2021-0.512.929 – Datenschutzbehörde Entscheidung

GZ: 2021-0.512.929 vom 17. Jänner 2022 (Verfahrenszahl: DSB-D124.4064)

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Die Firma der Beschwerdegegnerin wurde hier nicht pseudonymisiert, da sie gemäß § 3 Z 3 PBVG aus dem Gesetz ableitbar ist. Eine sinnerhaltende Pseudonymisierung war daher nicht möglich. Das Geheimhaltungsinteresse der Beschwerdegegnerin, einer juristischen Person, überwiegt hier nicht das öffentliche Interesse an der gesetzlich durch § 23 Abs. 2 DSG gebotenen Veröffentlichung der Entscheidung.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Mag. Michael A*** (Beschwerdeführer) vom 6. Mai 2021 gegen die A1 Telekom Austria AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:

1. Der Beschwerde wird teilweise stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem sie monatlich personenbezogene Daten des Beschwerdeführers an den Zentralausschuss der Beschwerdegegnerin übermittelt hat.

2. Die Beschwerde wird im Übrigen abgewiesen .

Rechtsgrundlagen : Art. 6, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 89 des Bundesgesetzes vom 14. Dezember 1973 betreffend die Arbeitsverfassung (Arbeitsverfassungsgesetz – ArbVG), BGBl. Nr. 22/1974 idgF; §§ 3, 9, 72, 73 und 74 des Bundesgesetzes über die Post-Betriebsverfassung (Post-Betriebsverfassungsgesetz – PBVG).

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Der Beschwerdeführer brachte in seiner Eingabe vom 6. Mai 2021 an die Datenschutzbehörde im Wesentlichen vor, die Beschwerdegegnerin habe seine Daten des Personalaktes iSd. § 89 Z 4 ArbVG, die nur mit Zustimmung des betroffenen Arbeitnehmers vom Betriebsrat eingesehen werden dürfen, auf einer monatlichen Basis und ohne konkreten Anlass oder Zweck an den Zentralausschuss (Zentralbetriebsrat) der Beschwerdegegnerin übermittelt. Eine Zustimmung des Beschwerdeführers sei nicht eingeholt worden. Der Zentralausschuss sei gemäß § 73 PBVG für Einzelfälle nicht zuständig. Zudem würden die Personalvertretungsorgane direkten Zugriff auf Teile des Personalverwaltungssystems SAP erhalten.

2. Die Beschwerdegegnerin erwiderte mit Stellungnahme vom 18. Juni 2021 zusammengefasst, der Zentralausschuss sei zur Wahrnehmung der in PBVG und ArbVG geregelten Befugnisse demokratisch legitimiert und fungiere auch als zentraler Ansprechpartner der Beschwerdegegnerin hinsichtlich sämtlicher Mitwirkungsrechte und Aufgaben der Belegschaftsvertretung. Die Übermittlung der personenbezogenen Daten des Beschwerdeführers an den Zentralausschuss sei zur Ausübung der Fülle an gesetzlichen Mitwirkungsrechten durch die Belegschaftsvertretung erforderlich und findet Deckung im PBVG sowie ArbVG, insbesondere in § 89 ArbVG.

Alle Arbeitnehmer der Beschwerdegegnerin seien über die Übermittlung personenbezogener Daten an die Belegschaftsvertretung informiert worden und sei der Anspruch der Belegschaftsvertretung auf Übermittlung überdies bereits in der Standardanwendung 002 („SA002“) der Standard- und Muster-Verordnung 2004 vorgesehen gewesen. Darüber hinaus sei ein Überwachungsrecht des Zentralausschusses nach § 89 ArbVG bezüglich der Einhaltung aller die Arbeitnehmer berührenden Normen gegeben, welches laufend im Sinne einer präventiven Kontrolle ohne konkreten Anlassfall ausgeübt werden könne. In diesem Zusammenhang sei der Zentralausschuss berechtigt, in die geführten Aufzeichnungen über die Bezüge der Arbeitnehmer und die zur Berechnung dieser Bezüge erforderlichen Unterlagen Einsicht zu nehmen (§ 89 Z 1 ArbVG). Dies erfasse sämtliche die Arbeitnehmer betreffenden „Aufzeichnungen“, deren Führung normativ festgelegt sei, und darüber hinaus auch freiwillig geführte Aufzeichnungen, soweit dies zur Ausübung des Überwachungsrechts erforderlich sei. Diese Überwachungsrechte würden die Einsichtnahme des Zentralausschusses in die diesbezüglichen Aufzeichnungen verlangen. Die Beschwerdegegnerin müsse diese dem Zentralausschuss daher entsprechend vorlegen und bestehe eine entsprechende Übermittlungspflicht der Beschwerdegegnerin. Eine Zustimmung des Beschwerdeführers sei hierzu nicht erforderlich. Auch habe der Zentrallausschuss die Einhaltung der Betriebsvereinbarung gegenüber dem Beschwerdeführer zu überwachen. Dieses Überwachungsrecht sei in § 89 Z 2 ArbVG angelegt und sei die Übermittlung der für diese Kontrolle notwendigen Arbeitnehmerdaten zur Ausübung dieser Mitwirkungsbefugnisse des Zentralausschusses notwendig und somit auch datenschutzrechtlich rechtmäßig.

