Datenschutz im Arbeitsrecht

Praxisrelevante Fragen

1. Einleitung

Der Beitrag folgt weitestgehend der hervorragenden Darstellung von Hattenberger und orientiert sich (daher) an der Systematik des DSG. Nicht eingegangen wird somit auf "Schnittstellenprobleme" zwischen Datenschutz und Persönlichkeitsrechten sowie zwischen Datenschutz und kollektivem Arbeitsrecht.

2. Wesentliche Definitionen

2.1. Personenbezogene Daten

Voraussetzung für die Anwendbarkeit des DSG ist das Vorliegen personenbezogener Daten. Personenbezogene Daten sind gem. § 4 Z 1 DSG Angaben über Personen (Betroffene), deren Identität bestimmt oder bestimmbar ist. Der Begriff der personenbezogenen Daten ist weit zu verstehen und umfasst daher sämtliche Informationen, die mit einer Person in Verbindung stehen oder in Verbindung gebracht werden können, wie z. B. Name, Geburtsdatum, Adresse, Lebenslauf, Leumund, Einkommen, Vermögen, Intelligenzquotient, Weltanschauung, Leistungsfähigkeit, aber auch Werturteile wie Aussagen über die Bonität.

Personenbezogen sind auch biometrische Daten, also Angaben über Personen, deren Identität durch messbare körperliche Merkmale bestimmt oder bestimmbar ist, wie bspw. Fingerabdruck, Iris- und Retinamuster, Stimmbild usw. Im Zuge der Internet- und E-Mail-Nutzung durch den Arbeitnehmer können ebenfalls personenbezogene Daten entstehen: So generieren Log-Daten eines Webservers personenbezogene Daten, wenn sie einer Person zuordenbar sind, was jedenfalls dann der Fall ist, wenn sich ein Arbeitnehmer am PC mit Benutzername und Passwort anmeldet.

S. 1482.2. Sensible Daten

Eine Unterkategorie der personenbezogenen Daten bilden die sensiblen Daten. Das sind gem. der taxativen Aufzählung des § 4 Z 2 DSG Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gesellschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben. Sensible Daten können auch bei der Protokollierung von Log-Dateien und E-Mails anfallen, wenn die Empfänger-Adresse Rückschlüsse über ein Merkmal zulässt, das in den Bereich der (potenziell) sensiblen Daten fällt (z. B. Religionszugehörigkeit). Datenschutzrechtlich stellt sich dabei das Problem, dass es für den Arbeitgeber vor der Protokollierung und allenfalls Auswertung der Adressen nicht möglich ist, zu erkennen, ob es sich um sensible Daten handelt. In der Literatur wird daher vorgeschlagen, im Zweifel vom Vorliegen sensibler Daten auszugehen.

2.3. Auftraggeber

Auftraggeber i. S. d. § 4 Z 4 DSG ist derjenige, der die Entscheidung getroffen hat, Daten für einen bestimmten Zweck zu verarbeiten, aber auch ein Auftragnehmer (also jemand, der eine Datenverarbeitung im Auftrag eines anderen durchführt), wenn ihm die Verarbeitung der überlassenen Daten ausdrücklich untersagt wurde oder er die Entscheidung über die Art der Verwendung, insb. die Vornahme einer Verarbeitung der überlassenen Daten, aufgrund von Rechtsvorschriften, Standes- oder Verhaltensregeln gem. § 6 Abs 4 DSG eigenverantwortlich zu treffen hat. Auftraggeber ist im Arbeitsverhältnis daher jedenfalls der Arbeitgeber.

2.4. Verwenden, Verarbeiten und Übermitteln von Daten

Das "Verwenden" umfasst sowohl das Verarbeiten als auch das Übermitteln von Daten. Das Verarbeiten inkludiert jede Art der Handhabung von Daten einer Datenanwendung mit Ausnahme des Übermittelns, also etwa das Ermitteln, Erfassen, Speichern, Aufbewahren, Löschen, Vergleichen, Ordnen, Sperren oder Verknüpfen von Daten.

Das Übermitteln von Daten beinhaltet:

• Das Weitergeben von Daten einer Datenanwendung an Dritte (das sind Personen, die weder Betroffener, noch Auftraggeber noch Dienstleister sind; also - in Bezug auf Arbeitnehmer-Daten - auch der Betriebsrat);

• das Veröffentlichen von Daten (bspw. in einer Mitarbeiterzeitung oder im Internet): Eine Datenübermittlung liegt auch vor, wenn Arbeitnehmer ohne betriebliche Notwendigkeit auf die Daten anderer Arbeitnehmer zugreifen;

• das Verwenden von Daten für ein anderes Aufgabengebiet des Auftraggebers.

