmerInnen sowie zur menschengerechten Arbeitsgestal-
tung.
6.5 Datenschutz und MitarbeiterInnenkontrolle
Die Verwendung von Daten des Arbeitnehmers/der Arbeitnehmerin zu seiner/ihrer Kon-
trolle ist als besonders sensibel einzustufen, da Zweck und Mittel gleichermaßen Persön-
6 ArbeitnehmerInnendatenschutz
27
lichkeitsschutz gefährdendes Potential beinhalten. Das Arbeitsrecht stellt vor allem auf
die Art der Kontrolle ab und kennt unterschiedliche Formen von Beschränkungen.
In erster Linie setzen die gesetzlichen Bestimmungen bei Kontrollmaßnahmen und techni-
schen Systemen an, die die Menschenwürde berühren.
Hiebei sind drei Formen von Beschränkungen hervorzuheben:
In Betrieben, in denen kein Betriebsrat eingerichtet ist, bedürfen diese Maßnah-
men und Systeme der Zustimmung der einzelnen ArbeitnehmerInnen (§ 10
AVRAG).
Ist ein Betriebsrat eingerichtet, ist die Zustimmung des Betriebsrates im Rahmen
einer Betriebsvereinbarung nach § 96 Abs 1 Z 3 ArbVG erforderlich.
Die stärksten Eingriffe enthält das VBG (§ 29n) und das BDG (§ 79e Abs 1) für Bun-
desbedienstete. Diesen Regelungen zufolge ist die Einführung und Verwendung
derartiger Kontrollmaßnahmen und Systeme generell unzulässig.
Unter „Kontrolle“ werden die Erhebung gewisser Fakten und der Vergleich mit einem Soll-
Zustand verstanden. Unter Kontrollmaßnahmen im Sinn der zitierten Bestimmungen ist
die systematische Überwachung von Eigenschaften, Handlungen oder des allgemeinen
Verhaltens von ArbeitnehmerInnen durch den Betriebsinhaber/die Betriebsinhaberin ge-
meint. Die Menschenwürde wird nach Ansicht des OGH von einer Kontrollmaßnahme
oder einem Kontrollsystem dann „berührt“, wenn dadurch die vom Arbeitnehmer/von
der Arbeitnehmerin in den Betrieb miteingebrachte Privatsphäre kontrolliert wird. Von
der Privatsphäre abgesehen kann aber auch durch die Kontrollintensität der Arbeitsleis-
tung und des arbeitsbezogenen Verhaltens des Arbeitnehmers/der Arbeitnehmerin ein
Berühren der Menschenwürde bewirkt werden. Dies ist etwa der Fall, wenn die Kontrolle
in übersteigerter Intensität organisiert wird und jenes Maß überschreitet, das für Arbeits-
verhältnisse dieser Art typisch und geboten ist. Eine umfassende Abwägung der wechsel-
seitigen Interessen hat hiebei stattzufinden (OGH 20.12.2006, 9 ObA 109/06d).
6 ArbeitnehmerInnendatenschutz
28
Inwieweit die Kontrolle neuer Informations- und Kommunikationstechnologien der Mit-
bestimmung nach § 96 ArbVG bzw der Zustimmung nach § 10 AVRAG unterliegt, kann
aufgrund der vielfältigen Möglichkeiten der Ausgestaltung dieser Systeme nur im Einzel-
fall beurteilt werden. Die bloße Anwesenheitskontrolle durch eine Stechuhr wird die
Menschenwürde etwa noch nicht berühren (OLG Wien 20.10.1995, 9 Ra 123/95). Dies gilt
in der Regel auch für die Verwendung von Magnetkarten im Betrieb, solange sie nicht ein
arbeitnehmerbezogenes Bewegungsprofil während des Arbeitstages erlauben (EA Linz
30.6.1986, Re 122/85; s aber 6.4.2.).
Die Einführung eines elektronischen Telefonkontrollsystems, das die Nummern der ange-
rufenen TeilnehmerInnen systematisch und vollständig den jeweiligen Nebenstellen zu-
geordnet erfasst, wurde unter § 96 Abs 1 Z 3 ArbVG subsumiert, auch wenn durch Betäti-
gen einer Taste am Telefonapparat hinsichtlich der dann besonders gekennzeichneten
Gespräche die Endziffern der Rufnummer im System unterdrückt werden. Bietet der
Dienstgeber/die Dienstgeberin hinsichtlich eines derartigen Telefonkontrollsystems den
Abschluss einer die Persönlichkeitsrechte des Dienstnehmers/der Dienstnehmerin ausrei-
chend wahrenden Betriebsvereinbarung an, kann er/sie – verweigert der Betriebsrat die
Zustimmung – mit dem Vorbringen, die Einführung der Kontrollmaßnahme berühre dann
nicht mehr die Menschenwürde, gemäß § 96a Abs 2 ArbVG die Schlichtungsstelle anrufen
(s OGH 13.6.2002, 8 ObA 288/01p). Inhaltlich kommt man damit zu einer notwendigen
Mitbestimmung mit Zwangsschlichtung im Sinn des § 96a ArbVG (s 6.4.2.).
