2024-0.490.294 – Datenschutzbehörde Entscheidung
Text
GZ: 2024-0.490.294 vom 12. Juni 2025 (Verfahrenszahl: DSB-D124.2162/23)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Leo A*** (Beschwerdeführer) vom 24. September 2023 gegen die J***-Halbleiter Sicherheitstechnik Austria GmbH Co KG (Beschwerdegegnerin), vertreten durch C*** Partner Rechtsanwälte KG, wegen Verletzung im Recht auf Geheimhaltung wie folgt:
1. Die Beschwerde wird als unbegründet abgewiesen .
2. Der Antrag auf Einleitung eines Verwaltungsstrafverfahrens wird zurückgewiesen .
Rechtsgrundlagen : Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.; § 96 Abs. 1 Z 3 Arbeitsverfassungsgesetzes (ArbVG), BGBl. Nr. 22/1974 idgF.; § 16 Abs. 1 Z 7a lit. a, § 26 Z 9 lit. a und § 76 des Einkommensteuergesetzes 1988 (EStG 1988), BGBl. Nr. 400/1988 idgF.; § 1 Abs. 1 Z 17 Lohnkontenverordnung 2006, BGBl. II Nr. 256/2005 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 24. September 2023 brachte der Beschwerdeführer Beschwerde im Recht auf Datenübertragbarkeit ein. Er führte aus, dass die Beschwerdegegnerin als Arbeitgeberin unerlaubt Daten aus dem Sicherheitssystem genutzt habe um ihm nachzuweisen, dass er vom Büro abwesend gewesen sei bzw. seine Arbeit von zu Hause aus gemacht habe. Die Daten seien für finanzielle Sanktionen gegen ihn genutzt und der Steuerverwaltung als wahr und rechtmäßig erlangt übermittelt worden, obwohl sie illegal erlangt worden seien und sich als unvollständige Daten herausgestellt hätten, mit denen der Arbeitgeber seinen Aufenthaltsort nicht nachweisen habe können.
Der Zugriff auf die Daten des Sicherheitssystems werde durch eine interne Richtlinie geregelt, die den Zugriff bei Sicherheitsvorfällen ermögliche, die Nutzung dieser Daten zum Zwecke der Arbeitszeitermittlung jedoch ausdrücklich verbiete. Die Geschäftsleitung habe den Betriebsrat um Erlaubnis zur Nutzung dieser Daten gebeten, die Nutzung sei jedoch untersagt worden.
Er habe die Unternehmensleitung mehrmals vor den Verstößen gewarnt, ebenso seinen Vorgesetzten und die Ethikkommission im Unternehmen, aber auf seine Beschwerden bzw. Fragen habe er nie eine Antwort erhalten - diese seien flach und unvollständig gewesen und hätten nicht die Grundlage für den Zugriff auf diese personenbezogenen Daten erläutert. Die Beschwerde habe zu seinem Ausschluss aus dem Unternehmen geführt.
Der Verstoß habe sich 2021 und 2022 zugetragen und er habe im Oktober 2022 davon erfahren.
Er habe mittels mehrerer E-Mails und Briefe im Zeitraum 2022 – 2023 einen Antrag auf Datenübertragbarkeit an die Beschwerdegegnerin gestellt. Die Beschwerdegegnerin habe ihm mitgeteilt, dass sie dem Antrag (teilweise) nicht folgen werde.
Die einzige Antwort sei von der Ethikkommission gekommen, die erklärt habe, dass die Unternehmensleitung nichts Falsches getan habe. Auf seine Fragen, auf welcher Grundlage diese personenbezogenen Daten verwendet worden seien, habe sie jedoch keine weiteren Erläuterungen geben wollen. Der größte Teil der Kommunikation sei nicht zugänglich, da ihm die Arbeitsausrüstung weggenommen worden sei.
Der Beschwerde war der folgende Schriftverkehr angeschlossen:
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellte E-Mail-Wechsel wurde in ein Textdokument umgewandelt und wird hier (unter Weglassung unwesentlicher Elemente wie Grafiken, Unternehmenslogos etc.) pseudonymisiert und leicht gekürzt wiedergegeben.]
„Inquiry about my misconduct report
9 sporočil
Leo A*** leo.a***@gmail.com
Za: Erica G*** erica.g***@j***.com V pet., 16. dec 2022 ob 14:12
Dear Erica,I hope this finds you well. I know you told me during our call the investigation about the alleged misconduct of the J*** H***stadt site management might take a while, however since it's been almost a month since our call I would like to briefly check if there is any conclusion or resolution on the case.
Looking forward to any updates on the matter, until then I wish you a nice weekend ahead!
Kind regards,
Leo
Erica G*** erica.g***@j***.com V pet., 19. dec 2022 ob 09:44
Za: Leo A*** leo.a***@gmail.com
Hi Leo,
Thank you for reaching out. We are making good progress. With the holidays coming up I do expect that I will not be able to share the outcome of the investigation until after the holidays though. I will be back in the second week Of January and I expect that I can inform you on the outcome then. I trust that is o.k.
Have a great Christmas and a very happy 2023!
Best regards,
Erica
From: Leo A*** leo.a***@gmail.com sent: Friday, December 16, 2022 2:13 PM
To: Erica G*** erica.g***@j***.com Subject: [EXT] Inquiry about my misconduct report
Caution: EXT Email
[Citirano besedilo je skrito]
Leo A*** leo.a***@gmail.com
Za: Erica G*** erica.g***@j***.com V pet., 19. dec 2022 ob 10:11
Hi Erica,
many thanks for the update! I wish you and everyone at J*** happy holidays and an exceptional 2023! :)
Kind regards,
Leo
V V pon., 19. dec. 2022 0b 09:44 je oseba Erica G*** erica.g***@j***.com napisala:
[Citirano besedilo je skrito]
Leo A*** leo.a***@gmail.com
Za: Erica G*** erica.g***@j***.com V čet., 19. jan. 2023 ob 15:36
Dear Erica,
I hope this finds you well. Based on our previous comm I just wanted to check back whether there are already some conclusions or even final result Of the investigation. I trust some good work was done by your team and I'm looking forward on seeing the outcome.
Best regards,
Leo
V pon., 19. dec. 2022, 10:11 je oseba Leo A*** leo.a***@gmail.com napisala:
[Citirano besedilo je skrito]
Erica G*** erica.g***@j***.com V pet., 20. jan. 2023 ob 09:38
Za: Leo A*** leo.a***@gmail.com
Hi Leo,
Thank you for reaching out.
We have finalized our investigation and we are pretty much ready to share the results but there is unfortunately one delaying factor: the person that needs to communicate the conclusions on the tax matter is currently ill and we have to wait until that person is well again and is able to share the conclusions.
As soon as I receive the conclusions I will reach out to you to share the outcome.
[Citirano besedilo je skrito]
Leo A*** leo.a***@gmail.com
Za: Erica G*** erica.g***@j***.com V pon., 20. feb. 2023 ob 14:46
Hi Erica,
It's been one month since our last exchange, I'm still hoping to hear from you on the conclusion. Is there any update, is the person responsible to emphasize taxation aspects already well and back at work?
Looking forward on hearing from you, wish all the best until then!
Leo
V pet., 20. jan. 2023, 09:38 je oseba Erica G*** erica.g***@j***.com napisala:
[Citirano besedilo je skrito]
Erica G*** erica.g***@j***.com V čet. 23. feb. 2023 ob 12:12
Za: Leo A*** leo.a***@gmail.com
Kp: Leia P*** leia.p***@j***.com
Dear Leo,
Please know that we have concluded the investigation. After a thorough review of all related information, we come to the conclusion that there has been no violation of applicable laws and regulations like the GDPR by the J*** H***stadt site management. Although we see some improvement areas for future investigations, the investigation did not show any misconduct by management.
Conclusion Of the investigation is that it does not change how the wage tax and social security withholdings have occurred during the period the involved employees fully worked from home. We will therefore not proactively reach out to Austrian or Slovenian authorities to share this case, our analysis and conclusions.