Diese Übermittlung der personenbezogenen Daten des Beschwerdeführers zur Ausübung betriebsverfassungsrechtlicher Befugnisse der Belegschaftsvertretung nach ArbVG sei daher insbesondere aufgrund Art 6 Abs. 1 lit. c (Erfüllung einer rechtlichen Verpflichtung), lit. e (Wahrnehmung von Aufgaben im öffentlichen Interesse) bzw. lit. f (Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten) sowie Art 9 Abs. 2 lit. b DSGVO (Ausübung aus dem Arbeitsrecht erwachsenden Rechte bzw. Erfüllung diesbezüglicher Pflichten) gerechtfertigt. Die rechtliche Verpflichtung sei darin gegeben, der demokratisch legitimierten Belegschaftsvertretung die Wahrnehmung seiner gesetzlichen Mitwirkungsrechte zu ermöglichen. Die Übermittlung sei überdies auch auf das notwendige Maß beschränkt. Sämtliche übermittelte Daten seien zur Wahrnehmung der Mitwirkungsrechte, insb. des Überwachungsrechts durch die Belegschaftsvertretung notwendig.

Sofern sich der Beschwerdeführer auf den Zugriff der Personalvertretungsorgane auf Teile des Personalverwaltungssystems SAP beziehe, so sei hierzu festgehalten, dass nur eine angebliche potentielle Gefährdung, nicht jedoch eine konkrete Rechtsverletzung geltend gemacht werde. Auch sei kein konkreter Zugriff behauptet worden, darüber hinaus wären allfällige Zugriffe aufgrund des vorgenannten Bestimmungen berechtigt.

3. Der Beschwerdeführer erwiderte mit Stellungnahme vom 15. Juli 2021 zusammengefasst, den Normen des ArbVG und PBVG komme absolut zwingende Wirkung zu, sodass diese nicht erweiterbar seien. Sofern das ArbVG von „Betriebsrat“ spreche, so sei dies das nach der Kompetenzabgrenzung gemäß §§ 114f ArbVG bzw. §§ 73 f PBVG zuständige Organ. Die betriebsverfassungsrechtlichen Mitwirkungsrechte stünden daher nicht allen Organen der Belegschaftsvertretung zu. Dass der Zentralausschuss für die Beschwerdegegnerin als „zentraler Ansprechpartner“ hinsichtlich sämtlicher Mitwirkungsrechte und Aufgaben der Belegschaftsvertretung fungiere, sei somit im krassen Gegensatz zum Gesetzeswortlaut. Insbesondere komme dem Zentralausschuss nicht die Aufgabe bzw. das Recht zu, personenbezogene Daten, die ihm aufgrund fehlender eigener Zuständigkeit nicht zustehen, für andere Personalvertretungsorgane entgegenzunehmen, zu verwalten und zu verteilen. Die Übermittlung seiner personenbezogenen Daten an den Zentralausschuss sei daher schon mangels gesetzlicher Zuständigkeit dieses Organs und damit mangelnder Rechtfertigung für die Übermittlung rechtswidrig.

