Dieser Inhalt ist frei verfügbar. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
DSGVO: Art 2, Art 4
1. Durch die DSGVO werden alle Arten von personenbezogenen Daten geschützt, wobei der Begriff der personenbezogenen Daten weit zu verstehen ist. Die in E-Mails und Honorarnoten enthaltenen Informationen, die sich eindeutig auf eine identifizierte Person beziehen, sind jedenfalls als personenbezogen anzusehen, ebenso aber auch die Ordnerstruktur des privaten Ordners am Firmen-Laptop, wenn eine Datei durch die Namen der einzelnen (Unter-)Ordner der Person zugeordnet werden kann.
2. Hat ein Arbeitnehmer nach seiner Entlassung seine privaten Daten vom Firmen-Laptop gelöscht, wurden diese vom Arbeitgeber aber mit einer forensischen Software wiederhergestellt und Teile davon (hier: Honorarnoten und E-Mails) im arbeitsgerichtlichen Verfahren zum Nachweis des Vorliegens eines Entlassungsgrundes vorgelegt, kann der Arbeitnehmer vom Arbeitgeber zwar die Löschung der personenbezogenen Daten begehren, weil sich mit der Vorlage bei Gericht der Zweck der Verwendung der Daten erfüllt hat. Der Arbeitnehmer hat aber keinen Anspruch darauf, dass der Arbeitgeber im arbeitsgerichtlichen Verfahren das Vorbringen widerruft, das auf die Datenschutzverletzung zurückzuführen ist.
Sachverhalt
Der Kläger war Geschäftsführer in der beklagten Arbeitgeber-Gesellschaft und wurde entlassen. In einem arbeitsgerichtlichen Verfahren begehrt er die Zahlung einer Kündigungsentschädigung, weil er seiner Ansicht nach zu Unrecht entlassen worden sei.
Kurz nach der Entlassung hatte er dem Arbeitgeber den zur Verfügung gestellten Laptop retourniert, wobei er bereits vor seiner Entlassung einen darauf enthaltenen Ordner „D:\privat“ gelöscht hatte. Dieser Ordner beinhaltete insgesamt 25 Unterordner, aus deren Bezeichnung sowie aus der Bezeichnung der darin enthaltenen Dateien bereits erkennbar war, dass es sich um private Inhalte handelte (zB Unterordner „Handyvertrag Vater“ etc). Laut Betriebsvereinbarung ist die private Nutzung der firmeneigenen Hard- und Software verboten, doch hatte der Kläger keine Kenntnis vom Inhalt dieser BV und wurde auch von niemandem auf diese hingewiesen.
Nach der Retournierung des Laptops (sohin nach der Entlassung) beauftragte der Arbeitgeber ein Unternehmen mit der Rekonstruierung der gelöschten Daten. Teile konnten wiederhergestellt werden, so zB die Ordnerstruktur des Laufwerks „D:\privat“, weiters Honorarnoten und E-Mails. Auch den Mailverkehr des Klägers von seiner betrieblichen Mailadresse mit dem Leiter der Rechtsabteilung ließ der Arbeitgeber untersuchen, um insbesondere Angelegenheiten aufzudecken, die nicht betrieblicher, sondern privater Natur waren. Im Zuge dessen wurden sowohl geschäftliche als auch private Mails des Klägers ausgedruckt.
Im arbeitsgerichtlichen Verfahren behauptete der Arbeitgeber ua als Entlassungsgrund eine dienstvertragswidrige nebenberufliche Tätigkeit des Klägers und legte dazu drei Honorarnoten des Klägers an die S**** GmbH zum Beweis vor. Diese wurden vom Gericht auch verlesen, wobei die Öffentlichkeit nicht ausgeschlossen war. Außerdem legte der Arbeitgeber im Verfahren mehrere E-Mails vor.