What still needs to be done is the correction of the salary slips of the employees for the items that were incorrectly paid out e.g. lunch vouchers, commute allowance etc. because they were not entitled to these items because they worked from home during that period. Any corresponding corrections in social security contributions and wage tax need to be dealt with in the respective returns.
Best,
[Citirano besedilo je skrito]
Leo A*** leo.a***@gmail.com V čet. 23. feb. 2023 0b 16:31
Za: Erica G*** erica.g***@j***.com
Kp: Leia P*** leia.p***@j***.com
Dear Erica,
Thanks for coming back with findings from the concluded investigation. I believe your team did a thorough and professional work thus I find your findings extremely surprising as it's contrary to the findings I got out Of my end. Being a legal amateur, allow me to share some facts to consider.
Discrimination
As per Austrian legal context, any form of unequal treatment is considered as discrimination. There are quite outdated European directives (883/2004 987/2009) in place which could have impact on securing equal treatment during Covid time, thus the European Commision recognized that as a problem and resolved this document https://ec.europa.eu/social/BlobServlet?docld=2581881angld=en, calling Force Majeure on the directive narratives. Force Majeure was in place until 30.6.2022 and is effective until 30.6.2023. J*** Austria site management did not have a legal ground to ask Slovenian residents to work from offices, even furthermore and more concerning, the decision was in direct violation of the national adoption of the European Commision resolution, presented here in the national health insurance guideline on how to treat telework during the Covid pandemic: https://www. sozialversicherung.at/cdscontent/?contentid=10007.889335 portal=svportal
As one interesting example, the European Commision in the interpretation narrative in 2.) of Article Il writes and recognizes that the resolution must be adopted to prevent discrimination as one of the key goals:
"This flexible solution adjusted to telework could avoid disadvantaging frontier workers in border regions, who otherwise would be restricted in their possible implementation of hybrid work compared to national workers. Thereby it could be prevented that companies would treat their workers on a discriminatory basis 5 depending on the place where the work is carried out. Cross-border telework would also have no effect on the local labour market where the telework is being carried out."
l, however, believe that the committee thoroughly studied this document in detail. Having said that, I cannot get rid of that bitter feeling that the legal violations were done knowingly and willingly to discriminate a certain group or the workforce.
And by the way, I still up to now never got any kind Of explanation why my bonus for HI 22 was not paid out for me and several Other Slovenian colleagues while the rest Of the workforce had received the payout in its due.
You mention that the salary slips are being revisited. That's another surprise considering the fact that the logged data is proven to be horribly inconsistent and more like swiss cheese. I wonder what data will be used for corrections as the fact is that the access gate data cannot be used for such recalculation due to mentioned inconsistency. Of course I truly believe that the company is taking this fairly, preventing any kind of unequal treatment and that such revision is done for the whole workforce, including the site management, and not only for a select few. Like during our interview, I can confirm some people were, even though permitted only with 2 days per week, working way more than permitted 40 % and logging only 2 days per week in the timewritting tool (some even close to 100 %). I believe this was recognized by the company and taken care of as a whole to prevent any kind of discrimination. The discrepancies with food vouchers and commute tax reductions affect everyone in the workforce, not only Slovenian residents.
Break of privacy
I believe your team got to learn that accessing any kind of worker's private data has to have a consent by the workers council. The representatives probably told you they explicitly did NOT give consent to open the access gate logs as there was no legal ground for such move. The site management broke the authority of the workers council and the national legislation by bypassing no-consent given by the council. The internal rulebook regulating the video and surveillance data that you certainly obtained permits using the data only for security reasons and explicitly forbids using it for timewriting/proof of presence purposes in all cases. As hard as I try, I cannot understand the company conclusion and conclusion of the committee - where our actions were btw. acknowledged and sponsored by our direct managers - how my/our deeds were considered as a security incident and how the whole procedure was driven with having the workers council on-board without breaking any privacy regulations.
Based on what you said, I also believe that in order to mitigate the initial discriminative approach of looking only into a few selected ones, the company took a non-discriminative approach Of looking into the whole workforce, including the site management. I also believe that Oskar T*** as the responsible for the site security was asked to assess the degree of reliability Of the access system to be used as a timewriting system, like in the way it is now being used for Slovenian residents.
Being with the company for more than 8 years, I became super loyal, proud and living-out the company values. I truly believed that the horrible treatment conducted by the site management in H***stadt was only because of a few bad seeds not living out the company values and the company will be able to recognize that and would be able to resolve it quickly. Honestly, I didn't believe that the ethics committee would now go and recognize things black white in workers favor, however hearing that in spite of quite severe violations of the national legislation context, the committee was unable to recognize any violations, fills me with that bitter feeling that this is more a sweeping operation rather than some unbiased investigation. As this being my personal feeling or observation, I still honestly believe the committee did a professional job - in this context I would kindly ask to obtain any kind of procedural documents, explaining what was done and how the resolutions were made. Of course it is understandable such documentation has to come with certain data, like names, censored, however I'm interested in the heuristical steps which would help me understand how the conclusions were made.
I would like to thank you once more for driving this investigation and deriving the conclusions. Even though I'm not happy with the outcome, I believe that the required documentation will settle my concerns and confirm my belief that the committee did a thorough job.
Kind regards,
Leo A***
V V tet., 23. feb. 2023 0b 12:12 je oseba Erica G*** erica.g***@j***.com napisala:
[Citirano besedilo je skrito]
Leo A*** leo.a***@gmail.com V sob., 18. mar. 2023 ob 07:07
Za: Erica G*** erica.g***@j***.com
Kp: Leia P*** leia.p***@j***.com
Dear Erica,
Kind reminder on replying here, many thanks!
Kind regards,
Leo
V V čet., 23. feb. 2023 0b 16:31 je oseba Leo A*** leo.a***@gmail.com napisala:
[Citirano besedilo je skrito]”
2. Mit Erledigung vom 26. September 2023 teilte die Datenschutzbehörde dem Beschwerdeführer mit, dass sich seine Beschwerde als mangelhaft erweist und der Verbesserung bedarf. Bemängelt wurde die Bezeichnung des als verletzt erachteten Rechts, da der Beschwerdeführer das Recht auf Datenübertragbarkeit anführte, ausgehend von seinem Vorbringen jedoch grundsätzlich eine Verletzung im Recht auf Geheimhaltung denkbar erschien. Weiters der Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird. Hier wurde der Beschwerdeführer aufgefordert, nähere Angaben zum Sachverhalt zu machen, aus dem die behauptete Rechtsverletzung abgeleitet wird, konkret anzuführen um welche Daten es sich handelt und anzugeben, wie er von dem Verstoß erfahren hat.
3. Mit Eingabe vom 5. Oktober 2023 ergänzte der Beschwerdeführer seine Beschwerde und gab nun an, eine Datenschutzbeschwerde aufgrund einer Verletzung im Recht auf Geheimhaltung zu erheben. Der Beschwerdeführer führte zusammengefasst und soweit verfahrensrelevant aus, dass die Beschwerdegegnerin illegal Daten aus dem Sicherheitskontrollsystem verwendet habe – es erfasse die genaue Uhrzeit und die Nummer der elektronischen Karte, die der Person beim Betreten und Verlassen des Unternehmens zugeordnet sei. Die internen Vorschriften, die die Regeln für die Verwaltung und den Zugriff auf diese Daten festlegen, würden den Zugriff auf diese Daten in Ausnahmefällen erlauben, jedoch nur im Falle von Sicherheitsvorfällen (Einbruch, Vandalismus...) und mit Zustimmung von drei Entscheidungsträgern – diese seien die Unternehmensleitung, der Sicherheitsbeauftragte und der Arbeiterrat. Nach einer anschließenden Anfrage beim Betriebsrat seien diese um eine Einwilligung zum Zugriff auf die Daten gebeten worden, doch habe der Betriebsrat festgestellt, dass die Voraussetzungen gemäß den Regeln nicht erfüllt gewesen seien und habe die Erteilung einer Einwilligung ausdrücklich abgelehnt. Dennoch habe sich die Unternehmensleitung für die Verwendung personenbezogener Daten entschieden.