Auch könne aus dem Umstand, dass in der Übermittlung von personenbezogenen Arbeitnehmerdaten an Betriebsratsorgane nicht schon per se ein hohes Risiko gemäß Art. 35 Abs. 1 DSGVO für die Rechte und Freiheiten natürlicher Personen gesehen werde, keinesfalls – wie die Beschwerdegegnerin behauptet – auf die grundsätzliche Rechtmäßigkeit dieser Übermittlung geschlossen werden. Diese sei vielmehr nach den Art 5 und 6 DSGVO im Einzelfall zu beurteilen. Auch könne sich der Beschwerdeführer nicht erinnern, dass er, wie von der Beschwerdegegnerin vorgebracht, eine Datenschutzerklärung über die Übermittlung von Daten an die Belegschaftsvertretung zur Information erhalten habe. Unabhängig davon sei diese äußerst vage und unvollständig.

Sofern dem (zuständigen) Belegschaftsorgan Einsicht in die erforderlichen Unterlagen zu gewähren sei, stelle dies jedoch keine rechtliche Verpflichtung der Beschwerdegegnerin dar von sich aus und ohne konkretes Verlangen des jeweiligen Belegschaftsorgans periodisch personenbezogene Arbeitnehmerdaten aller Mitarbeiter zu übermitteln. Eine solche rechtliche Verpflichtung sei nicht gegeben.

Auch falle auf, dass die Beschwerdegegnerin sich zur Übermittlung der persönlichen User-ID nicht äußere. Dass die Beschwerdegegnerin diese User-ID im Intranet allgemein zugänglich mache, könne die Übermittlung dieses Datums an Organe der Personalvertretung, gesammelt in einer Excel-Liste jedenfalls nicht rechtfertigen. Auch sei die behauptete Erforderlichkeit der Übermittlung des Geburtsdatums, der Sozialversicherungsnummer und der privaten Meldeanschrift zur Einhaltung rechtlicher Bestimmungen nicht gegeben. Die genannten personenbezogenen Daten seien außerdem Daten des Personalakts, welche gemäß § 89 Z 4 ArbVG nur mit Zustimmung des betroffenen Arbeitnehmers von der Personalvertretung eingesehen werden dürfen. Diese sei jedoch nie eingeholt worden.

Weiters seien die personenbezogenen Daten offenbar in einer unverschlüsselten Excel-Liste übermittelt worden, wodurch es auch zur Weitergabe an nicht einmal regional zuständige Personalvertretungsorgane und darüber hinaus zur Weitergabe an politische Fraktionen kam, denen überhaupt keine entsprechenden Rechte der Belegschaft zukommen können. Dies sei im Widerspruch zu Art. 5 Abs. 1 lit. f DSGVO.

Zudem werde dem Zentralausschuss ein direkter Zugriff auf das Personalverwaltungssystem SAP gewährt und sei hierzu festgehalten, dass ein solch direkter und permanenter Zugriff unverhältnismäßig und daher unzulässig sei, weil nicht sichergestellt werden würde, dass auch tatsächlich nur relevante (und von einem Einsichts- oder Überwachungsrecht gedeckte) Daten übermittelt werden würden. Dies stelle, entgegen der Auffassung der Beschwerdegegnerin, auch dann einen Verstoß gegen Grundsätze des Datenschutzrechts dar, wenn einem Unberechtigten ein Zugriff nur ermöglicht und nicht auch tatsächlich vorgenommen worden sei.

Zusammenfassend sei festzuhalten, dass dem Zentralausschuss die von der Beschwerdegegnerin behaupteten Rechte auf Übermittlung personenbezogener Daten von Arbeitnehmern weder inhaltlich noch dem Umfang nach zu kommen und die entsprechenden gesetzlichen Regelungen zur Kompetenzabgrenzung unmissverständlich seien. Es traf und trifft die Beschwerdegegnerin folglich keine rechtliche Verpflichtung zur beanstandeten Datenübermittlung (bzw. Gewährung von Zugriff auf das Personaldatensystem) und sei diese daher mangels Erfüllung eines sonstigen Rechtfertigungstatbestandes datenschutzrechtlich unzulässig.

B. Beschwerdegegenstand

Aufgrund des Vorbringens des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem sie monatlich personenbezogene Daten des Beschwerdeführers an den Zentralausschuss der Beschwerdegegnerin übermittelt hat, sowie dem Zentralausschuss einen direkten Zugriff auf Teile des Personalverwaltungssystems SAP gewährte.

C. Sachverhaltsfeststellungen

Der Beschwerdeführer war zum Zeitpunkt der Beschwerdeeinbringung Arbeitnehmer der Beschwerdegegnerin.

