Digitalisierung der Arbeitswelt – Weiterbildung, Datenschutz, AN-Schutz und Betriebsverfassung ? S. KÖCK DRdA ? 5/2017 ? Oktober 347 Nicht minder problematisch erscheint die immer wieder sowohl in der Literatur als auch – beson- ders bedenklicher Weise – in der Rsp vorgetragene These, die typischen Mechanismen zum Schutz der AN-Interessen bei der Auswertung ihrer Daten wäre die verpflichtende Beiziehung beispielsweise des BR.59) Die These verkennt, dass der BR gegen- über dem AN und seinen personenbezogenen Daten Dritter ist und der AN daher auch Anspruch auf Schutz seiner Daten gegenüber ebendiesem BR hat. Das ArbVG ist diesbezüglich (in § 91 Abs 2 letzter Satz) klar – der BR hat Zugang zu AN-Daten nur soweit speziell gesetzlich vorgesehen. Eine Annahme, diese Betriebsratskompetenzen könnten ja vielleicht durch Betriebsvereinbarungen ausge- weitet werden, muss an der stehenden OGH-Rsp gegen die Zulässigkeit betriebsverfassungsrechtli- cher Normen scheitern. Die Empfehlung, die Zuläs- sigkeit des AG-Zugriffs auf AN-Daten im Einzelfall durch Beiziehung des BR abzusichern, verkennt nicht nur das Betriebsverfassungsrecht und die Stellung des BR, der ohne gesetzliche Grundlage keine Kompetenzen hat, sondern auch das Daten- schutzrecht, das individuelle Daten schützt.60) Dass es auch kaum Literatur zur Frage gibt, wie der BR mit den AN-Daten umzugehen hat,61) zu denen er (ausnahmsweise und auf gesetzlicher Grundlage) Zugang hat, rundet das Bild nur ab. Zuletzt bleiben drei weitere Schwachpunk- te: Erstens ist das Arbeitsrecht auch in seinen datenschutz-einschlägigen Bestimmungen nicht mit dem DSG harmonisiert. Das beginnt bei der Terminologie in § 96a Abs 1 Z 1 ArbVG (was ist Datenverarbeitung?) und erfasst auch die fehlen- de arbeitsrechtliche Sonderstellung (insb in § 96a Abs 1 Z 1 ArbVG) jener Datenanwendungen, die als „Standardanwendungen“ datenschutzrechtlich durch die fehlende Meldepflicht und die fehlende Genehmigungspflicht beim ausländischen Daten- verkehr begünstigt sind.62) Zweitens besteht nur wenig Diskussion darüber, was eigentlich inhalt- liche Anforderungen an „datenschutzrechtliche“ Betriebsvereinbarungen sind – vor allem an solche gem § 96a Abs 1 ArbVG. (Eine umfangreiche Dis- kussion besteht zwar zur Frage, wann Kontroll- maßnahmen und -systeme die Menschenwürde „verletzen“ anstatt sie nur zu berühren, und daher jedenfalls unzulässig seien;63) diesbezüglich kann man nur die fehlende Verschränkung mit dem Datenschutzrecht bemängeln.) Nun mag es diese Anforderungen nicht geben – vielleicht begnügt sich ja das Arbeitsrecht mit der Zustimmung des BR (und der daraus folgenden Inhaltsgewähr); aber warum das dann datenschutzrechtlich auch relevant sein sollte, ist nicht erklärbar.64) Zuletzt ist die fehlende Diskussion der Inhalte von Betriebs- vereinbarungen gem § 96a Abs 1 ArbVG auch des- halb nachteilig, weil damit die inhaltliche Reich- weite solcher Betriebsvereinbarungen offen ist. Der Umstand, dass diese Betriebsvereinbarungen erzwingbar sind, spricht iSd Legalitätsprinzips für eine enge Deutung. Damit wären aber zB Fragen der Datensicherheit (und zB einer AG-Verpflich- tung, Datensicherheitsverletzungen bei AN-Daten speziell an die AN zu melden) durch Betriebsver- einbarungen nicht regelbar. Angesichts der Bedeu- tung von Datensicherheit für AN ist das für die AN keine ideale Situation. Wenn schon die Tatbestände des § 96a ArbVG wegen der Erzwingbarkeit eng interpretiert werden müssen, dann wäre ein fakul- tativer Betriebsvereinbarungstatbestand für weiter- gehende Datenschutzfragen nicht unpraktisch. 