Der Beschwerdeführer habe von dem Verstoß erfahren, als er im August oder Anfang September 2022 wegen noch nicht geklärter Verstöße vor die Geschäftsführung des Unternehmens gerufen worden sei, um sich zu verteidigen. Bei diesem Treffen hätten ihm die Personalleiterin und der stellvertretende Direktor im Beisein seines Vorgesetzten mitgeteilt, dass es ihnen gelungen sei, nachzuweisen, dass er gegen die Homeoffice-Regeln verstoßen habe. Dies sei angeblich durch den Abgleich der von ihm selbst gemeldeten Anwesenheitsdaten mit den vom Sicherheitssystem erfassten Daten ermittelt worden. Sie hätten ihm keine Auskunft gegeben, trotzdem habe er sich verteidigen müssen.
Die Datenauszüge seien ihm von der Personalleiterin erst am 17. November 2022 vorgeworfen worden, als ihm der Computer, alle Zugänge, die Arbeitskarte und das Telefon weggenommen worden seien und er als persona non grata bezeichnet worden sei.
Die Beschwerdegegnerin habe die missbräuchlich verwendeten Daten genutzt, um Steuerdaten für die Jahre 2021 und 2022 an das österreichische Finanzamt zu melden. Daher seien dem Amt falsche und illegal erlangte Daten als wahr gemeldet worden. Gleichzeitig habe er die Unternehmensleitung darauf hingewiesen, dass es sich hierbei um schwerwiegende Verstöße gegen die nationale Gesetzgebung handle, da sie diese Informationen gegenüber der Steuerbehörde als authentisch und wahrheitsgetreu dargestellt hätten.
Für das Jahr 2022 wolle ihm die Beschwerdegegnerin die Daten zur Anwesenheit am Arbeitsplatz nicht herausgeben – weder diejenigen, die er selbst gemeldet habe, noch diejenigen, die an das österreichische Finanzamt übermittelt worden seien. Die Beschwerdegegnerin weigere sich, ihm die Daten weiterzugeben, obwohl er sie per E-Mail und auf dem Postweg darum gebeten habe.
Er gehe davon aus, dass sich die Datenschutzbehörde von Amts wegen mit der möglichen strafrechtlichen Verantwortlichkeit der an den Verstößen Beteiligten befassen werde.
4. Mit Schreiben vom 1. Dezember 2023 nahm die Beschwerdegegnerin , vertreten durch C*** Partner Rechtsanwälte KG, Stellung und führte zusammengefasst und soweit verfahrensrelevant aus, dass die Verarbeitung der personenbezogenen Daten des Beschwerdeführers durch die Beschwerdegegnerin iSd Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt sei. Die gegenständliche Datenverarbeitung sei durch eine interne Richtlinie gedeckt und sei dafür außerdem keine Betriebsvereinbarung notwendig. Weiters sei eine Behandlung der Beschwerde nach § 24 Abs. 4 DSG ausgeschlossen.
Die Beschwerdegegnerin betreibe in den Betriebsräumlichkeiten in **** H***stadt, V***gasse *3, ein elektronisches Zutrittssystem. Da Arbeitnehmer beim Zutritt zu bzw. beim Verlassen der Betriebsräumlichkeiten ihre Zutrittskarten auf Reader legen müssten, erfasse das Zutrittssystem Daten darüber, wann welcher Arbeitnehmer die Betriebsräumlichkeiten der Beschwerdegegnerin betreten und verlassen habe.
Darüber hinaus halte die Beschwerdegegnerin ihre Arbeitnehmer dazu an, in einem gesonderten System ihre verrichtete Arbeitszeit inklusive ihres Arbeitsortes zu erfassen („Arbeitszeiterfassungstool“).
Ende September / Anfang Oktober 2022 habe sich der Verdacht ergeben, dass die Angaben des Beschwerdeführers im Arbeitszeiterfassungstool zu seinen Anwesenheiten in den Betriebsräumlichkeiten der Beschwerdegegnerin nicht zutreffen. Dieser Vorwurf habe mehrere Arbeitnehmer betroffen und sei offen mit dem Betriebsrat diskutiert worden.
Sollte sich ein solcher Verdacht bestätigen, würde dies eine Täuschung der Beschwerdegegnerin und eine erhebliche Verletzung arbeitsrechtlicher Pflichten durch die täuschenden Arbeitnehmer bedeuten. Eine solche Täuschung führe nicht nur zu einem Vertrauensbruch durch die Arbeitnehmer (was eine Weiterbeschäftigung potentiell unzumutbar mache), sondern könne für die Beschwerdegegnerin auch gravierende steuer- und sozialversicherungsrechtliche Folgen und negative finanzielle Auswirkungen nach sich ziehen. Ein derartiges Verhalten von Arbeitnehmern sei folglich so rasch als möglich abzustellen.
Zur Aufklärung dieses Verdachts habe die Beschwerdegegnerin die im vorliegenden Fall geeignete Vorgangsweise gewählt, nämlich eine Einsicht in die im Zutrittssystem aufgezeichneten Daten über die An- und Abwesenheiten des Beschwerdeführers in den Betriebsräumlichkeiten (in der Folge als „verfahrensgegenständliche Verarbeitung“ bezeichnet) und den Vergleich dieser Daten mit den Daten im Arbeitszeiterfassungstool.
Die verfahrensgegenständliche Verarbeitung und der darauf aufbauende Vergleich mit den Daten im Arbeitszeiterfassungstool habe in 95 Fällen den Verdacht bestätigt, dass die Angaben des Beschwerdeführers zu seinen Anwesenheiten in den Betriebsräumlichkeiten in den Jahren 2021 und 2022 nicht zugetroffen haben, er also in diesen Fällen entgegen seinen Angaben im Arbeitszeiterfassungstool nicht in den Betriebsräumlichkeiten von der Beschwerdegegnerin gearbeitet habe.
Unabhängig davon, dass die verfahrensgegenständliche Verarbeitung gegen keine Betriebsvereinbarung verstoße, sei ihre Rechtmäßigkeit lediglich im Lichte des Art. 6 DSGVO zu beurteilen. Aus dieser Beurteilung ergebe sich, dass die verfahrensgegenständliche Verarbeitung rechtmäßig iSd Art. 6 Abs. 1 lit. f DSGVO sei.
Die Beschwerdegegnerin habe ein berechtigtes Interesse daran, dass Arbeitnehmer die diese nicht durch falsche Angaben im Arbeitszeiterfassungstool über ihren tatsächlichen Arbeitsort täuschen. Zur Wahrung dieses Interesses sei die verfahrensgegenständliche Verarbeitung vorgenommen worden, weshalb diese rechtmäßig sei.
Eine „interne Richtlinie“ betreffend den Zugriff auf die Informationen gäbe es bei der Beschwerdegegnerin zu dieser Thematik nicht. Vermutlich würde sich der Beschwerdeführer aber auf eine Betriebsvereinbarung über das Zutrittssystem („Betriebsvereinbarung Zutrittssystem“) beziehen. Diese Betriebsvereinbarung bestimme in Art. 4, dass die „ erfassten Daten nicht zur Zeitkontrolle und/oder Personenerfassung, mit Ausnahme der Behandlung von "Incidents" dienen. Eine Einsicht in diese Daten sowie eine Auswertung der aufgezeichneten Codes und Videodaten dürfe nur im Anlassfall - (versuchter) Einbruch, Vandalismus - unter Einbeziehung [nota bene: nicht Zustimmung] des Betriebsrats erfolgen. “
Aus dieser Bestimmung sei nicht abzuleiten, dass die Beschwerdegegnerin die verfahrensgegenständliche Verarbeitung nicht vornehmen hätte dürfen, weil
• die Betriebsvereinbarung Zutrittssystem die Zeitkontrolle oder Personenerfassung zur Behandlung von „Incidents“ ausdrücklich gestatte;
• auch dann, wenn die verfahrensgegenständliche Verarbeitung nicht ausdrücklich durch die Betriebsvereinbarung Zutrittssystem gestattet wäre, verstoße die verfahrensgegenständliche Verarbeitung nicht gegen einen Mitbestimmungstatbestand des ArbVG, weil nur dauerhafte und generelle Maßnahmen mit einer gewissen Eingriffsintensität mitbestimmungspflichtig iSd ArbVG seien und ad-hoc-Kontrollen wie die verfahrensgegenständliche Verarbeitung keine derartige Maßnahme darstellen würden.