S. 1493. Grundsätze des DSG

3.1. Grundsatz von Treu und Glauben

Daten dürfen gem. § 6 Abs. 1 Z 1 DSG nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden. Nach den ErlRV bedeutet Datenverwendung nach Treu und Glauben, dass der Betroffene über die Umstände des Datengebrauchs sowie über das Bestehen und die Durchsetzbarkeit seiner Rechte nicht irregeführt wird. Konkretisiert wird dieser Grundsatz insb. durch die in § 24 DSG verankerte Informationspflicht (siehe Pkt. 5.2.).

3.2. Zweckbindung

Daten dürfen gem. § 6 Abs. 1 Z 2 und 3 DSG nur für eindeutige, festgelegte und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden. Die Verwendung von Daten ist zulässig, soweit sie für den Zweck der Datenanwendung wesentlich ist und über diesen Zweck nicht hinausgeht. Verboten ist somit eine Datensammlung "auf Vorrat". Wie eng bzw. weit die erforderliche Zwecksetzung reichen kann, ob also bspw. der Zweck der Datenerfassung mit "Personalverwaltung" bezeichnet werden darf, wird in der Literatur unterschiedlich beantwortet.

3.3. Aufbewahrungsfristen

Daten dürfen gem. § 6 Abs. 1 Z 5 DSG - sofern sich die Zulässigkeit einer längeren Aufbewahrungsdauer nicht aus besonderen gesetzlichen, insb. archivrechtlichen Vorschriften ergibt - nur so lange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist. Im Zuge eines Bewerbungsverfahrens ermittelte Daten sind daher bspw. nach Beendigung des Auswahlverfahrens zu anonymisieren oder zu löschen; eine Aufbewahrung für allfällige spätere Stellenbesetzungsverfahren bedarf der Zustimmung der Betroffenen. Weiters ist die Aufbewahrung von Daten in personenbezogener Form über die Beendigung des Arbeitsverhältnisses hinaus folglich nur zulässig, solange noch Leistungen erbracht werden (z. B. betriebliche Ruhegelder) bzw. Ansprüche aus dem Arbeitsverhältnis geltend gemacht werden können.

4. Datenverwendung

4.1. Allgemeines

Eine Datenverwendung ist gem. § 7 Abs. 3 DSG nur zulässig, wenn die unter Pkt. 3. angeführten Grundsätze beachtet werden, der dadurch verursachte Eingriff in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgt (siehe Pkt. 4.4.) sowie die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden (siehe Pkt. 4.3.).

Weitere Zulässigkeitsvoraussetzungen sind

• für die Verarbeitung von Daten: Zweck und Inhalt der Datenanwendung müssen von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sein (siehe Pkt. 4.2.);

• für die Übermittlung von Daten:

- die übermittelten Daten müssen aus einer zulässigen Anwendung stammen,

S. 150- der Empfänger der Daten muss über eine ausreichende Befugnis im Hinblick auf den Übermittlungszweck verfügen.

Im Zweifel ist die Verwendung von Daten unzulässig.

4.2. Rechtliche Befugnis

Die rechtliche Befugnis zur Datenverarbeitung ist für das Arbeitsverhältnis unproblematisch: Jeder Arbeitgeber ist befugt, die für die Personalauswahl und Administration des Arbeitsverhältnisses erforderlichen Daten zu verarbeiten.

4.3. Schutzwürdige Interessen des Betroffenen

4.3.1. Nicht-sensible Daten

Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung nicht-sensibler Daten gem. § 8 Abs. 1 DSG nicht verletzt, wenn eine der folgenden Voraussetzungen vorliegt:

• Eine ausdrückliche gesetzliche Ermächtigung;

• die Zustimmung des Betroffenen;

• das Vorliegen lebenswichtiger Interessen auf Seiten des Betroffenen;

• überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten;

• die Notwendigkeit der Verwendung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde, sofern die Daten rechtmäßig ermittelt wurden.