4.2.7 Fazit Die Rechtslage in Bezug auf AN-Datenschutz ist in Österreich besonders unklar, und die fehlen- de Abstimmung zwischen Datenschutzrecht und Arbeitsrecht hilft weder den AN noch den AG. Für AG ist es schwierig, verlässlich datenschutzrechtli- che Compliance herzustellen – das ist aber ein Ziel, das zunehmend sowohl gesellschaftsrechtlich als auch allgemein an Bedeutung gewinnt. Die Diagnose des faktischen Status Quo ist den- noch gespalten: Im Betriebsratsbetrieb erscheint die Rechtslage derzeit für die AG recht praktikabel und aufgrund der Haltung der DSB recht verläss- lich; das Schutzniveau für die AN ist – zumindest bei Bestehen eines informierten und interessierten BR – ansprechend. Das Schutzniveau im betriebs- ratslosen Betrieb ist aber fraglich. Die Rechtslage ist verworren und inkonsistent. Die Sanktionen des DSG sind derzeit bei Massenübertretungen schwach. Und aufgrund der häufig fehlenden betrieblichen Streitneigung und des Umstandes, dass die zivilprozessuale Verwertbarkeit von Daten nicht durch eine etwaige Rechtswidrigkeit der Ver- arbeitung unterbunden wird, bestehen in diesem Bereich erhebliche Zweifel am Niveau des AN- Datenschutzes im betriebsratslosen Betrieb. 4.3. Die neue DS-GVO 4.3.1. Allgemein Die neue DS-GVO stellt den Versuch der Europä- ischen Union dar, das Datenschutzrecht, bisher 59) So ausdrücklich der OGH 13.6.2002, 8 ObA 288/01p („Zu [den Maßnahmen, die zur Anwendbarkeit des § 96a ArbVG führen können] zählt etwa die Verpflichtung des Dienstgebers, die Rufdatenerfassung nur im Verdachtsfall, etwa bei überdurchschnittlich hohen Telefon- kosten einer Nebenstelle, unter Einbeziehung des Betriebsrates zu öffnen, nur im Falle des Weiterbestehens von Verdachtsmomenten diese nach Information des Betriebsrats mit dem jeweiligen Dienst- nehmer zu erörtern und schließlich weitere Erhebungen erst dann zu führen, wenn der Dienstnehmer die Verdachtsmomente nicht ent- sprechend entkräften kann.“); ähnlich grundlegend (und mE unrichtig) Kotschy/Reimer, Die Überwachung der Internet-Kommunikation am Arbeitsplatz, ZAS 2004/29. 60) Knyrim/Treml (Industrie 4.0 – Auswirkungen auf Datenschutz und Arbeitsrecht, Dako 2016/70) weisen zu Recht auf dieses Problem hin (105), bieten aber keine Lösung an, wie der Zugriffsschutz ohne BR funktionieren soll. 61) Die Ausnahme ist der grundlegende und wichtige Beitrag von Lösch- nigg, Der Betriebsrat als Datenverwender, in Resch (Hrsg), Daten- nutzung im Betrieb (2015) 33. Auch er behandelt aber nicht die hier angesprochene Anomalie – die angeblich nötige Beiziehung des BR zur Auswertung von AN-Daten ohne AN-Zustimmung. 62) Siehe § 17 Abs 2 Z 6 sowie § 12 Abs 3 Z 8 DSG und die dazu ergangene Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2004 – StMV 2004) BGBl II 2004/312 idgF. 63) Zum Stand von Rsp und Literatur Risak in Brodil, Datenschutz 44 ff. 64) Siehe schon die Kritik aus datenschutzrechtlicher Sicht oben im Text Abschn 4.1.