Im Zusammenhang mit dem allgemeinen Begriff "Incidents" lasse sich daraus schließen, dass "Einbruch und Vandalismus" hier nur als demonstrative Beispiele verwendet worden seien. Eine Dateneinsicht samt Auswertung bleibe daher auch bei anderen "Vorfällen" zulässig.
Eine andere Auslegung des Art. 4 der Betriebsvereinbarung Zutrittssystem würde verhindern, dass auch andere Vorfälle als Einbrüche und Vandalismus näher untersucht werden könnten, wie z.B. auch Körperverletzungsdelikte. Diese Auslegung könne aber dem Art. 4. der Betriebsvereinbarung Zutrittssystem nicht unterstellt werden: Art. 4 der Betriebsvereinbarung Zutrittssystem gehöre als sogenannte Inhaltsnorm (Betriebsnorm, "Ordnungsnorm") zum normativen Teil der Betriebsvereinbarung Zutrittssystem.
Der normative Teil von Betriebsvereinbarungen, der sich an die normunterworfenen Arbeitnehmer richte, sei nach den Regeln über die Gesetzesauslegung (§§ 6 ff ABGB) zu interpretieren. Es sei davon auszugehen, dass die Parteien eine zweckentsprechende, auf gerechten Ausgleich der sozialen und wirtschaftlichen Interessen zielende Regelung treffen wollten; bei mehreren in Betracht kommenden Auslegungsmöglichkeiten sei daher jener der Vorzug zu geben, die diesen Anforderungen am meisten entspreche.
Lege man Art 4. der Betriebsvereinbarung Zutrittssystem in diesem Sinne aus, also dass ein gerechter Ausgleich der sozialen und wirtschaftlichen Interessen gewollt gewesen sei, dürfe ein Datenzugriff zu Lasten der Arbeitnehmer nicht grundlos erfolgen. Für den Arbeitgeber bleibe aber ein Zugriff in einzelnen Ausnahmefällen zulässig, wenn dem Arbeitgeber ansonsten ein nicht zumutbarer Schaden drohen würde. Falsche Angaben eines Arbeitnehmers, die mangels genauester Überprüfung zu sozialversicherungsrechtlichen und steuerlichen Nachteilen für den Arbeitgeber führen könnten, seien im Sinne eines Ausgleichs von wirtschaftlichen Interessen auf Seiten des Arbeitgebers jedenfalls als "Incident" zu werten, der eine Einsicht in die Aufzeichnungen der Zutrittskontrolle rechtfertige.
Dementsprechend sei die verfahrensgegenständliche Verarbeitung durch Art 4. der Betriebsvereinbarung Zutrittssystem gedeckt.
Es gehöre nach geltender Rechtsansicht und Rechtsprechung des OGH zudem zum Wesen des Arbeitsverhältnisses, dass sich Arbeitnehmer der Kontrolle durch den Arbeitgeber unterwerfen.
Nur in gesetzlich geregelten Ausnahmefällen sei der Betriebsinhaber verpflichtet, den Betriebsrat beizuziehen. Selbst die Einführung von generellen Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer bedürfe gemäß § 96 Abs. 1 Z 3 ArbVG aber nur dann zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates, wenn die geplanten Maßnahmen (Systeme) die Menschenwürde berühren. Betriebsvereinbarungen nach § 96 ArbVG und auch § 96a ArbVG könnten nur für generelle Maßnahmen abgeschlossen werden, nicht erfasst seien somit aus besonderem Anlass und nur auf den Einzelfall hin vorgenommene Kontrollen einzelner Arbeitnehmer. Das für die Mitbestimmung des Betriebsrats relevante ArbVG enthalte auch sonst keine Bestimmungen, die unmittelbar auf die Untersuchung konkreter Verdachtsfälle eines unzulässigen Verhaltens von Arbeitnehmern abzielen. Vor allem schreibe es dem Arbeitgeber nicht vor, in welcher Weise er solche Untersuchungen durchzuführen hat.
Das ArbVG enthalte auch keine Verpflichtung des Arbeitgebers, den Betriebsrat über Verdachtsfälle oder eingeleitete Untersuchungen zu informieren oder diesen dazu beizuziehen. Die österreichische Betriebsverfassung gehe vielmehr vom grundsätzlichen Alleinbestimmungsrecht des Betriebsinhabers über Führung und Leitung des Betriebs aus.
Selbst wenn also die verfahrensgegenständliche Verarbeitung nicht durch die Betriebsvereinbarung Zutrittssystem erfasst wäre, bleibe die verfahrensgegenständliche Verarbeitung daher ohne Betriebsvereinbarung iSd §§ 96f ArbVG weiterhin zulässig, weil sie klar eine ad-hoc Kontrolle im Verdachtsfall darstelle.
Der Beschwerdeführer habe seine Beschwerde am 24. September 2023 eingebracht. In dieser habe er eine Verletzung in seinem Recht auf Datenübertragbarkeit geltend gemacht und behauptet, dass sich der Verstoß „2021 und 2022“ zugetragen habe.
Die Datenschutzbehörde habe ihm am 26. September 2023 einen Mängelbehebungsauftrag iSd § 13 Abs. 3 AVG erteilt und ihn aufgefordert, sein als verletzt erachtetes Recht zu bezeichnen.
Darauf habe der Beschwerdeführer mit Eingabe vom 5. Oktober 2023 klargestellt habe, dass er sich in seinem Recht auf Geheimhaltung seiner personenbezogenen Daten verletzt erachte. Er habe behauptet, dass die Beschwerdegegnerin „illegal Daten aus dem Sicherheitssystem verwendet“ habe und er von diesem „Verstoß“ erfahren habe, als er „im August oder Anfang September 2022 wegen noch nicht geklärter Verstöße vor die Geschäftsführung“ gerufen worden sei. Davon ausgehend sei seine Beschwerde verfristet iSd § 24 Abs. 4 DSG.
3. Mit Schreiben vom 27. Dezember 2023 führte der Beschwerdeführer zusammengefasst und soweit verfahrensrelevant aus, dass die Beschwerdegegnerin angebe, dass sie 95 Verstöße oder "Vorfälle", wie sie sie in ihrer Erklärung nenne, festgestellt habe, wobei sie absichtlich die Tatsache auslasse, dass er keinen Zugang zu diesen Daten gehabt habe und sich nicht dazu äußern oder in irgendeiner Weise verteidigen habe können.
Die Angelegenheit habe Ende August oder Anfang September begonnen, als er aufgefordert worden sei, sich vor dem Leiter der Personalabteilung und dem stellvertretenden Direktor zu verteidigen. Damals hätten sie ihm mitgeteilt, dass sie Unstimmigkeiten in seinen Anwesenheitslisten finden würden und dass das Gespräch nur zu Informationszwecken stattfinde. Der Beschwerdeführer habe damals erklärt, dass er akzeptiere, dass es Fehler oder Unstimmigkeiten geben könne, aber in diesem Gespräch sei er nicht darüber informiert worden, was ihm vorgeworfen worden sei und wie er sich verteidigen sollte, er habe keinen Zugang zu den Daten und nach der Verteidigung auch keine Gelegenheit, das Protokoll, das damals erstellt wurde, einzusehen erhalten.
Er habe das Unternehmen im Oktober und November zwei- oder dreimal aufgefordert, seine Diskriminierung einzustellen, und er habe ihnen eindeutig untersagt, ohne seine Zustimmung über seine persönlichen Daten zu verfügen. Er habe auf keinen seiner Appelle eine Antwort erhalten, keine Erklärung, keine Erläuterung, was vor sich gehe.