Der Zentralausschuss ist ein gemäß §§ 9 iVm. 21 PBVG bei der Beschwerdegegnerin eingerichtetes Personalvertretungsorgan. Zudem sind bei der Beschwerdegegnerin mehrere Personalausschüsse und zahlreiche Vertrauenspersonenausschüsse eingerichtet.

Die Beschwerdegegnerin übermittelte auf einer monatlichen Basis folgende Daten des Beschwerdeführers an den Zentralausschuss:

[Anmerkung Bearbeiter/in: Die an dieser Stelle als grafische Datei wiedergegebene Tabelle mit den Daten des Beschwerdeführers kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Sie wurde als Tabelle rekonstruiert (grafische Auflösung für OCR nicht geeignet), das Layout entspricht daher nur annähernd dem Original.]

Darüber hinaus wurde auch die Sozialversicherungsnummer des Beschwerdeführers dem Zentralausschuss monatlich übermittelt.

Da der Beschwerdeführer bereits im Vorfeld der gegenständlichen Beschwerde die Sozialversicherungsnummer und die private Meldeanschrift gegenüber der Beschwerdegegnerin als besonders sensibel hervorgehoben hat, hat die Beschwerdegegnerin bereits vor Zugang der Beschwerde die Übermittlung der Sozialversicherungsnummer und der Privatadresse des Beschwerdeführers an den Zentralausschuss eingestellt.

Beweiswürdigung : Die getroffenen Feststellungen stützen sich auf das insofern übereinstimmende Vorbringen der Parteien, insbesondere die von der Beschwerdegegnerin im gegenständlichen Verfahren, sowie im Verfahren D124.4069 abgegebene Stellungnahme, welche die festgestellte Tabelle enthält.

Der Zentralausschuss hat die Daten des Beschwerdeführers in Ausübung seiner Befugnisse nicht aktiv angefordert.

Beweiswürdigung : Die getroffene Feststellung stützt sich auf das Vorbringen des Beschwerdeführers sowie die Stellungnahme der Beschwerdegegnerin, aus welcher sich eine proaktive Übermittlung der Daten durch die Beschwerdegegnerin ergibt.

Der Zentralausschuss erhält zudem von der Beschwerdegegnerin direkten Zugriff auf Teile des Personalverwaltungssystems SAP. Ein Zugriff des Zentralausschusses auf Daten des Beschwerdeführers aufgrund des gewährten Zugriffes ist nicht erfolgt.

Beweiswürdigung : Die getroffenen Feststellungen stützen sich auf das insofern übereinstimmende Vorbringen der Parteien. Die Feststellung, wonach es zu keinem unrechtmäßigen Zugriff des Zentralausschusses und einer dahingehenden Offenlegung der Daten des Beschwerdeführers gekommen ist, gründet sich einerseits darauf, dass eine solche vom Beschwerdeführer nicht behauptete wurde und auch nicht aus den von den Verfahrensparteien vorgelegten Unterlagen abzuleiten war. Wie der VwGH ausführt, ist im Falle der Nichtfeststellbarkeit vom Nichtvorliegen der Tatsache auszugehen (VwGH vom 16.06.1992, ZI. 92/08/0062).

D. In rechtlicher Hinsicht folgt daraus:

D.1. Zur Übermittlung an den Zentralausschuss:

Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ: DSB-D123.076/0003-DSB/2018).

Im gegenständlichen Fall ist der Anwendungsbereich von § 1 Abs. 1 DSG eröffnet, da sich die festgestellten Informationen gemäß Art. 4 Z 1 DSGVO unstrittig auf den Beschwerdeführer beziehen.

Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung (bzw. in der Terminologie der DSGVO: Einwilligung) erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.

Ausgehend vom Beschwerdegegenstand stellt sich die Frage, ob die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers unrechtmäßig auf einer monatlichen Basis an den Zentralausschuss übermittelt hat.

Die gegenständliche Verwendung der Daten liegt nicht im lebenswichtigen Interesse des Beschwerdeführers und ist ebenso wenig seine Zustimmung gegeben.

Die Beschwerdegegnerin stützt sich in Ihrer Stellungnahme vielmehr auf die Bestimmungen des ArbVG und PBVG, insbesondere auf das Überwachungsrecht nach § 89 ArbVG und vermeint, dass die gegenständliche Datenübermittlung daher gemäß Art. 6 Abs. 1 lit. c, lit. e und lit. f DSGVO sowie Art. 9 Abs. 2 lit. b DSGVO gerechtfertigt ist.