Entscheidung
Datenschutz
Die DSGVO gilt gemäß ihrem Art 2 Abs 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. § 4 Abs 1 Datenschutzgesetz (DSG) ordnet an, dass die DSGVO und das DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten gelten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Zur „Verarbeitung“ zählen nach der Legaldefinition des Art 4 Z 2 DSGVO auch die Speicherung, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung. Ob diese Vorgänge mit oder ohne Hilfe automatisierter Verfahren erfolgen, ist nach der Legaldefinition unerheblich. Vor diesem Hintergrund hat die Entscheidung OGH 20. 12. 2018, 6 Ob 131/18k, RdW 2019/252, klargestellt, dass jede Benutzung von Computer, Internet oder E-Mail zur Anwendbarkeit der DSGVO führt, sobald personenbezogene Daten involviert sind, und dass der weite Begriff des Art 2 Abs 1 DSGVO sämtliche heute gebräuchlichen rechnergestützten Verarbeitungen personenbezogener Daten erfasst.
Dass der Arbeitgeber mit der Rekonstruktion der Daten auf dem Laptop und dem Untersuchen sowie Ausdrucken des E-Mail-Verkehrs in der Mailbox des Klägers auf dem Server Daten verarbeitete, bestreitet er im Revisionsverfahren somit zutreffend nicht (mehr).
Geschützt werden durch die DSGVO alle Arten von personenbezogenen Daten. Darunter versteht Art 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
Da es sich bei den Informationen in den E-Mails und Honorarnoten um solche handelt, die sich eindeutig auf eine identifizierte Person, nämlich den Kläger, beziehen, sind sie jedenfalls als personenbezogen anzusehen.
Der Begriff der personenbezogenen Daten ist allerdings weit zu verstehen, weshalb auch die Ordnerstruktur des privaten Ordners in den Anwendungsbereich der DSGVO fällt; auch diese Datei kann durch die Namen der einzelnen (Unter-)Ordner dem Kläger zugeordnet werden (vgl DSK 25. 10. 2013, K121.990/0016-DSK/2013 [auch die Übersicht von Dateien kann personenbezogene Daten enthalten]).
Unterlassungsbegehren unbegründet
Da es im vorliegenden Fall keine Anhaltspunkte dafür gibt, dass sensible Daten iSd Art 9 Abs 1 DSGVO in den Honorarnoten, in den E-Mails oder in der Übersicht über die Ordnerstruktur enthalten wären, es sich somit lediglich um nicht sensible Daten handelt, wäre die Rechtmäßigkeit der Verarbeitung der Daten nicht nach Art 9 DSGVO, sondern nach Art 6 DSGVO zu beurteilen. Einer solchen Prüfung bedarf es allerdings aufgrund folgender Erwägungen nicht:
Nach den Ausführungen der Vorinstanzen geht es im vorliegenden Verfahren nur um die Frage der Verwendung der Daten ausschließlich im arbeitsgerichtlichen Verfahren; darauf, dass der Arbeitgeber diese Daten in sonstigem Zusammenhang verwendet hätte oder beabsichtigen würde, dies zu tun, hat sich der Kläger (jedenfalls) im Revisionsverfahren nicht (mehr) gestützt; es finden sich hiefür auch keine Anhaltspunkte im Akt.
Damit ist aber das allgemeine Begehren verfehlt, „jegliche Verwendung“ der Daten zu unterlassen. Die bloße theoretische Möglichkeit einer drohenden Rechtsverletzung genügt für eine „vorbeugende Unterlassungsklage“ nicht.
Aber auch soweit das Unterlassungsbegehren des Klägers (ausschließlich) darauf abzielt, die Verwendung der Daten als Beweismittel im arbeitsgerichtlichen Verfahren durch den Arbeitgeber zu verhindern, ist die Klage nicht berechtigt. Auch diesbezüglich kann auf die E 6 Ob 131/18k (ErwGr 4.) verwiesen werden. Demnach scheitert ein Unterlassungsanspruch jedenfalls dann, wenn – wie hier – die Beweismittel bereits im Verfahren vorgelegt wurden.
Der OGH hat außerdem bereits klargestellt, dass aus dem Privatrecht kein Anspruch darauf abgeleitet werden kann, dass jemand den Rechtsweg gar nicht beschreitet oder sonst den Staat zu Hilfe ruft (vgl OGH 14. 5. 1996, 4 Ob 2103/96k). Damit muss aber auch das Begehren des Klägers scheitern, den Arbeitgeber dazu zu verhalten, im arbeitsgerichtlichen Verfahren jenes Vorbringen zu widerrufen, das auf die (angebliche) Datenschutzverletzung zurückzuführen ist.