Er habe in seinen Einsprüchen deutlich gemacht, dass er den Zugang zu seinen persönlichen Daten gestatten werde, wenn die gesamte Belegschaft dazu verpflichtet sei, damit alle gleichbehandelt würden. Bis dahin gebe er seine Zustimmung zur Verwendung seiner persönlichen Daten in Anwesenheitslisten nicht.
Irgendwann im November habe er durch ein Mitglied des Betriebsrats erfahren, dass die Unternehmensleitung den Betriebsrat um die Zustimmung zum Zugriff auf persönliche Anwesenheitsdaten gebeten habe, gemäß der Zutrittspolitik des Betriebsratssystems. Der Betriebsrat habe die Zustimmung abgelehnt, da die Bedingungen nicht erfüllt gewesen seien. Das Mitglied des Betriebsrats habe auch erklärt, dass die Unternehmensleitung dennoch beschlossen habe, die Daten ohne Zustimmung einzusehen. Zu diesem Zeitpunkt hab er auch erfahren, dass die Geschäftsleitung beabsichtigte, die Daten als Steuerdaten an die österreichische Steuerbehörde zu übermitteln, obwohl sie weder die Zustimmung des Betriebsrats noch von ihm als Eigentümer der Daten zur Verwendung der Daten gehabt habe.
Einigen anderen slowenischen Arbeitnehmern sei es nach Druck gelungen, eine Art von Auszügen aus diesen illegal beschafften Unterlagen zu erhalten. Die Daten hätten sich praktisch bei allen Mitarbeitern als inkonsequent und fehlerhaft erwiesen. Die Behauptung, es habe 95 Verstöße gegeben, sei somit völlig entkräftet und beruhe auf völlig unzuverlässigen Daten.
Als sich herausgestellt habe, dass die Aufzeichnungen voller Löcher in den illegal beschafften Daten gewesen seien, habe er am 17. November eine klare Aufforderung an die Unternehmensleitung gerichtet, erstens die Verwendung der illegal beschafften Daten einzustellen und zweitens, dass diese Daten in keiner Weise für steuerliche Zwecke verwendet werden dürften, da sie nicht der Wahrheit entsprechen würden. Er habe auf strafbare Handlungen hingewiesen, die mit dem Vorgehen der Beschwerdegegnerin verbunden seien.
Statt einer Erklärung sei er noch am selben Tag zur Persona non grata erklärt und vor Ablauf seiner Kündigungsfrist aus dem Unternehmen begleitet worden.
Der Leiter der Personalabteilung habe ihm als er aus dem Unternehmen verwiesen worden sei, einen Stapel fotokopierter und mit Bleistift beschriebener Papiere vor die Nase geworfen - dieselben Fotokopien, die sie ihrem Schreiben beigelegt hatten. Dies sei ihm als "Beweis" für seine Täuschung ausgehändigt worden, ohne dass klar gewesen sei, was genau die Vermerke auf diesen Blättern bedeuten, wer sie gemacht habe und auf welcher Grundlage, und was genau sie darstellen sollen.
Die Beschwerdegegnerin habe die unrechtmäßig erlangten Daten, von denen sie schon damals gewusst habe, dass sie voller Fehler gewesen seien, bei den zuständigen Finanzbehörden in Österreich als Steuerdaten vorgelegt. Da er in Slowenien wohnhaft sei, werde seine endgültige Einkommensteuerveranlagung in Slowenien vorgenommen, wo der Arbeitsort eine tatsächliche steuerliche Auswirkung habe, und er werde durch die überhöhte Veranlagung der Einkommensteuer geschädigt, wenn die Verstöße nicht abgestellt würden.
Er habe von dem Unternehmen Informationen für die Einkommensteuererklärung ab Anfang 2023 einholen wollen, da die Beschaffung dieser Informationen für seine Einkommenssteuererklärung 2022 unerlässlich gewesen sei.
Der Beschwerdeführer wolle noch einmal klarstellen, dass ihm weder ein Betrugsvorwurf bekannt sei, noch sei er Gegenstand eines Strafverfahrens in dieser Angelegenheit gewesen. Der Begriff "Vorfall" solle im juristischen Sinne eine Form von unerwartetem, abweichendem Verhalten darstellen, das räumlich und zeitlich begrenzt sei. Als juristischer Laie könne er feststellen, dass in seinem Fall die beanstandeten Handlungen diese Bedingungen eines Vorfalls oder Betrugs nicht erfüllen.
Es könnte anhand der missbräuchlich verwendeten personenbezogenen Daten lediglich festgestellt werden, dass das System den Eintritt in das Unternehmen nicht erfasst habe. Der tatsächliche Missbrauch könnte anhand der legitimen Daten nicht nachgewiesen werden und die Beschwerdegegnerin werfe ihm einen „Betrug“ in Höhe von rund 500 Euro vor, aber sie habe ihm dennoch einen unverhältnismäßig großen finanziellen und schwer abschätzbaren gesundheitlichen Schaden zugefügt.
Das primäre Interesse des Beschwerdeführers sei es, seine Steuerdaten in den ursprünglichen, unmanipulierten Zustand zu versetzen. Er wolle die Daten in nicht manipulierter Form erhalten, insbesondere um seine Einkommensteuererklärung für das Jahr 2022 abschließen zu können, andernfalls werde er eine Klage oder strafrechtliche Verfolgung gegen die Beschwerdegegnerin in Betracht ziehen.
5. Mit Schreiben vom 7. Juni 2024 forderte die Datenschutzbehörde die Beschwerdegegnerin erneut zur Stellungnahme auf. Das Schreiben lautete auszugsweise :
„Sie führen in dieser Stellungnahme [vom 1. Dezember 2023] aus, dass sich Ende September / Anfang Oktober 2022 der Verdacht ergeben hätte, dass die Angaben des Beschwerdeführers im Arbeitszeiterfassungstool zu seinen Anwesenheiten in den Betriebsräumlichkeiten von J*** nicht zutreffen würden.
Im Widerspruch hierzu steht die Angabe des Beschwerdeführers in seiner Eingabe vom 5. Oktober 2024, wonach er von dem Verstoß (der beschwerdegegenständlichen Verarbeitung der Daten aus dem Arbeitszeiterfassungstool) erfahren habe, als er im August oder Anfang September 2022 wegen noch nicht geklärter Verstöße vor die Geschäftsführung des Unternehmens gerufen worden sei, um sich zu verteidigen.
Sie werden aufgefordert, dazu innerhalb einer Frist von zwei Wochen ab Erhalt dieses Schreibens Stellung zu nehmen und auszuführen, wann genau der Verdacht gegen den Beschwerdeführer entstanden ist und wann das von dem Beschwerdeführer angeführte Gespräch vor der Geschäftsleitung des Unternehmens stattgefunden hat.“
6. Mit Schreiben vom 1. Juli 2024 nahm die Beschwerdegegnerin Stellung und führte zusammengefasst und soweit beschwerderelevant aus, dass bei der Beschwerdegegnerin Ende September / Anfang Oktober 2022 der Verdacht entstanden sei, dass Arbeitnehmer der Beschwerdegegnerin, die ihren Wohnsitz in Slowenien haben, ihre Anwesenheiten in den Betriebsräumlichkeiten der Beschwerdegegnerin nicht korrekt im Arbeitszeiterfassungstool aufzeichnen würden. Der Beschwerdeführer habe zu den slowenischen Grenzgängern gehört.
In der ersten Oktoberwoche 2022 seien Stichproben durchgeführt worden und es sei erstmals ein konkreter Verdacht auch gegen den Beschwerdeführer aufgekommen, welcher sich in der zweiten Oktoberwoche 2022 (10. bis 14. Oktober 2022) bestätigt habe. Es sei dann ein Termin mit dem Beschwerdeführer für den 18. Oktober 2022 vereinbart worden, um mit dem Beschwerdeführer die Ergebnisse des Abgleiches zu besprechen. Dieser Termin habe mit der Geschäftsführung und der HR Leiterin der Beschwerdegegnerin stattgefunden und die falschen Eintragungen im Arbeitszeiterfassungstool betroffen.
