Dr. Mag. Thomas Schweiger, LL.M., CIPP/E

Rechtsanwalt, Partner der Kanzlei SMP Schweiger Mohr & Partner Rechtsanwälte OG (Linz)


·   CIPP/E

      Zertifizierungsprüfung im Dezember 2017 absolviert.
Certified International Privacy Professional Europe - IAPP (International Arbitration of Privacy Professionals)

·   Fachanwalt Informationstechnologierecht / Deutsche Anwaltakademie

      2007: Lehrgang Fachanwalt Informationstechnologierecht (Fachanwalt IT-Recht); da die Tätigkeit nicht in D ausgeübt wird kann der Titel nicht geführt werden

·    Dr. Iur./ Johannes Kepler Universität Linz
Doktoratsstudium der Rechtswissenschaften Dr. Iuris: 27. April 2006 Thema: „Die Regeln der Internationalen Schiedsgerichte in Wien, Bratislava, Budapest und Prag im Rechtsvergleich“ in englischer Sprache

·    Master of Laws/ Duke University School of Law, Durham, North Carolina, U.S.A.
Teilnahme am LL.M. Programm im Studienjahr 1995/96 Graduierung: am 8. Mai 1996

·   Course-Participant / Summer Institute in Transnational Law, Brüssel, Belgien
Duke University & Universite Libre Bruxelles
(Vergleichendes Wettbewerbsrecht, Gesellschaftsrecht, Verhandlungsführung und Schlichtungswesen)

·    Rechtsanwaltsanwärter
Wirtschaftsanwaltskanzlei in Linz

·    Praktikum
ICON Wirtschaftstreuhand GmbH im Bereich der Wirtschaftsprüfung und Steuerberatung
(Absolvierung des Buchprüferkurses, Steuererklärungen, Umgründungsbegleitung, Wirtschaftsprüfung)

 

·    Rechtspraktikant / Gerichtsjahr (Nov 1993 bis Juli 1994)
Bezirksgericht (Abteilung Zivilsachen) und Landesgericht Linz (Arbeits- und Sozialgericht

 

·    Mag. Iur. / Johannes Kepler Universität Linz

      WS 1990/91 bis WS 1993/94, Diplomstudium Rechtswissenschaften Studienbeginn Oktober 1990, Sponsion zum Mag. Iur. am 19. November 1993 (nach 6 Semestern)

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.



Videoüberwachung und Beschäftigte - drohen ab 25.05.2018 Geldbußen und Schadenersatz?

 

 

Ob eine Videoüberwachung, bei der auch Bilddaten von Beschäftigten (unbewusst) erfasst werden, einer Betriebsvereinbarung bedarf, ist eine Vorfrage, die von der Datenschutzbehörde im Rahmen des Registrierungsverfahrens (Vorabkontrolle einer Videoüberwachung) zu klären ist.

 

 

 

Hat dies auch nach der DSGVO Auswirkungen auf Videoüberwachungen in Betrieben?

 

 

 

Der VwGH am 23.10.2017: […]obliegt es ausgehend vom dargestellten Zusammenhang der Datenschutzbehörde (bzw. im Beschwerdeverfahren: dem Verwaltungsgericht), im Wege der Vorfragenbeurteilung zu prüfen, ob die gemeldete Datenanwendung gemäß § 96a Abs. 1 ArbVG der Zustimmung des Betriebsrates bedarf und demnach eine Betriebsvereinbarung abzuschließen - und somit auch vorzulegen - ist.

 

 

 

Bilddaten wie etwa Videoaufnahmen sind vom Begriff der personenbezogenen Daten umfasst.

 

 

 

§ 96a Abs. 1 Z 1 ArbVG regelt, dass folgende Maßnahme der Zustimmung des Betriebsrates (im Sinne einer Betriebsvereinbarung) bedarf:

 

 

Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben;

Diese Bestimmung stellt nicht auf einen bestimmten, vom Arbeitgeber verfolgten Kontrollzweck der Datenanwendung abstellt. Vielmehr ist auf die objektive Eignung der Anwendung abzustellen. Die nur beiläufige oder zufällige Erfassung von Mitarbeiterdaten als „Nebeneffekt“ der Videoüberwachung verhindert nicht, dass § 96a Abs 1 Z 1 ArbVG anzuwenden ist.

 

 

 

Auch bei den Standardanwendungen SA032 der StMV 2004 muss einen Betriebsvereinbarung iSd § 96 a Abs 1 Z 1 ArbVG um die Rechtmäßigkeit der Videoüberwachung zu gewährleisten.