Arbeitsrechtliche Schutzbestimmungen
Der Kläger war bis zu seiner Entlassung Dienstnehmer der beklagten Gesellschaft. Es kommen somit unter Umständen auch arbeitsrechtliche Schutzbestimmungen in Betracht, auf die sich der Kläger (auch noch) im Revisionsverfahren beruft.
Nach Art 88 DSGVO können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. Diese Bestimmung ermöglicht es also dem nationalen Gesetzgeber, spezifische Regelungen im Zusammenhang mit Arbeitsverhältnissen zu erlassen. Der österreichische Gesetzgeber hat davon nur bedingt Gebrauch gemacht und in § 11 DSG idF BGBl I 2017/120 (durch das Deregulierungs-Gesetz BGBl I 2018/24 wieder aufgehoben) lediglich normiert, dass „das Arbeitsverfassungsgesetz (...), soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art 88 DSGVO ist“ und dass „die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse unberührt“ bleiben.
Im vorliegenden Fall findet sich für die Öffnungsklausel des Art 88 DSGVO kein Anwendungsbereich, gibt es doch weder spezielle Regelungen im ArbVG noch stützt sich der Kläger auf speziellere Regelungen eines Kollektivvertrags oder einer Betriebsvereinbarung (das private Nutzungsverbot betreffend den Firmen-Laptop würde nicht für, sondern gegen den Kläger sprechen). § 96 Abs 1 Z 3 und § 96a Abs 1 Z 1 ArbVG wiederum sehen zwar bei der Einführung technischer Kontrollmaßnahmen oder bei der Einführung von Systemen zur automatisierten Verarbeitung personenbezogener Daten eine Zustimmungspflicht des Betriebsrats vor. Jedoch kommen diese beiden Bestimmungen (nur) zur Anwendung, wenn es sich um eine betriebsbezogene Kollektiv-Kontrolle und nicht bloß um eine individuelle Kontrolle handelt.
Am bislang gewonnenen Ergebnis ändert Art 88 DSGVO somit nichts.
Eingriff ins Privatleben
Der Europäische Gerichtshof für Menschenrechte (EGMR) hatte in seiner Entscheidung 61496/08 (Barbulescu/Rumänien) einen Fall zu behandeln, in dem der Arbeitgeber während des Dienstverhältnisses das Yahoo-Messenger-Konto des Dienstnehmers ausgelesen und das Dienstverhältnis aufgrund der gewonnenen Erkenntnisse beendet hatte. In diesem Fall hielt der EGMR fest, dass durch ein solches Verhalten das Privatleben und die Korrespondenz des Dienstnehmers iSd Art 8 Abs 1 EMRK betroffen waren. Der EGMR nahm eine Abwägung nach den Grundsätzen des Interessenausgleichs und der Verhältnismäßigkeit vor.
Ob diese Entscheidung im dienstrechtlichen Verhältnis zwischen den Parteien entscheidungsrelevant und wie eine allfällige Abwägung der Interessen vorzunehmen ist, ist nicht im vorliegenden Verfahren zu klären, sondern im arbeitsgerichtlichen Verfahren, in dem es um die Frage der Rechtmäßigkeit der ausgesprochenen Entlassung geht.
Löschungsbegehren berechtigt
Ebenfalls in der E 6 Ob 131/18k hat der OGH bereits ausgeführt, dass durch die Übermittlung der personenbezogenen Daten der (dortigen) Klägerin in Form von Ausdrucken an das Pflegschaftsgericht im Obsorge- und Kontaktrechtsstreit deren Zweck erfüllt wurde, weil das Pflegschaftsgericht damit in die Lage versetzt wurde, diese Daten seiner Entscheidung zugrunde zu legen (oder auch nicht). Gründe für eine weitere Aufbewahrung der Daten durch den Beklagten habe dieser nicht nennen können, womit die Voraussetzungen von Art 17 Abs 1 lit a DSGVO und § 45 Abs 2 Z 1 DSG erfüllt seien; der (dort) Beklagte habe die Daten zu löschen und die hergestellten Ausdrucke zu vernichten.
Auch im vorliegenden Verfahren legt der Arbeitgeber im Revisionsverfahren nicht näher dar, weshalb es einer weiteren Aufbewahrung der Daten bedürfen sollte. Dem Löschungsbegehren des Klägers war somit auch hier stattzugeben.