7. Die Datenschutzbehörde erteilte dem Beschwerdeführer , mit Schreiben vom 13. Dezember 2024, Parteiengehör zu der Stellungnahme der Beschwerdegegnerin vom 1. Juli 2024 und gab ihm Gelegenheit, zu den Ergebnissen des Ermittlungsverfahrens eine Stellungnahme abzugeben. Der Beschwerdeführer gab bis zum Ende des Verfahrens jedoch keine weitere Stellungnahme ab.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt hat, indem sie in den Betriebsräumlichkeiten in **** H***stadt, V***gasse *3, ein elektronisches Zutrittssystem betreibt und die den Beschwerdeführer betreffenden Daten aus diesem System rechtswidrig verwendet und an das österreichische Finanzamt gemeldet hat.
Beschwerdegegenstand ist nicht die Frage, ob die Vorschriften der Beschwerdegegnerin für Homeoffice gerechtfertigt oder diskriminierend waren, hierbei handelt es sich nicht um eine datenschutzrechtliche Fragestellung. Weiters ist nicht Beschwerdegegenstand, welche Arbeitszeitdaten des Beschwerdeführers korrekt sind.
C. Sachverhaltsfeststellungen
Der Beschwerdeführer war Arbeitnehmer der Beschwerdegegnerin. Er hat seinen Wohnort in Slowenien, der Arbeitsort liegt – sofern nicht Homeoffice gemacht wird – in den Betriebsräumlichkeiten in Österreich.
Die Beschwerdegegnerin betreibt in den Betriebsräumlichkeiten in **** H***stadt, V***gasse *3, ein elektronisches Zutrittssystem. Bei diesem müssen Arbeitnehmer beim Zutritt zu bzw. beim Verlassen der Betriebsräumlichkeiten ihre Zutrittskarten auf Reader legen und das Zutrittssystem erfasst Daten darüber, wann welcher Arbeitnehmer die Betriebsräumlichkeiten der Beschwerdegegnerin betreten und verlassen hat.
Weiters erfassen die Arbeitnehmer der Beschwerdegegnerin ihre verrichtete Arbeitszeit inklusive des Arbeitsortes in einem gesonderten System („Arbeitserfassungstool“). Diese Erfassung nehmen die Arbeitnehmer selbst manuell vor.
Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus dem insoweit übereinstimmenden Vorbringen der Verfahrensparteien.
Es besteht eine Betriebsvereinbarung betreffend das elektronische Zutrittssystem zu den Betriebsräumlichkeiten in **** H***stadt, V***gasse *3. Diese lautet wie folgt (Wiedergabe ohne Anlage 1, welche die Aufstellung der Videokameras betrifft):
[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle als Faksimile einer unterschriebenen Ausfertigung im grafischen Format PNG wiedergegebene Betriebsvereinbarung wurde in ein Textdokument umgewandelt und wird hier (unter Weglassung unwesentlicher Elemente wie Briefkopf, Unternehmenslogo, Fertigungen etc.) pseudonymisiert wiedergegeben.]
„ Betriebsvereinbarung Zutrittssystem / Videoüberwachung
nach § 96 (1) Ziffer 3 ArbVG
Allgemein
Das Zutrittssystem und die Videoüberwachung unterstützen die sicherheitstechnischen Anforderungen der Standorte in H***stadt (Kundenanforderung, Security Management System der Organisation).
1. Zutrittssystem und Videoüberwachung am Standort V***gasse *3. **** H***stadt,
1.1. Definition Zutrittssystem
Das Zutrittssystem umfasst Hardware (Reader, Gates, Fluchttüren) und Software sowie Datenerfassung. Jede Benutzung eines Readers oder einer Fluchttür Iöst eine Meldung am Kontrollsystem aus und wird elektronisch gespeichert. Das System beinhaltet keine automatische Auswertung der Daten. Eine händische Auswertung der Daten erfolgt nur im Zuge des H***stadt Site Security Konzeptes und dient ausschließlich zur Feststellung von Incidents. Es ist möglich, dass in Zukunft im Falle eines Brand-/AIarmfalIes eine Anwesenheitsliste generiert wird.
1.2. Definition Videoüberwachung
Die Videoüberwachung umfasst Hardware (Kamera im Aussenbereich, am Gate sowie im Innenbereich), Software sowie Datenerfassung. Die Kameras sind laut Site Security Konzept rund um die Uhr, dass heißt auch zu Bürozeiten eingeschaltet. Eine Bildaufzeichnung wird durch einen integrierten Bewegungsmelder aktiviert.
Das Sicherheitspersonal hat ständig Einblick auf die aktuellen Kamerabilder, der Leiter des Sicherheitsdienstes hat des weiteren Zugriff auf Aufzeichnungen der vorangegangenen drei Tage. In ältere Aufzeichnungen kann nur durch den Leiter des Sicherheitsdienstes gemeinsam mit dem Betriebsrat Einsicht genommen werden. (Eingabe von unabhängigen Passwörtern notwendig).
Aufgrund von Kundenanforderungen wurden im Innenbereich der Gebäude Fixkameras installiert, welche nur die Zugänge zu diversen Bereichen überwachen (Anhang I — Bereich: Innen). Die Blickrichtung dieser Kameras ist fix eingestellt und kann im Betrieb nicht fernbedienbar verstellt werden.
2. Videoüberwachunq und Alarmanlage RDC/ASC - V***platz *2 ****H***stadt
2.1. Definition Videoüberwachung und Alarmanlage
Bedingt durch die Lage des RDC/ASC (V***platz, H***stadt) und die dort vorhandene technische Ausstattung bzw. aus Gründen des IP-Schutzes wurde eine Videoüberwachung und Alarmanalage installiert
Durch die örtlichen Gegebenheiten ist nur eine Installation innerhalb des Gebäudes möglich. Die Videoüberwachung umfasst Hardware (Kameras im Innenbereich, Bewegungssensoren), Software sowie Geräte zur Datenerfassung.
2.2. Funktionsweise
Aktivierung
Der letzte Mitarbeiter, der das Gebäude verlässt aktiviert mit einem persönlichen Code die Alarmanlage. 30 Sekunden nach Bestätigung wird die Anlage "aktiviert".
Bei Auslösung über die Bewegungsmelder beginnt die Aufzeichnung, ein Alarm wird an die zuständige Sicherheitsfirma weitergeleitet und ein Streifendienst zum RDC/ASC entsandt. Bei irrtümlicher Auslösung durch einen Mitarbeiter kann die zuständige Sicherheitsfirma nach Nennung eines Codewortes den Fehlalarm quittieren.
Deaktivierung
Der erste Mitarbeiter, der das Gebäude betritt deaktiviert die Anlage durch Eingabe des persönlichen Codes, somit sind alle Bewegungsmelder und Aufzeichnungsgeräte außer Funktion gesetzt.
2.3. Technische Randbedinqunqen
Anhand der technischen Parameter und Aufzeichnungen der Anlage ist es möglich, Mitarbeiter und deren Anwesenheit (im Speziellen "Erster" und "Letzter" Mitarbeiter im Gebäude) anhand der Eingabe und Speicherung des persönlichen Codes abzuleiten.
2.4. Datengebrauch
Eine Nutzung der Daten im Sinne einer Ableitung von Anwesenheitszeiten wird anhand dieser Betriebsvereinbarung strikt untersagt.
3. Incidents
Im Falle eines Incidents mit Beteiligung eines J***-Halbleiter Sicherheitstechnik H***stadt Mitarbeiters ist unverzüglich der Betriebsrat hinzu zu ziehen. An den Site Security Manager wird der Sachverhalt ohne Personenbezug gemeldet. Die Abhandlung der Incidents erfolgt in der Verantwortung der Site H***stadt (Site Security Manager, Geschäftsleitung, Sicherheitsdienst, Betriebsrat).