 

Bemerkenswert ist in diesem Zusammenhang, dass der VwGH nicht auf die Bestimmung des § 96 Abs 1 Z 3 ArbVG eingeht, die wie folgt lautet:

 

 

§ 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates:

   

 

 

3.

die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren;

 

 

Dabei geht es ebenfalls um technische System zur Kontrolle der Arbeitnehmer, die die Menschenwürde berühren; bei einer erheblichen Kontrollintensität ist davon auszugehen, dass die Menschenwürde berührt wird, und daher aus diesem Grund eine zwingende Betriebsvereinbarung erforderlich ist.

 

Wenn in einem Betrieb kein Betriebsrat bestehen sollte, dann kann die Notwendigkeit der Betriebsvereinbarung darauf gestützt werden, dass eine Einzelvereinbarung mit den Beschäftigten gem. § 10 Abs 1 AVRAG getroffen wird.

 

 

Was sind die Auswirkungen nach der DSGVO und nach DSG ab dem 25.05.2018?

 

Ab 25.05.2018 ist das Datenverarbeitungsregister, und damit auch die Meldung und Vorabkontrolle von Videoüberwachungen durch die Datenschutzbehörde Geschichte. Die Organisationen trifft eine umfassende Selbstverpflichtung, und es sind sämtliche notwendigen Voraussetzungen nach der DSGVO zu erfüllen und deren Erfüllung auch zu dokumentieren.

 

Der Zweck einer Videoüberwachung ist der Eigentumsschutz.

 

Nach Art 88 DSGVO ist die Datenverarbeitung im Beschäftigungskontext zulässig. Die Mitgliedsstaaten können durch Rechtsvorschriften (Gesetz oder Verordnung) oder Kollektivvereinbarungen (Kollektivverträge oder auch Betriebsvereinbarungen; siehe insbes. ErwG 155) spezifischere Vorschriften als die DSGVO vorsehen.  

 

In Österreich findet sich im (neuen) Datenschutzgesetz folgende Bestimmung:

 

 

Verarbeitung personenbezogener Daten im Beschäftigungskontext

 

§ 11. Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.

 

Sofern daher eine Betriebsvereinbarung iSd ArbVG (und zwar gleichgültig, ob wegen "Berührung der Menschenwürde" gem. § 96 Abs 1 Z 3 ArbVG oder weil die Menschenwürde nicht berührt erscheint gem. § 96a Abs 1 Z 1 ArbVG) nicht vorliegt, ist die Verarbeitung der personenbezogenen Daten der Beschäftigten nicht rechtmäßig, da eine spezifischere Norm der kollektiven Rechtssetzung in Bezug auf die Datenverarbeitung im Beschäftigungskontext verletzt ist.

 

Die Datenverarbeitung ist nicht unzulässig, da sie gegen die Bestimmungen des ArbVG verstößt und im DSG (§ 11) auf das ArbVG verwiesen wird.

 

Weiters sind ab 25.05.2018 die Bestimmungen § 12 f DSG zu beachten, die die Bildverarbeitung regeln, und auch auf den Beschäftigungskontext anzuwenden sind:

 

Bildverarbeitung

Zulässigkeit der Bildaufnahme

§ 12. (1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist.

 

(2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wenn

1.

sie im lebenswichtigen Interesse einer Person erforderlich ist,

2.

die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,

3.

sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder

4.

im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

 

(3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn

 

1.

sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2.

sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3.

sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

 

(4) Unzulässig ist

1.

eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich,

2.

eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,

3.

der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten oder

4.

die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.

 

(5) Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß.

 

 

Besondere Datensicherheitsmaßnahmen und Kennzeichnung

 

§ 13. (1) Der Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist.

 

(2) Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren.

 

(3) Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

 

(4) Die Abs. 1 bis 3 finden keine Anwendung auf Bildaufnahmen nach § 12 Abs. 3 Z 3.

 

(5) Der Verantwortliche einer Bildaufnahme hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.

 

(6) Die Kennzeichnungspflicht gilt nicht in den Fällen des § 12 Abs. 3 Z 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen.

 

(7) Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten.

 

 

 

Die Folge eine Videoüberwachung ohne Betriebsvereinbarungen oder Einzelvereinbarung mit den betroffenen Beschäftigten iSd § 10 (1) AVRAG  ist

 

 

Prüfungsarbeiten und Auskunftsrecht

 

Einsicht in Prüfungsergebnisse – Umfang des Auskunftsrechtes nach der DatenschutzRL (RL 95/46) – Entscheidung des EuGH vom 20.12.2017, RS C-434/16

 

 

 

 

 

Die Antworten eines Prüflings und die Anmerkungen des Prüfers stellen personenbezogenen Daten dar, und sind daher im Rahmen des Rechts auf Auskunft zu beauskunften.

 

 

 

 

In dieser Entscheidung nahm der EuGH auch auf die DSGVO Bezug wie folgt:

 

 

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) gilt ausweislich ihres Art. 99 Abs. 2 ab dem 25. Mai 2018. Gemäß Art. 94 Abs. 1 dieser Verordnung wird die Richtlinie 95/46 mit Wirkung von diesem Datum aufgehoben.