Kein wesensmäßiger Unterschied ist im Zusammenhang mit der Zustimmungs-
/Mitbestimmungspflicht zwischen überbetrieblicher (Internet) und innerbetrieblicher
Nutzung (Intranet) bzw bei der Versendung von E-Mails vorzunehmen. Entscheidend ist
stets die Intensität der Kontrolle. Ein „Mitlesen“ von E-Mails ohne vorherige Ankündigung
seitens des Arbeitsgebers/der Arbeitgeberin verletzt generell die Menschenwürde. Ein
Einblick in die Bildschirminhalte bei den einzelnen ArbeitnehmerInnen nach Ankündigung
wird ebenso wie die Aufzeichnung von Zugriffs- und Bewegungsdaten im Rahmen der
Benützung des Internets der notwendigen Mitbestimmung unterliegen, wenn sie inhalt-
6 ArbeitnehmerInnendatenschutz
29
lich umfassend und zeitgemäß kaum begrenzt erfolgt. Wird im Unternehmen hingegen
eine Verschlüsselungs-Software verwendet, die eine Anonymisierung der Daten gewähr-
leistet, entfällt insoweit die Mitbestimmungspflicht. Die Frage nach der Intensität der
Kontrolle stellt sich auch bei der Verwendung von GPS (Global Positioning System) und
Lokalisierungsfunktionen von Mobiltelefonen. In all diesen Fällen kann die exakte Positi-
on des Arbeitnehmers/der Arbeitnehmerin (zB von AußendienstmitarbeiterInnen, Kun-
denbetreuerInnen) festgestellt werden. Damit ist häufig nicht nur eine örtliche, sondern
auch eine Leistungskontrolle verbunden. Permanenz der Kontrolle, Abgleichungs-
möglichkeiten mit anderen ArbeitnehmerInnen, Aufzeichnung der Daten über einen län-
geren Zeitraum, Auswertungen der Daten etc sind Kriterien, deren Zusammentreffen in
diesen Fällen regelmäßig zu einer mitbestimmungspflichtigen Maßnahme iSd § 96 ArbVG
führen wird.
Die Abnahme und Verwendung biometrischer Merkmale des Arbeitnehmers/der Arbeit-
nehmerin bergen eine beträchtliche Eingriffs- und Kontrollintensität in sich. Dies gilt zum
Beispiel bei der Verwendung von Fingerprints selbst für die sogenannten „Templates“
(ohne Rückführbarkeit zum Original-Fingerabdruck). Dementsprechend wurde auch ein
Zeiterfassungssystem, das auf einem biometrischen Fingerscanning beruhte, als mitbe-
stimmungspflichtig nach § 96 Abs 1 Z 3 ArbVG angesehen (OGH 20.12.2006, 9 ObA
109/06d). Videoüberwachung zum Zweck der MitarbeiterInnenkontrolle ist schon nach §
50a Abs 5 DSG untersagt (s 6.6.).
6.6 Arbeitsverhältnis und Videoüberwachung
Mit der DSG-Novelle 2010 und der Einführung des Abschnitts 9a in das DSG kam es auch
mit der Normierung der Videoüberwachung zu Berührungen und Überschneidungen mit
dem Arbeitsrecht. Nicht nur dass die Generalklauseln der § 50a ff DSG arbeits-
rechtspezifischer Konkretisierungen bedürfen, untersagt § 50a Abs 5 DSG die Videoüber-
wachung zum Zweck der MitarbeiterInnenkontrolle an Arbeitsstätten.
6 ArbeitnehmerInnendatenschutz
30
Auch das DSG neu erklärt in § 12 Abs 4 Z 2 eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern
für unzulässig. Im Gegensatz zum DSG 2000 spricht das DSG neu aber nicht mehr von der Mitarbeiterkon-
trolle „an der Arbeitsstätte“.