4. Zutrittssystem
Die erfassten Daten dienen nicht zur Zeitkontrolle und/oder Personenerfassung mit Ausnahme der Behandlung von Incidents. Eine Einsicht in diese Daten sowie eine Auswertung der aufgezeichneten Codes und Videodaten darf nur im Anlassfall - (versuchter) Einbruch, Vandalismus - unter Einbeziehung des Betriebsrates erfolgen.
5. Videoüberwachung
Grundsätzlich dient die Videoüberwachung nur der Kontrolle der Außenbereiche (widerrechtliche Annäherung an die Gebäudehülle) sowie der Kontrolle des Zutritts zu definierten Innenbereichen (Kundenanforderung) und stellt somit keine Kontrolle im Sinne ArbVG § 96 (1) Ziffer 3 dar. Die Innenkameras erfassen keinen Arbeitsplatz.
Betroffene Personen sind diesbezüglich hinreichend zu informieren. Die Verantwortung dafür liegt beim Site Management. Der Betriebsrat kontrolliert in Zusammenarbeit mit dem Sicherheitsdienst regelmäßig (mind. jährlich) die Kameraeinstellung.
Die Innenkamera (Fixkamera) im Bereich Frontdesk (Anhang 1 - Bezeichnung: Portier) dient ausschließlich zur Prüfung der korrekten Benutzung des Gates. Deren Erfassungsbereich schließt den Arbeitsplatz frontdesk" nicht ein.
Die Auflistung aller Kameras und Positionen wird in der Anlage 1 dokumentiert. Änderungen sind zu dokumentieren und dem Betriebsrat zur Freigabe vorzulegen.
Diese Betriebsvereinbarung ersetzt die Fassung vom 01.01.2007 und wird auf ein Jahr abgeschlossen. Die Vereinbarung wird jeweils um ein weiteres Jahr verlängert sofern Sie nicht von einer Partei einen Monat vor Ablauf gekündigt wird.
Im Falle der Kündigung verpflichten sich beide Vertragspartner in neue Verhandlungen zu gehen.
Anlage 1: Aufstellung Videokameras – J*** H***stadt
H***stadt am 07.08.2014“
Beweiswürdigung : Die getroffene Feststellung ergibt sich aus dem übereinstimmenden Vorbringen der Verfahrensparteien. Die wiedergegebene Betriebsvereinbarung wurde von der Beschwerdegegnerin mit Stellungnahme vom 1. Dezember 2023 vorgelegt.
Bei der Beschwerdegegnerin ist Ende September / Anfang Oktober 2022 der Verdacht entstanden, dass Arbeitnehmer der Beschwerdegegnerin, die ihren Wohnsitz in Slowenien haben, ihre Anwesenheiten in den Betriebsräumlichkeiten der Beschwerdegegnerin nicht korrekt im Arbeitszeiterfassungstool aufgezeichnet habe. Der Beschwerdeführer ist einer dieser Arbeitnehmer.
Dieser Verdacht ist durch Meldung von Verstößen gegen die Homeoffice-Regelung durch zwei unterschiedliche, voneinander unabhängige Personen entstanden.
Aufgrund dieses Verdachtes, hat die Beschwerdegegnerin in der Woche vom 3. bis 7. Oktober 2022 begonnen, die Arbeitsaufzeichnungen im Arbeitszeiterfassungstool derjenigen Arbeitnehmer, die ihren Wohnsitz in Slowenien hatten, stichprobenartig zu überprüfen. Hierbei wurden auch die Aufzeichnungen des Beschwerdeführers geprüft.
Die geprüften Aufzeichnungen selbst ergaben keine Abweichungen zur geltenden Homeoffice-Regelung der Beschwerdegegnerin. Die Beschwerdegegnerin hatte jedoch aufgrund der zwei Meldungen den Verdacht, dass die Angaben im Arbeitszeiterfassungstool nicht korrekt sind.
In der Woche vom 10. bis 14. Oktober 2022 nahm die Beschwerdegegnerin Einsicht in die Daten des elektronischen Zutrittssystems betreffend den Zeitraum Juli 2021 – der Zeitraum ab dem die Homeoffice-Regelung in Geltung stand – bis September 2022. Vor der Einsichtnahme informierte die Beschwerdegegnerin zwei Betriebsratsmitglieder über die geplante Einsichtnahme.
Es fand ein Gespräch zwischen der Beschwerdegegnerin und dem Beschwerdeführer betreffend die Ergebnisse dieses Abgleichs am 18. Oktober 2022 statt.
Beweiswürdigung : Die getroffenen Feststellungen ergeben sich aus der Stellungnahme der Beschwerdegegnerin vom 1. Juli 2024. Die Feststellung, dass es ein Gespräch zwischen der Beschwerdegegnerin und dem Beschwerdeführer gab, in welchem der Beschwerdeführer mit den Ergebnissen des Abgleichs bzw. den Vorwürfen gegen ihn konfrontiert wurde, stimmt mit dem Vorbringen des Beschwerdeführers überein. Der Beschwerdeführer konnte jedoch das genaue Datum des Gesprächs nicht angeben, weshalb sich die Feststellung, dass das Gespräch am 18. Oktober 2022 stattgefunden hat alleine auf die Stellungnahme der Beschwerdegegnerin stützt.
Die Beschwerdegegnerin hat Einkommenssteuerdaten des Beschwerdeführers für die Jahre 2021 und 2022 basierend auf den, sich aus dem Abgleich zwischen Arbeitszeiterfassungstool und elektronischem Zutrittssystem ergebenden, Arbeits- und Homeofficezeiten an das österreichische Finanzamt gemeldet.
Beweiswürdigung : Die Feststellung ergibt sich aus dem unbestrittenen Vorbringen des Beschwerdeführers. Die anwaltlich vertretene Beschwerdegegnerin hat sich trotz gebotener Möglichkeit und Aufforderung durch die Datenschutzbehörde, zu dem Vorbringen des Beschwerdeführers Stellung zu nehmen, in keiner ihrer Stellungnahmen zu dem diesbezüglichen Vorbringen des Beschwerdeführers geäußert.
Es ergibt sich jedoch aus einer von dem Beschwerdeführer vorgelegten E-Mail der Mitarbeiterin der Beschwerdegegnerin Erica G*** vom 23. Februar 2023 an den Beschwerdeführer (auszugsweise: „Conclusion of the investigation is that it does not change how the wage tax and social security withholdings have occurred during the period the involved employees fully worked from home. We will therefore not proactively reach out to Austrian or Slovenian authorities to share this case, our analysis and conclusions. What still needs to be done is the correction of the salary slips of the employees for the items that were incorrectly paid out e.g. lunch vouchers, commute allowance etc. because they were not entitled to these items because they worked from home during that period. Any corresponding corrections in social security contributions and wage tax need to be dealt with in the respective returns.”) und den rechtlichen Verpflichtungen des EStG, welche die Beschwerdegegnerin als Arbeitsgeberin betreffen, dass die Beschwerdegegnerin die von ihr als richtig erachteten – durch den Vergleich der Daten des Arbeitszeiterfassungstools mit den Daten des elektronischen Zutrittssystems erstellten – steuerrechtlichen Daten an das Finanzamt gemeldet hat.
D. In rechtlicher Hinsicht folgt daraus:
Zum Beschwerdegegenstand
Für Parteieingaben ist nicht bloß der Wortlaut der Beschwerde, sondern auch der Wille der Partei beachtlich. Das Vorliegen von Voraussetzungen ist nicht streng formal zu interpretieren, sofern der Gegenstand des Verfahrens – wenn auch nach Auslegung des Vorbringens iSd §§ 6 und 7 ABGB – zweifelsfrei, also ohne Möglichkeit einer Verwechslung zu erkennen ist (VwGH 13.11.2014, Ra 2014/12/0010).