Wann überwiegende berechtigte Interessen vorliegen, wird in § 8 Abs. 3 DSG durch einige Beispiele konkretisiert. Für das Arbeitsverhältnis ist dabei insb. Z 4 von Relevanz, wonach die berechtigten Interessen des Auftraggebers überwiegen, wenn die Verwendung der Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem (also Arbeitgeber und Arbeitnehmer) erforderlich ist. Eine Datenverwertung wäre - gestützt auf diesen Tatbestand - etwa dann gerechtfertigt, wenn sie darauf abzielt, das IT-System vor Angriffen auf seine Funktionsfähigkeit zu schützen, vermeidbare Kosten für den Arbeitgeber zu minimieren oder den guten Ruf des Arbeitgebers zu schützen.

Als unzulässig erachtete die Datenschutzkommission (DSK) allerdings bspw. die Protokollierung des jeweiligen Eintragungszeitpunktes der vom Arbeitnehmer durchzuführenden selbständigen Erfassung seiner Arbeitszeiten in eine virtuelle Zeitkarte im Intranet. Problematisch ist m. E. bspw. auch die Übermittlung von "Geburtstagslisten" an den Betriebsrat ohne Zustimmung der Betroffenen.

S. 1514.3.2. Strafregisterdaten

Strafregisterdaten fallen nach der Terminologie des DSG unter den Begriff der nicht-sensiblen Daten, genießen aber erhöhten Schutz. Ihre Verwendung ist nur zulässig, wenn einer der drei taxativ aufgezählten Ausnahmegründe des § 8 Abs. 4 DSG vorliegt. Für das Arbeitsverhältnis kommt dabei Z 3 in Betracht. Demnach ist die Verwendung solcher Daten zulässig, wenn die Interessenabwägung zugunsten des Arbeitgebers ausfällt, und wenn erhöhten Sicherheitsanforderungen entsprochen wird.

4.3.3. Sensible Daten

§ 9 DSG enthält eine taxative Aufzählung von 13 Gründen, aus denen sensible Daten verwendet werden dürfen. Davon sind drei Gründe für das Arbeitsverhältnis von besonderem Interesse:

• Das Bestehen einer gesetzlichen Ermächtigung oder einer Verpflichtung, die der Wahrung eines wichtigen öffentlichen Interesses dient;

• das Vorliegen einer ausdrücklichen Zustimmung des Betroffenen;

• die Notwendigkeit der Verwendung, um den Rechten und Pflichten des Arbeitgebers auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, wenn sie nach besonderen Rechtsvorschriften zulässig ist.

4.4. Erforderlichkeit, gelindestes Mittel

Die Verwendung von personenbezogenen Daten ist nur so weit zulässig, als dies zur Zielerreichung unvermeidlich und unerlässlich ist und das angestrebte (legitime) Ziel nicht auch auf schonendere Weise erreicht werden kann. So sind z. B. personenbezogene Auswertungen unzulässig, wenn das angestrebte Ziel auch durch anonymisierte Auswertungen erreicht werden kann. Ebenso ist es nicht zulässig, Zugriffe auf das Internet zu protokollieren, wenn das anvisierte Ziel auch durch das Sperren von Websites erreichbar ist.

Auch andere Grundrechte als das Grundrecht auf Datenschutz spielen bei der Beurteilung der Erforderlichkeit eine Rolle, denn würde die beabsichtigte Datenverwendung ein (sonstiges) Grundrecht verletzen, so ist sie nicht erforderlich und damit auch nicht zulässig. So wird bspw. das Lesen von privaten E-Mails durch den Arbeitgeber - ungeachtet des Umstandes, dass es dem Arbeitgeber unbenommen bleibt, die private Nutzung des von ihm zur Verfügung gestellten Internets oder den Versand privater
E-Mails vom Arbeitsplatz aus zu verbieten - als mit dem Fernmeldegeheimnis nicht vereinbar und folglich als unzulässig erachtet.

5. Publizität

5.1. Registrierungspflicht

Grundsätzlich ist jede Datenanwendung vor ihrer Aufnahme der DSK zum Zweck der Registrierung im Datenverarbeitungsregister zu melden. Ausnahmen bestehen jedoch S. 152insb. für Standardanwendungen, das sind vordefinierte Datenverarbeitungen, die in Unternehmen typischerweise vorkommen und bei denen die Gefährdung schutzwürdiger Interessen der Betroffenen unwahrscheinlich ist. Standardanwendungen sind in einer Verordnung des Bundeskanzlers festgelegt; für private Arbeitgeber ist insb. die Standardanwendung SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" von Interesse. Meldepflicht und Zulässigkeit der Datenverwendung sind allerdings zwei verschiedene Aspekte, d. h., auch wenn "bloß" die in einer Standardanwendung beschriebenen Datenarten verwendet werden sollen, folgt aus der Verneinung der Meldepflicht nicht automatisch auch die Zulässigkeit der Verwendung der Daten.