Dem ist aus folgenden Gründen jedoch nicht zuzustimmen:

Die gegenständlich relevante Bestimmung des § 89 ArbVG lautet samt Überschrift wie folgt ( Hervorhebungen durch die Datenschutzbehörde ):

Überwachung

§ 89. Der Betriebsrat hat das Recht , die Einhaltung der die Arbeitnehmer des Betriebes betreffenden Rechtsvorschriften zu überwachen . Insbesondere stehen ihm folgende Befugnisse zu:

1. Der Betriebsrat ist berechtigt , in die vom Betrieb geführten Aufzeichnungen über die Bezüge der Arbeitnehmer und die zur Berechnung dieser Bezüge erforderlichen Unterlagen Einsicht zu nehmen, sie zu überprüfen und die Auszahlung zu kontrollieren . Dies gilt auch für andere die Arbeitnehmer betreffenden Aufzeichnungen, deren Führung durch Rechtsvorschriften vorgesehen ist;

2. der Betriebsrat hat die Einhaltung der für den Betrieb geltenden Kollektivverträge, der Betriebsvereinbarungen und sonstiger arbeitsrechtlicher Vereinbarungen zu überwachen . Er hat darauf zu achten, daß die für den Betrieb geltenden Kollektivverträge im Betrieb aufgelegt (§ 15) und die Betriebsvereinbarungen angeschlagen oder aufgelegt (§ 30 Abs. 1) werden. Das gleiche gilt für Rechtsvorschriften, deren Auflage oder Aushang im Betrieb in anderen Gesetzen vorgeschrieben ist;

3. der Betriebsrat hat die Durchführung und Einhaltung der Vorschriften über den Arbeitnehmerschutz, über die Sozialversicherung, über eine allfällige betriebliche Altersversorgung einschließlich der Wertpapierdeckung für Pensionszusagen (§ 11 Betriebspensionsgesetz, BGBl. Nr. 282/1990, in der jeweils geltenden Fassung) sowie über die Berufsausbildung zu überwachen . Zu diesem Zweck kann der Betriebsrat die betrieblichen Räumlichkeiten, Anlagen und Arbeitsplätze besichtigen . Der Betriebsinhaber hat den Betriebsrat von jedem Arbeitsunfall unverzüglich in Kenntnis zu setzen. Betriebsbesichtigungen im Zuge behördlicher Verfahren, durch die Interessen der Arbeitnehmerschaft (§ 38) des Betriebes (Unternehmens) berührt werden, sowie Betriebsbesichtigungen, die von den zur Überwachung der Arbeitnehmerschutzvorschriften berufenen Organen oder die mit deren Beteiligung durchgeführt werden, ist der Betriebsrat beizuziehen. Der Betriebsinhaber hat den Betriebsrat von einer anberaumten Verhandlung sowie von der Ankunft eines behördlichen Organs in diesen Fällen unverzüglich zu verständigen;

4. werden im Betrieb Personalakten geführt, so ist dem Betriebsrat bei Einverständnis des Arbeitnehmers Einsicht in dessen Personalakten zu gewähren .

Über die Bestimmungen des ArbVG hinaus, gilt für die Beschwerdegegnerin, wie von ihr selbst vorgebracht, das Sonderbetriebsverfassungsgesetz des PBVG. Dies ergibt sich aus § 3 Z 3 PBVG, da die Beschwerdegegnerin eine 100%ige Tochtergesellschaft der Telekom Austria AG ist. Die Bestimmungen des PBVG sind gegenüber jenen des ArbVG als lex specialis anzusehen.

Gemäß § 9 Abs. 1 Z 4 PBVG ist der Zentralausschuss, neben der Betriebsversammlung (Z 1), dem Vertrauenspersonenausschuss (Z 2), dem Personalausschuss (Z 3), der Personalvertreterversammlung (Z 5), Wahlausschüssen (Z 6) und dem Rechnungsprüfer (Z 7) eines der Personalvertretungsorgane.

§ 72 PBVG normiert die Befugnisse der Arbeitnehmerschaft und hält in seinem Abs. 1 fest, dass das 3. Hauptstück des II. Teiles mit Ausnahme der §§ 113 und 114, die Abschnitte 2 und 3 des 1. Hauptstückes des III. Teiles sowie § 159 ArbVG Anwendung finden. Hiervon umfasst ist somit auch § 89 ArbVG, auf welchen sich die Beschwerdegegnerin stützt.

