Anmerkung zu Warter, Anspruch des Betriebsrates auf Mitteilung von Arbeitnehmer:innendaten (Anm zu OGH 17.1.2025, 6 ObA 2/23x), DRdA 2025/48

Vorauszuschicken ist, dass Warter für seine ausführliche Besprechung zu danken ist, insb für seine klare Sprache (zB das schöne Bild von der „Architektur der betrieblichen Mitbestimmung“) und für seine dezidierte(n) Meinung(en). Gerade wegen seiner diesbezüglichen Meinungsstärke „fordern“ mich drei seiner datenschutzrechtlichen Aussagen zu einer Anmerkung im besten Sinne eines wissenschaftlichen Diskurses auf.

Wie der OGH zutreffend ausführt, ist die proaktive Kontaktaufnahme des BR mit den von ihm vertretenen AN nicht schlechthin einer seiner Pflichtbefugnisse zuzuordnen, sodass gegenständlich zu Recht die Zulässigkeit dieser Betriebsratsverarbeitung von privaten AN-Kontaktdaten nach Art 6 Abs 1 lit f DSGVO zu prüfen war. Nach stringenter Durchführung der entsprechend gebotenen dreigliedrigen Interessenabwägung bejahte der OGH ein solches berechtigtes Interesse des BR bezüglich der (privaten) E-Mail-Adressen, nicht aber bezüglich der privaten Telefonnummern; das finde ich überzeugend, nicht aber Warter unter Verweis auf mögliche „zeitkritische Konstellationen“; zudem erlaube das persönliche Gespräch am Telefon eine unmittelbarere und vertrauensvollere Kommunikation; es könne sohin nicht angehen, dass der BR bei Vorliegen bestimmter Sachverhalte beim Betriebsinhaber (BI) um die Telefonnummern bitten müsse.

Gerade beim letzten Argument übersieht Warter aber das eigentlich Naheliegende: Der BR kann diesfalls eben die einzelnen AN (in deren Interesse) – zB per E-Mail – samt entsprechender Begründung ersuchen, ihm ihre privaten Telefonnummern für diese und allenfalls andere Zwecke zur Verfügung zu stellen (was in der betrieblichen Praxis auch so gemacht wird). Die einzelnen AN können dann grundrechtskonform (informationell) selbstbestimmt entscheiden, ob sie das wollen oder eben nicht. Der AG wäre diesbezüglich also jedenfalls der falsche Ansprechpartner und dürfte die privaten Telefonnummern datenschutzrechtlich, weil nach dem Vorgesagten eben nicht (zusätzlich) erforderlich, dem BR gar nicht übermitteln. Das gegenteilige Ergebnis bezüglich der E-Mail-Adressen beruht ja auf dem anderen Resultat der entsprechenden Interessenabwägung, was letztlich diffizil, aber überzeugend ist, insb auch, wenn man die höhere Eingriffsintensität eines Telefonanrufes gegenüber dem bloßen Erhalt einer E-Mail berücksichtigt (vgl zu dieser Differenzierung auch das Telekommunikationsrecht). Auch Winter gelangt in seiner E-Besprechung (ZAS 2025, 302 [304]) mit dem (zutreffenden) Zusatzargument des Grundsatzes der Datenminimierung zum Ergebnis des OGH.

Auch die kritischen Ausführungen von Warter zur Interessenabwägung als datenschutzrechtlichem Erlaubnistatbestand überzeugen nicht, wenn er diesbezüglich den Erlaubnistatbestand des Vorliegens einer gesetzlichen Verpflichtung (mithin die lit c des Art 6 Abs 1 DSGVO) präferiert: Vielmehr ist in dieser Dreiecks-Konstellation (AN – Belegschaft/BR – AG/BI) von zwei verschiedenen Verarbeitungen (sic!) auszugehen, die unterschiedliche Erlaubnistatbestände adressieren (können), gegenständlich die gesetzliche Verpflichtung des AG, bestimmte AN-Kontaktdaten an den BR zu übermitteln, der sie als Ergebnis einer Interessenabwägung verarbeiten darf; beide Datenverarbeitungen (einerseits des AG und andererseits des BR) müssen erforderlich sein und insofern „Hand-in-Hand“ gehen, ansonsten eine Datenübermittlung vom AG an den BR unzulässig wäre (wie anhand der privaten Telefonnummern vom OGH ausgeführt).

Last, but not least sei noch darauf hingewiesen, dass der Ausblick von Warter, Verletzungen der die DSGVO spezifizierenden Vorschriften, sE jedenfalls die Bestimmungen des ArbVG, die ausdrücklich die Verarbeitung personenbezogener Daten adressieren (zB § 91 Abs 2, § 96a ArbVG), seien mit den gravierenden DSGVO-Geldbußen zu sanktionieren, erheblich zu relativieren ist: Erstens kann unionsrechtlich nur ein datenschutzrechtlicher Verstoß, nicht aber ein bloßer Verstoß gegen eine betriebsverfassungsrechtliche Norm sanktioniert werden (dazu ausführlich Goricnik in Knyrim [Hrsg], DatKomm Art 88 Rz 15 ff samt Beispiel; so im Ergebnis auch Pionteck, Zur Reichweite betrieblicher Regelungsmacht im Lichte des Unionsrechts, AuR 2025, 292 [294] für die deutsche Rechtslage). Zweitens wurde das ArbVG – soweit ersichtlich – bis dato (so auch in der gegenständlichen E) nur als Rechtsgrundlage für die Anwendung der allgemeinen Erlaubnistatbestände der DSGVO herangezogen und noch nie als Beschäftigtendatenschutzrecht iSd Art 88 Abs 1 DSGVO. Und drittens sind die Betriebsvereinbarungskompetenz- bzw Ermächtigungsnormen (insb die §§ 96, 96a ArbVG) selbst keine Regelung von Beschäftigtendatenschutzrecht iSd Art 88 (dh eine Regelung der Verarbeitung personenbezogener Beschäftigtendaten), sie ermöglichen vielmehr eine solche Regelung, sind also (nur) rechtliche Einfallspforten für (mögliches) Beschäftigtendatenschutzrecht (zu dieser wichtigen Unterscheidung schon seit jeher Goricnik in Knyrim, DatKomm Art 88 Rz 66; aktuell so bspw auch Winter, ZAS 2025, 304).

Aus den dargestellten Gründen ist der E des OGH mE deshalb datenschutzrechtlich vollinhaltlich zuzustimmen und entstehen bezüglich dieses Entscheidungsteiles mE auch keine (sophistischen) Zweifelsfragen.