Unzulässig ist dem DSG zufolge nicht nur die Kontrolle der Leistung, sondern auch die
Kontrolle des sonstigen Verhaltens des Arbeitnehmers/der Arbeitnehmerin. Wenn das
Gesetz von Kontrolle an der Arbeitsstätte spricht, werden „arbeitsplatzferne“ Unterneh-
mensbereiche, die von anderen Personen in gleicher Weise benutzt oder besucht werden
(zB firmeneigene Parkplätze) nicht darunter zu subsumieren sein. Ebenso nicht vom Ver-
bot erfasst werden auch jene Videosysteme sein, bei denen die Kontrolle anderen Zwe-
cken dient und die Überwachung der MitarbeiterInnen nur einen nicht vermeidbaren
unbedeutenden Nebeneffekt darstellt bzw übergeordneten Interessen (zB Arbeitnehmer-
Innenschutzbelangen) dient.
Selbst wenn eine Videoüberwachung nach DSG zulässig ist, wird regelmäßig eine Be-
triebsvereinbarung nach § 96 Abs 1 Z 3 ArbVG (s 6.5.) oder zumindest nach § 96a ArbVG
(s 6.6.2.) abzuschließen sein. § 50c Abs 1 DSG (§ 13 DSG neu) enthält für Videoüberwachun-
gen spezielle Melde-/Registrierungspflichten. Regelmäßig unterliegen sie der Vorabkon-
trolle im Sinn des § 18 Abs 2 DSG. Betriebsvereinbarungen über Videoüberwachungen
sind im Registrierungsverfahren vorzulegen. Eine solche Vorlagepflicht gilt expressis ver-
bis jedoch nur für Betriebsvereinbarungen im Sinn des § 96a ArbVG (s 6.4.2.). Analog ist
dies aber auch für Betriebsvereinbarungen gem § 96 Abs 1 Z 3 ArbVG (s 6.5.) zu bejahen
6.7 Datensicherheit als Pflicht der ArbeitnehmerInnen
Arbeitnehmerdatenschutz bedeutet nicht nur Schutz der (ArbeitnehmerInnen-)Daten vor
unzulässiger Verwendung durch den Arbeitgeber/die Arbeitgeberin, sondern auch vor
unzulässiger Verwendung durch andere ArbeitnehmerInnen. Die Bestimmungen zur Da-
tensicherheit in den §§ 14 und 15 DSG sind allgemein ausgestaltet, greifen aber nicht un-
wesentlich und spezifisch in den Pflichtenkreis der ArbeitnehmerInnen ein. § 15 Abs 1
DSG verpflichtet ArbeitnehmerInnen und arbeiternehmerähnliche Personen Daten aus
Datenanwendungen, die ihnen ausschließlich aufgrund ihrer berufsmäßigen Beschäfti-
6 ArbeitnehmerInnendatenschutz
31
gung anvertraut wurden oder zugänglich geworden sind, geheim zu halten, außer es be-
steht ein zulässiger Grund zur Weitergabe der Daten (Datengeheimnis). Entweder im
Rahmen des Arbeitsvertrages oder im Rahmen einer gesonderten Datenschutzvereinba-
rung sind MitarbeiterInnen zu verpflichten, Daten aus Datenanwendungen nur aufgrund
von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des
Arbeitsverhältnisses einzuhalten.
Das DSG neu sieht die Verpflichtung zur Datengeheimhaltung nun in § 6 Abs 1 vor. Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter – das sind Arbeitnehmer und Personen in einem arbeitneh-merähnlichen Verhältnis – haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließ-lich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbe-schadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässi-ger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht. Weiters dürfen Mitarbeiter gemäß § 6 Abs 2 DSG neu personenbezogene Daten nur auf Grund einer aus-drücklichen Anordnung ihres Arbeitgebers übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertrag-lich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses zum Verantwortlichen oder Auftragsverarbeiter einzuhalten.
Der Dienstgeber/die Dienstgeberin ist schon gem § 14 DSG angehalten alle MitarbeiterIn-
nen über die nach dem DSG und nach innerbetrieblichen Datenschutzvorschriften beste-
henden Pflichten zu belehren. Darüber hinaus hat er/sie gem § 15 Abs 3 DSG Arbeitneh-
merInnen über die Folgen einer Verletzung der Datengeheimnisse aufzuklären. Unabhän-
gig von dieser Belehrung bzw auch ohne diese Belehrung können jedoch Verletzungen
des Datengeheimnisses den Tatbestand arbeitsrechtlicher Entlassungsgründe erfüllen.