Der Betrieb einer meldepflichtigen Datenanwendung darf unmittelbar nach Erstattung der Meldung aufgenommen werden. Enthält die Datenanwendung allerdings sensible oder strafrechtlich relevante Daten oder wird mit ihr die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen bezweckt, ist eine Vorabgenehmigung durch die DSK vonnöten. Die Verletzung der Meldepflicht ist durch Verwaltungsstrafe sanktioniert.

5.2. Offenlegungs- und Informationspflicht, Auskunftsrecht

Der Auftraggeber hat nach § 23 DSG auf Anfrage jedermann mitzuteilen, welche Standardanwendungen tatsächlich vorgenommen werden. (Bereits) aus Anlass der Ermittlung hat der Auftraggeber den Betroffenen gem. § 24 DSG über den Zweck der Datenverwendung sowie über Name und Adresse des Auftraggebers zu informieren. Umgelegt auf das Arbeitsverhältnis bedeutet dies bspw., dass der Arbeitnehmer über allfällige Kontrollmaßnahmen wie die Protokollierung von Internetzugriffen oder des
E-Mail-Verkehrs informiert werden muss. Die Verletzung der Informationspflicht ist verwaltungsstrafrechtlich sanktioniert.

Betroffene haben gem. § 26 DSG ein Auskunftsrecht. Dieses bezieht sich auf sämtliche vorhandene Daten, deren Herkunft sowie die Rechtsgrundlagen, auf denen die Datenverwendung beruht. Die Auskunft ist vom Auftraggeber unentgeltlich zu erteilen, sofern es sich um das erste im laufenden Jahr gestellte Auskunftsbegehren handelt und lediglich der aktuelle Datenbestand betroffen ist. Sind diese Voraussetzungen nicht erfüllt, kann ein pauschalierter Kostenersatz in Höhe von 18,89 Euro verlangt werden. Die Auskunft kann verweigert werden, wenn durch ihre Erteilung berechtigte Interessen des Arbeitgebers oder eines Dritten gefährdet wären. Das wäre z. B. bei Daten denkbar, die detaillierte Angaben über den zukünftigen Einsatz einzelner Arbeitnehmer oder über Beförderungen und Belohnungen enthalten.

6. Weitere relevante Verpflichtungen

6.1. Wahrung des Datengeheimnisses

Der Arbeitgeber hat Daten aus Datenanwendungen, die ihm ausschließlich aufgrund der berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, geheim zu halten. Weiters sind alle, die mit Datenanwendungen befasst sind, verpflichtet, S. 153die ihnen bekannt gewordenen Daten geheim zu halten. Eine Durchbrechung dieses Grundsatzes ist nur zulässig, wenn die Voraussetzungen für eine Datenübermittlung vorliegen. Arbeitnehmer dürfen Daten nur aufgrund einer ausdrücklichen, rechtmäßigen Anordnung des Arbeitgebers übermitteln. Weigert sich ein Arbeitnehmer, einer rechtswidrigen Anordnung zur Datenweitergabe zu entsprechen, ist das mit keinen Sanktionen verbunden. Weiters müssen Arbeitnehmer vertraglich auf das Datengeheimnis verpflichtet und vom Arbeitgeber über die sie nach dem DSG treffenden Verpflichtungen belehrt werden.

6.2. Datensicherheitsmaßnahmen

Je größer das Risiko einer unbefugten Datenverwendung ist und je sensibler die verwendeten Daten sind, desto höher sind zum einen die Anforderungen, denen technische und organisatorische Maßnahmen zur Datensicherheit entsprechen müssen, und zum anderen die wirtschaftlichen Anstrengungen zur Gewährleistung der Datensicherheit, die dem Datenanwender zugemutet werden können. In § 14 DSG wird die Verpflichtung des Auftraggebers zur Beachtung von Datensicherheitsmaßnahmen durch Beispiele konkretisiert. Für das Arbeitsverhältnis ist dabei vor allem die Protokollierungspflicht von Relevanz. Dabei wird die Verwendung der Protokolle für andere Zwecke als jenen des Nachvollzugs der Rechtmäßigkeit der Datenverarbeitung grundsätzlich, die Verwendung zur Kontrolle der Arbeitnehmer (abgesehen vom Fall der Verhinderung, Abwehr oder Verfolgung schwerer Delikte) ausdrücklich für unzulässig erklärt.

