Vier knappe Sätze im Arbeitsverfassungsrecht zur Arbeitnehmerdatenverarbeitung stammen aus den 1970er- und 1980er-Jahren und geben vielfach keine Antworten auf aktuelle Fragen der Datenverarbeitungstechnologie.
Wien. Am 23. Februar jährt sich der Todestag von Sozialminister Alfred Dallinger zum 25. Mal. Minister Dallinger stürzte an diesem Tag im Jahr 1989 mit einem Flugzeug in den Bodensee. Er war die treibende Kraft hinter der Einführung einer Novelle zum Arbeitnehmerdatenschutzrecht 1986. Es scheint, als habe sich seit seinem Absturz kein Politiker mehr dieses Themas anzunehmen getraut. Denn es ist dabei geblieben: Nur zwei Sätze aus 1974 zur Betriebsvereinbarungspflicht technischer Mitarbeiter-Kontrollmaßnahmen und von Datenerfassungssystemen bei Akkordlöhnen (§ 96 ArbVG) und zwei Sätze aus 1986 zur Betriebsvereinbarungspflicht von automationsunterstützten Personaldatensystemen und Mitarbeiterbeurteilungssystemen (§96a ArbVG) regeln die Arbeitnehmerdatenverarbeitung. Alle vier knappen Sätze sind seit ihrer Einführung unverändert.
Drei Jahrzehnte später zeigt sich laufend der Bedarf an detaillierteren und aktuelleren Regelungen: In Unternehmen wirft die innerbetriebliche und konzerninterne EDV täglich Datenschutzfragen auf, die in Bezug auf Arbeitnehmerdatenverarbeitung oft in komplexer Weise mit arbeitsverfassungsrechtlichen Fragen verwoben sind. Es gibt zahlreiche offene Fragen, zu denen es keine aktuellen Antworten von dort gibt, woher man sie erwarten würde: vom Gesetz oder von den Arbeitsgerichten, die das wenige bestehende Arbeitsverfassungsrecht anwenden sollen. So fehlen Antworten zur kollektiven Regelung der Überwachung von E-Mail- und Internetverkehr der Mitarbeiter. Eine der Leitentscheidungen ist hier eine Entscheidung des OGHs aus dem Jahr 2002, die allerdings eine Telefonanlage betraf. Was mit dem privaten wie beruflichen E-Mail-Verkehr und Datensammlungen von aktiven, ausgeschiedenen oder gar verstorbenen Mitarbeitern gemacht oder nicht gemacht werden darf, ergibt Stoff für zahlreiche, komplexe Gutachten, da klare Aussagen fehlen. Ebenso schwierig ist das Spannungsfeld von interner Revision und Compliance zum Arbeitnehmerdatenschutz: Wie kann ein Unternehmen überwachen und untersuchen, ohne Datenschutz- und Arbeitsverfassungsrechte der Mitarbeiter zu gefährden? Den sehr praxisrelevanten Themenbereich der Übermittlung von Mitarbeiterdaten in internationalen Konzernen an Vorgesetzte in ausländischen Konzerngesellschaften musste die Datenschutzkommission (nunmehr: Datenschutzbehörde) aufarbeiten, die immer mehr arbeitsverfassungsrechtliche Themen als Vorfragen lösen muss, weil es dazu keine Judikatur der eigentlich zuständigen Arbeitsgerichte gibt. Beispielhaft ist auch das heikle Thema Whistleblowing, zu dem die Datenschutzbehörde regelmäßig Entscheidungen trifft. Das Arbeitsverfassungsrecht kennt diesen Begriff aber – wie viele andere organisatorische und technische Entwicklungen der Praxis der letzten Jahre und Jahrzehnte – nicht, und es gibt dazu keine arbeitsgerichtliche Judikatur.
Die Kluft wächst. Auf der einen Seite fehlen ausreichend konkrete, grundlegende Regelungen und Entscheidungen der Arbeitsgerichte in arbeitsverfassungsrechtlichen Fragen zur Nutzung von Mitarbeiterdaten. Auf der anderen Seite liegen jeden Tag mehr unklare Situationen und Graubereiche in der Unternehmenspraxis vor. Die Politik muss sich daher fragen: Ist diese Entwicklung wirklich so gewollt?
EU erlaubt nationale Regelung
In Deutschland wird seit geraumer Zeit an einem eigenen Beschäftigtendatenschutz gearbeitet. Diese Diskussion muss in Österreich nun dringend gestartet werden: Die Schaffung eines eigenen „Arbeitnehmerdatenschutzrechtes“ ist insbesondere im Hinblick auf die Pläne der EU-Kommission, ein vollständig neues, direkt anwendbares EU-Datenschutzrecht in Form einer EU-Verordnung zu schaffen, notwendig. Der Entwurf der Kommission sieht in Art. 82 vor, dass der nationale Gesetzgeber im Bereich des Arbeitnehmerdatenschutzes eigenständige Regeln erlassen kann, der für Grundrechte zuständige Ausschuss des EU-Parlaments, LIBE, hat kürzlich die Verankerung von einigen – allerdings sehr rudimentären – Mindestnormen in dem Entwurf beschlossen. Der Entwurf der EU-Kommission sieht auch ein „One-Stop-Shop“-Verfahren für Konzerne vor: Diese sollen künftig die Möglichkeit haben, Datenschutzthemen für ganz Europa mit der Datenschutzbehörde an ihrer Hauptniederlassung zu klären. Dann wird über den notwendigen Interessensausgleich zwischen österreichischen Arbeitnehmern (die zu internationalen Konzernen gehören) und deren internationalen Arbeitgebern von Verwaltungsbehörden in anderen EU-Staaten entschieden werden, wenn es bis dahin kein eigenständiges, weiterentwickeltes österreichisches Arbeitnehmerdatenschutzrecht inkl. laufender Rechtsfortbildung durch österreichische Gerichte gibt.
Strafdrohung bis 100 Mio. Euro
Die Hoffnung, dem auszuweichen, indem die künftige Rechtslage einfach ignoriert wird, weil die Sanktionen gering sind, hat das EU-Parlament zunichtegemacht: Der LIBE-Ausschuss nahm einen geänderten Text des EU-Vorschlags an. Dieser sieht Strafen bis 100 Mio. Euro oder fünf Prozent vom globalen Konzernumsatz vor, wenn man sich dann nicht an das hält, was eine Behörde aus einem anderen Mitgliedstaat dem österreichischen Arbeitgeber hinsichtlich seiner Arbeitnehmerdatenverarbeitung vorschreibt. Die Uhr dafür tickt.
Dr. Knyrim ist Rechtsanwalt und Partner der Kanzlei Preslmayr Rechtsanwälte OG, Wien.
("Die Presse", Print-Ausgabe, 17.02.2014)