Ebenso sieht § 6 Abs 3 DSG neu vor, dass der Verantwortliche und der Auftragsverarbeiter die von der An-ordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Fol-gen einer Verletzung des Datengeheimnisses zu belehren haben.
Umgekehrt darf ein Mitarbeiter/eine Mitarbeiterin keine Nachteile erleiden, wenn er/sie
sich weigert, datenschutzrechtlich unzulässige Datenübermittlungen vorzunehmen (§ 15
Abs 4 DSG; datenschutzrechtliches Benachteiligungsverbot).
Dieses Benachteiligungsverbot findet sich ab 25. Mai 2018 in § 6 Abs 4 DSG neu.
7 IKT und ArbeitnehmerInnenschutz
32
7 IKT und ArbeitnehmerInnenschutz
Der sog technische ArbeitnehmerInnenschutz umfasst sämtliche Regelungen, die die Si-
cherheit und den Gesundheitsschutz der ArbeitnehmerInnen bei der Arbeitsleistung ge-
währleisten sollen. Rechtsgrundlage ist vor allem das ASchG und die dazu erlassenen Ver-
ordnungen.
Die Bestimmung des § 67 Abs 2 ASchG enthält eine generelle Verpflichtung des Arbeit-
gebers/der Arbeitgeberin, Bildschirmarbeitsplätze ergonomisch zu gestalten. Bildschirm-
arbeitsplätze sind hiebei solche, bei denen das Bildschirmgerät und die Dateneingabetas-
tatur oder eine sonstige Steuerungseinheit sowie gegebenenfalls ein Informationsträger
eine funktionelle Einheit bilden.
Zu den besonderen Maßnahmen bei Bildschirmarbeit gehört:
Die Evaluierung des Arbeitsplatzes, dh die Überprüfung der besonderen Gefahren
im Zusammenhang mit der Bildschirmarbeit;
Berücksichtigung der sog Software-Ergonomie, dh die Software muss der Tätigkeit
angepasst sein, die Software muss benutzerfreundlich sein, die Systeme müssen
den ArbeitnehmerInnen Angaben über die jeweiligen Abläufe bieten, die Systeme
müssen die Information in einem Format und in einem Tempo anzeigen, das dem
Benutzer angepasst ist.
Nach jeweils 50 Minuten ununterbrochener Bildschirmarbeit muss eine Pause o-
der ein Tätigkeitswechsel im Ausmaß von jeweils mindestens 10 Minuten erfolgen.
Das gilt nicht, wenn täglich nicht mehr als zwei Stunden ununterbrochene Bild-
schirmarbeit geleistet wird (Bildschirmarbeitspause gem § 10 Bildschirmarbeits-
VO). Diese Pausen sind in die Arbeitszeit einzurechnen.
Falls ArbeitnehmerInnen Bildschirmarbeit verrichten, haben sie Anspruch auf Un-
tersuchung der Augen und des Sehvermögens.
Falls normale Sehhilfen nicht verwendet werden können, haben ArbeitnehmerIn-
nen ein Recht auf spezielle Sehhilfen (Bildschirmarbeitsbrille). Die Kosten für die
8 Belegschaftsorgane als Datenverarbeiter
33
Bildschirmarbeitsbrille sind teils vom Arbeitgeber/von der Arbeitgeberin, teils von
der gesetzlichen Sozialversicherung (Krankenversicherungsträger) zu übernehmen.
Grundsätzlich handelt es sich um einen notwendigen Heilbehelf im Sinn des § 138
ASVG, eine Pflichtleistung der Krankenversicherung. Die den Kassentarif überstei-
genden Kosten hat der Arbeitgeber/die Arbeitgeberin zu begleichen. Jeglicher Kos-
tenersatz beschränkt sich aber auf das medizinisch Indizierte.
8 Belegschaftsorgane als Datenverarbeiter
Falls der Betriebsrat oder sonstige Belegschaftsorgane Daten von Arbeitnehmern oder
sonstige personenbezogene Daten verwenden, haben sie die Verpflichtungen des DSG
einzuhalten. Auftraggeber iSd DSG ist an sich der jeweilige Träger der betriebsverfas-
sungsrechtlichen Befugnisse, dh die Belegschaft bzw die jeweilige Belegschaftsgruppe. Die
Datenverarbeitung des Betriebsrates, des Zentralbetriebsrates etc können nicht der Da-
tenverarbeitung des Arbeitgebers zugerechnet werden.