Hierbei ist zu beachten, dass Adressat der Mitwirkungsrechte des § 89 ArbVG nur der jeweils zuständige Betriebsrat ist (vgl. Drs in Strasser/Jabornegg/Resch , ArbVG § 89 (Stand 1.9.2015, rdb.at), Rz 6; sowie Kallab in Neumayr/Reissner , ZellKomm 3 § 113 ArbVG, Rz 2).

§ 73 PBVG sieht eine entsprechende Kompetenzabgrenzung der Personalvertretungsorgane vor und lautet samt Überschrift wie folgt ( Hervorhebungen durch die Datenschutzbehörde ):

Kompetenzabgrenzung

§ 73. (1) Die der Arbeitnehmerschaft zustehenden Befugnisse werden, soweit nicht anderes bestimmt ist, durch Personalausschüsse ausgeübt. Sind solche nicht errichtet, werden die Befugnisse vom Vertrauenspersonenausschuß ausgeübt.

(2) In Unternehmen, in denen ein Zentralausschuß errichtet ist, werden folgende Befugnisse von diesem ausgeübt :

1. Mitwirkung in wirtschaftlichen Angelegenheiten gemäß §§ 110 bis 112 ArbVG;

2. Abschluß, Änderung und Aufhebung von Betriebsvereinbarungen, soweit Z 6 nicht anderes bestimmt;

3. zustimmungspflichtige Maßnahmen (§ 96 ArbVG);

4. Maßnahmen mit ersetzbarer Zustimmung (§ 96a ArbVG);

5. Mitwirkung bei der Festsetzung von Leistungsentgelten im Einzelfall (§ 100 ArbVG);

6. soweit sie nicht nur die Interessen der Arbeitnehmerschaft innerhalb des Wirkungsbereiches eines Personalausschusses oder eines Betriebes berühren

a) Recht auf Intervention (§ 90 ArbVG);

b) allgemeines Informationsrecht (§ 91 ArbVG);

c) Beratungsrecht (§ 92 ArbVG);

d) Mitwirkung in Arbeitsschutzangelegenheiten (§ 92a ArbVG);

e) Errichtung und Verwaltung von Wohlfahrtseinrichtungen der Arbeitnehmer (§ 93 ArbVG);

f) Mitwirkung an betriebs- und unternehmenseigenen Schulungs-, Bildungs- und Wohlfahrtseinrichtungen (§§ 94 und 95 ArbVG);

g) wirtschaftliche Informations- und Interventionsrechte (§ 108 ArbVG);

h) Mitwirkung bei Betriebsänderungen gemäß § 109 ArbVG;

i) Abschluß, Änderung und Aufhebung von Betriebsvereinbarungen nach § 97 Abs. 1 Z 2, 6, 7, 15 ArbVG;

j) personelles Informationsrecht (§ 98 ArbVG);

k) Einstellung von Arbeitnehmern (§ 99 ArbVG);

l) Mitwirkung bei Versetzungen (§ 101 ArbVG);

m) Mitwirkung bei Baumaßnahmen und Anschaffungen (§ 72 Abs. 2);

n) Mitwirkung bei Maßnahmen gemäß § 72 Abs. 3.

7. Wahrnehmung der Rechte gemäß § 89 Z 3 ArbVG hinsichtlich geplanter und in Bau befindlicher Betriebsstätten des Unternehmens, für die noch kein Organ der Arbeitnehmerschaft zuständig ist .

(3) § 113 Abs. 5 ArbVG gilt sinngemäß.

Hierbei normiert § 73 Abs. 2 [Anmerkung Bearbeiter/in: im Original aufgrund eines offenkundigen Redaktionsversehenes: Abs. 3] PBVG die Befugnisse des Zentralausschusses in einer taxativen Auflistung, wobei nur in Z 7 leg. cit. auf jene, von der Beschwerdegegnerin herangezogene, Bestimmung des § 89 ArbVG Bezug genommen wird. Der Zentralausschuss ist daher für die Überwachungsrechte des § 89 ArbVG nur ausnahmsweise, und zwar lediglich im Falle des § 73 Abs. 2 Z 7 PBVG, zuständig, wobei diese Bestimmung im gegenständlichen Fall nicht einschlägig ist (vgl. auch analog Drs in Strasser/Jabornegg/Resch , ArbVG § 89 (Stand 1.9.2015, rdb.at), Rz 11).