In die Meldung einer Datenanwendung an die DSK sind auch allgemeine Angaben über die getroffenen Datensicherheitsmaßnahmen aufzunehmen, sodass eine vorläufige Beurteilung ihrer Angemessenheit möglich ist. Wer die erforderlichen Sicherheitsvorkehrungen gröblich außer Acht lässt, ist verwaltungsstrafrechtlich zu belangen.

6.3. Automatisierte Einzelentscheidung

§ 49 DSG verbietet es, eine Entscheidung, die für eine Person rechtliche Folgen haben kann oder die sie erheblich beeinträchtigt, z. B. ihre beruflichen Leistungsfähigkeit zu bewerten, allein aufgrund einer automationsunterstützten Verarbeitung von Daten zu treffen. Unzulässig wäre demnach etwa, einen Bewerber für eine bestimmte Funktion ausschließlich aufgrund der Ergebnisse eines automationsunterstützt ermittelten Auswahlverfahrens abzulehnen.

6.4. Informationsverbundsystem

Unter einem Informationsverbundsystem wird gem. § 4 Z 13 DSG ein System verstanden, in das mehrere Auftraggeber personenbezogene Daten einspeisen und bei dem sämtliche Teilnehmer Zugriff auf alle Daten (also auch auf solche, die von anderen Auftraggebern eingegeben wurden) haben. Anwendungsfälle dafür finden sich vor allem in Konzernen. Das Betreiben eines Informationsverbundsystems ist nur nach vorheriger Genehmigung durch die DSK gestattet. Weiters muss ein Betreiber für das System S. 154bestellt werden, der allen Betroffenen gegenüber zur Auskunftsleistung verpflichtet ist und den auch die Verantwortung für die notwendigen Datensicherheitsmaßnahmen trifft.

7. Rechtsschutz

Unrichtige oder unzulässig verarbeitete (direkt personenbezogene) Daten sind nach den Bestimmungen des § 27 DSG richtig zu stellen oder zu löschen; § 28 DSG räumt dem Betroffenen ein Widerspruchsrecht gegen die Verwendung bzw. Veröffentlichung von Daten ein, die nicht gesetzlich vorgesehen bzw. angeordnet ist. Ansprüche, die auf das DSG gestützt werden, also bspw. Schadenersatzansprüche, oder Ansprüche auf Richtigstellung oder Löschung von Daten sind grundsätzlich vor den Gerichten (für Ansprüche, die das Arbeitsverhältnis betreffen, daher vor den Arbeitsgerichten) geltend zu machen. Diese Ansprüche können gem. § 32 Abs 3 DSG auch durch einstweilige Verfügung gesichert werden; da der Betriebsrat im Hinblick auf Arbeitnehmerdaten kein Betroffener ist, kommt ihm aber keine derartige Klagslegitimation zu.

Durch das DSG wird aber auch ein eigenes Kontrollorgan, die DSK, eingerichtet. Diese ist insb. für die Geltendmachung des Auskunftsrechts zuständig. Weiters besteht ein allgemeines Beschwerderecht an die DSK, mit dem angeregt werden kann, dass die DSK von ihren Kontrollbefugnissen Gebrauch macht. Aufgrund einer solchen Beschwerde kann die DSK verschiedene Maßnahmen ergreifen. So kann sie im Falle eines begründeten Verdachtes die Datenanwendungen des Auftraggebers überprüfen, die dazu notwendigen Aufklärungen sowie Einsicht in die Unterlagen verlangen. Weiters ist sie dazu befugt, nach vorheriger Verständigung des Auftraggebers "sensible" Räumlichkeiten zu betreten, Datenverarbeitungsanlagen in Betrieb zu nehmen und Kopien herzustellen. Darüber hinaus kann sie Empfehlungen aussprechen, deren Nichtbeachtung weitere Maßnahmen, wie etwa die Überprüfung der Registrierung, die Erstattung einer Strafanzeige oder die Einbringung einer Feststellungsklage vor Gericht, nach sich ziehen kann. Wenn es ein Betroffener verlangt und es zur Wahrung der Interessen auf Datenschutz einer größeren Zahl von Betroffenen geboten ist, hat die DSK weiters einem Rechtsstreit als Nebenintervenient beizutreten.