 

Die Verordnung 2016/679 sieht in ihrem Art. 15 („Auskunftsrecht der betroffenen Person“) Folgendes vor:

 

„(1)      Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten …

 

 

(3)      Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …

 

(4)      Das Recht auf Erhalt einer Kopie gemäß Absatz [3] darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

 

In Art. 23 („Beschränkungen“) der Verordnung 2016/679 heißt es:

 

„(1)      Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 … im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

 

 

e)      den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

 

 

i)      den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

 

…“

Der Sachverhalt vor dem EuGH

 

Herr Nowak war Trainee Accountant (Wirtschaftsprüfer/Steuerberater in Ausbildung) und hatte die Prüfungen des Institute of Chartered Accountants of Ireland […] mit Erfolg abgelegt. Er fiel jedoch durch die Prüfung „Strategic Finance und Management Accounting“ durch. […]

 

Nachdem Herr Nowak im Herbst 2009 zum vierten Mal durch diese Prüfung durchgefallen war, reichte er zunächst eine Beschwerde ein, um ihr Ergebnis anzufechten. Nachdem diese Beschwerde im März 2010 zurückgewiesen worden war, stellte er im Mai 2010 gemäß Section 4 des Datenschutzgesetzes einen Antrag auf Auskunft, der sich auf sämtliche ihn betreffenden und im Besitz der CAI befindlichen personenbezogenen Daten bezog.

 

Die Prüfungsstelle verweigerte die Herausgabe der Prüfungsarbeit, und Herr Nowak wandte sich an den Datenschutzbeauftragten, und auch dieser vertrat die Ansicht, dass die Prüfungsarbeit keine personenbezogenen Daten beinhalte. Herr Nowak wandte sich an das Gericht, aber auch dies war derselben Ansicht und Herr Nowak ging durch alle Instanzen bis zum Supreme Court, der u.a. die folgenden Frage dem EuGH vorlegte:

 

Können Informationen, die von einem Prüfling in einer berufsbezogenen Prüfung in seiner Antwort bzw. als Antwort aufgezeichnet wurden, personenbezogene Daten im Sinne der Richtlinie 95/46 darstellen?

 


Die Rechtsansicht des EuGH:

 

Es stellt sich die Frage, ob im Rahmen der DS-RL (RL 95/46) „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu „personenbezogene Daten“ […] darstellen.

 

Die Frage vor dem EuGH war, ob die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 darstellen. Durch die Verwendung des Ausdruckes „alle Informationen“ ist klargestellt, dass der Begriff „weit“ auszulegen ist. Der Begriff ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es ist ausreichen, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.

 

Der EuGH kommt zum Schluss, dass „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung Informationen darstellen, die aufgrund ihres Inhalts, ihres Zwecks und ihrer Auswirkungen Informationen über diesen Prüfling darstellen.“ Auch „die Anmerkungen des Prüfers zu den Antworten des Prüflings“ sind „Informationen über den betreffenden Prüfling“, wobei es keinen Unterschied macht, dass „diese Anmerkungen zugleich Informationen über den Prüfer darstellen.“

 

Der EuGH hat erklärt, dass das Recht auf Auskunft und Berichtigung auch in Bezug auf die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu gerechtfertigt sein können.

 

Der EuGH hat Weiters festgehalten, dass die Rechte auf Auskunft und Berichtigung nach Art. 12 Buchst. a und b der Richtlinie 95/46 nicht auf Prüfungsfragen erstrecken, die als solche keine personenbezogenen Daten des Prüflings darstellen.        

 

 

 

noyb.eu

 

Investieren Sie in Datenschutz - unterstützen Sie noyb.eu mit Sach- oder Geldspenden ...

 

 

 

Datenschutz in der digitalen Welt und auch außerhalb davon wird immer wichtiger.

 

Die DSGVO allein und die Handhabung durch die Organisationen kann uns nicht schützen, auch wenn darin hohe Anforderungen an Dokumentation und Compliance gestellt werden, und bei Verletzungen Geldbußen und auch Schadenersatz drohen.

 

Max Schrems hat gemeinsam mit Petra Leupold, Christof Tschohl und einigen anderen Personen einen Verein gegründet, der sich um die Durchsetzung von digitalen Rechten der Menschen in der EU kümmern wird. Der Verein ist international vernetzt, und wird nicht nur in Österreich tätig werden. 

 

Die Finanzierung erfolgt über Spenden, und jede/r kann die Tätigkeit von noyb.eu unterstützen. Das Finanzierungsziel von EUR 250.000,-- ist bis dato (Ende Dezember 2017) noch nicht erreicht. 

 

Investieren Sie in Datenschutz --- Invest in Privacy --- www.noyb.eu