Als Generalklausel sind vielmehr gemäß § 73 Abs. 1 PBVG primär die Personalausschüsse, sekundär der Vertrauenspersonenausschuss, für die der Arbeitnehmerschaft gemäß § 72 PBVG zustehenden Befugnisse zuständig.

Wie festgestellt, sind bei der Beschwerdegegnerin neben den Zentralausschuss sowohl Personalausschüsse, als auch Vertrauenspersonenausschüsse eingerichtet.

Die dem Betriebsrat gemäß § 89 ArbVG zustehenden Überwachungsbefugnisse fallen demnach – mit Ausnahme der Z 3 leg. cit., hinsichtlich geplanter und in Bau befindlicher Betriebsstätten des Unternehmens, für die noch kein Organ der Arbeitnehmerschaft zuständig ist (vgl. § 73 Abs. 2 Z 7 PBVG), – in die Zuständigkeit der Personalausschüsse. Eine Zuständigkeit des Zentralausschusses ist hierfür nicht im PBVG vorgesehen.

Dies deckt sich überdies mit § 74 PBVG, der eine Kompetenzübertragung von Personalausschuss auf Vertrauenspersonenausschuss und von Zentralausschuss auf Personalausschuss vorsieht, jedoch keine solche vom Personalausschuss auf den Zentralausschuss, die im Übrigen auch nicht behauptet wurde.

Die Übermittlung der personenbezogenen Daten des Beschwerdeführers erfolgte demnach durch die Beschwerdegegnerin an ein unzuständiges Personalvertretungsorgan.

Darüber hinaus sieht § 89 ArbVG zwar Überwachungs- und Kontrollbefugnisse des Betriebsrates vor, jedoch wird darin nicht zugleich auch eine Rechtsgrundlage für die proaktive und periodische Übermittlung von Mitarbeiterdaten durch den Betriebsinhaber normiert. Um von den Befugnissen des § 89 ArbVG Gebrauch zu machen, müsste somit der jeweils zuständige Betriebsrat selbst tätig werden und etwa Mitarbeiterdaten anfragen, was gegenständlich jedoch – wie festgestellt – nicht erfolgte und im Übrigen von der Beschwerdegegnerin auch nicht behauptet wurde.

Im Ergebnis ist daher festzuhalten, dass die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers, ohne qualifizierte gesetzliche Rechtsgrundlage, an ein unzuständiges Personalvertretungsorgan übermittelte und auch keine berechtigten Interessen für eine solche Übermittlung erkennbar sind, zumal – wie festgestellt – auch Personalausschüsse bei der Beschwerdegegnerin eingerichtet sind. Die gegenständliche Datenverarbeitung ist somit unrechtmäßig.

Sofern die Beschwerdegegnerin (implizit) vorbringt, Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV) erkläre die gegenständliche Datenverarbeitung als DSGVO konform, sei festgehalten, dass die Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV) zwar gewisse Datenverarbeitungen von der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO ausnimmt, nicht jedoch darüber hinaus auch als Erlaubnistatbestand einer Datenverarbeitung iSd. Art. 6 bzw. Art. 9 DSGVO anzusehen ist, geschweige denn einen solchen Erlaubnistatbestand ersetzt.

Es liegt daher eine Verletzung des Beschwerdeführers in seinem Recht auf Geheimhaltung vor, weshalb der Beschwerde dahingehend spruchgemäß stattzugeben war.

D.2. Zum Zugriff auf das Personalverwaltungssystem:

Wie festgestellt, erfolgte kein unrechtmäßiger Zugriff auf die Daten des Beschwerdeführers im Personalverwaltungssystem SAP und wurde ein solcher vom Beschwerdeführer auch nicht behauptet.

Eine Verletzung des Grundrechts auf Geheimhaltung kann allerdings stets nur aus einer ex-post Betrachtung aufgrund der von in der Beschwerde relevierten Umstände festgestellt werden. Das bedeutet, dass einer Beschwerde betreffend Verletzungen, die sich entweder noch nicht manifestiert haben oder die sich bloß möglicherweise zutragen könnten, mangels Legitimation zur Beschwerde der Erfolg zu versagen ist (vgl. den Bescheid der DSB vom 13. September 2018, GZ: DSB-D123.070/0005-DSB/2018).

Es war demnach spruchgemäß zu entscheiden.