Für die Beurteilung eines Anbringens kommt es nicht auf Bezeichnungen und zufällige Verbalformen an, sondern auf den Inhalt des Anbringens, also das erkennbare oder zu erschließende Ziel eines Parteischrittes (VwGH 27.11.1998, 95/21/0912).
Auch hat das Bundesverwaltungsgericht bereits mehrfach ausgesprochen, dass sich der Gegenstand eines Beschwerdeverfahrens vor der Datenschutzbehörde – weil antragsgebunden – auf das Vorbringen des jeweiligen Beschwerdeführers zu beschränken hat und es bei der Ermittlung von dessen Rechtsqualität und Inhalt nicht auf die Bezeichnung, sondern vielmehr auf den Inhalt, also auf das daraus erkenn- und erschließbare Ziel, ankommt (vgl. etwa das Erkenntnis des BVwG vom 15. Oktober 2021, GZ: W211 2233114-1/9E).
Mit Eingabe vom 24. September 2023 brachte der Beschwerdeführer Beschwerde im Recht auf Datenübertragbarkeit ein. Er führte zusammengefasst aus, dass die Beschwerdegegnerin als Arbeitgeberin unerlaubt Daten aus dem Sicherheitssystem genutzt habe um ihm nachzuweisen, dass er vom Büro abwesend gewesen sei bzw. seine Arbeit von zu Hause aus gemacht habe. Die Daten seien für finanzielle Sanktionen gegen ihn genutzt und der Steuerverwaltung als wahr und rechtmäßig erlangt übermittelt worden, obwohl sie illegal erlangt worden seien und sich als unvollständige Daten herausgestellt hätten, mit denen der Arbeitgeber seinen Aufenthaltsort nicht nachweisen habe können.
Der Verstoß habe sich 2021 und 2022 zugetragen und er habe im Oktober 2022 davon erfahren. Weiters habe er mittels mehrerer E-Mails und Briefe im Zeitraum 2022 – 2023 einen Antrag auf Datenübertragbarkeit an die Beschwerdegegnerin gestellt. Die Beschwerdegegnerin habe ihm mitgeteilt, dass sie dem Antrag (teilweise) nicht folgen werde.
Der der Beschwerde angeschlossene Schriftverkehr zwischen dem Beschwerdeführer und der Beschwerdegegnerin betraf die Untersuchung des behaupteten Fehlverhaltens der Beschwerdegegnerin betreffend den Betriebsstandort H***stadt („investigation about the alleged misconduct of the J*** H***stadt site management“) und das Resultat der diesbezüglichen Untersuchung der Beschwerdegegnerin. In dem mit der Beschwerde übermittelten Schriftverkehr war kein Antrag auf Datenübertragbarkeit gemäß Art. 20 DSGVO enthalten.
Aufgrund des Vorbringens des Beschwerdeführers war für die Datenschutzbehörde der erkennbare Beschwerdegegenstand, dass sich der Beschwerdeführer von der Beschwerdegegnerin durch deren Zugriff auf seine personenbezogenen Daten aus dem Sicherheitssystem verletzt erachtet. Der Beschwerdeführer wurde daher mit Mangelbehebungsauftrag aufgefordert, klarzustellen in welchem Recht er sich verletzt erachtet, da in der Beschwerde das Recht auf Datenübertragbarkeit angeführt war, ausgehend von seinem Vorbringen jedoch grundsätzlich eine Verletzung im Recht auf Geheimhaltung denkbar erschien.
Mit Eingabe vom 5. Oktober 2023 ergänzte der Beschwerdeführer seine Beschwerde und gab nun an, eine Datenschutzbeschwerde aufgrund einer Verletzung im Recht auf Geheimhaltung zu erheben.
Für die Datenschutzbehörde ist daher das erkennbare und sich aus den Vorbringen in den Eingaben des Beschwerdeführers vom 25. September 2023 und 5. Oktober 2023 erschließbare Ziel, eine Feststellung einer Verletzung im Recht auf Geheimhaltung durch Verwendung der Daten des Sicherheitssystemes (elektronischen Zutrittssystems) durch die Beschwerdegegnerin.
Zur Frage der Verjährung
Voraussetzung einer Beschwerde bei der Datenschutzbehörde ist gemäß Art. 24 Abs. 1 DSG die Behauptung einer betroffenen Person, dass eine Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 des 1. Hauptstücks des DSG verstößt.
Gemäß § 24 Abs. 4 DSG erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind gemäß § 24 Abs. 4 letzter Satz DSG zurückzuweisen.
Bei den in § 24 DSG genannten Fristen handelt es sich um Präklusivfristen (vgl. das Urteil des Obersten Gerichtshofes vom 31. Juli 2015, 6 Ob 45/15h, zur diesbezüglich wortgleichen Vorgängerbestimmung des § 34 Abs. 1 DSG 2000). Folglich kommt es gemäß § 24 Abs. 4 DSG zu einem Erlöschen des Anspruchs, wenn die dort enthaltenen Zeitvorgaben (subjektive Frist von einem Jahr ab Kenntnis des Sachverhalts und objektive Frist von drei Jahren ab Stattfinden des Ereignisses) verstreichen. Auf den Zeitpunkt einer erst später erfolgten Auseinandersetzung kommt es hingegen für den Beginn des Fristenlaufs nicht an (vgl. das Erkenntnis des Bundesverwaltungsgerichts vom 18. März 2019, W211 2208247-1).
Zur näheren Begründung der besonderen Verjährungsfristen nach § 24 Abs. 4 DSG ist auf die Ausführungen in den ErlRV zur diesbezüglich wortgleichen Vorgängerbestimmung des § 34 Abs. 1 DSG 2000 (1613 BlgNR XX. GP, S. 50) hinzuweisen:
„Die Anwendungserfahrung, insbesondere vor der Datenschutzkommission, hat ergeben, daß die Statuierung von Verjährungsfristen [...] für die Geltendmachung der Interessen der Betroffenen nach dem DSG sachlich geboten ist: Die Ermittlung von Sachverhalten, die lange zurückliegen, stößt erfahrungsgemäß auf erhebliche Schwierigkeiten und verhindert eine verläßliche Beurteilung des Vorliegens von Datenschutzverletzungen. Auch im eigenen Interesse sollten die Betroffenen daher dazu angehalten werden, behauptete Datenschutzverletzungen möglichst frühzeitig bei der Datenschutzkommission oder bei Gericht anhängig zu machen. Festzuhalten ist, daß diese besonderen Verjährungsfristen für Schadenersatzansprüche nach § 33 [DSG 2000] nicht gelten; diesbezüglich gelten die Verjährungsfristen des § 1489 ABGB, das sind drei bzw. 30 Jahre.“
§ 24 Abs. 4 DSG stellt, wie oben dargelegt, auf ein beschwerendes Ereignis als Auslöser des Fristenlaufs ab. Als solches kommt bspw. ein von Seiten des Beschwerdegegners aktiv gesetzter Eingriff (= beschwerendes Ereignis) in das Recht auf Geheimhaltung (zB eine Datenübermittlung) in Frage (vgl. Suda in Gantschacher†/Jelinek/Schmidl/Spanberger [Hrsg.], Kommentar zum Datenschutzgesetz, § 24, Anm. 12).
Im gegenständlichen Fall behauptet der Beschwerdeführer in seinem Recht auf Geheimhaltung durch die Beschwerdegegnerin verletzt worden zu sein, da die Beschwerdegegnerin Daten aus dem Zeiterfassungssystem unrechtmäßig verwendet habe.
Nach erneuter Aufforderung zur Stellungnahme gab die Beschwerdegegnerin bekannt, dass sie den Beschwerdeführer am 18. Oktober 2022 mit ihrem Verdacht konfrontiert habe. Der Beschwerdeführer habe somit bei der Besprechung am 18. Oktober 2022 von den Anschuldigungen ihm gegenüber und damit von der behauptetermaßen unrechtmäßigen Verwendung seiner Daten erfahren.
Die am 25. September 2023 eingebrachte und am 5. Oktober 2023 ergänzte Beschwerde wurde somit unzweifelhaft vor Ablauf der subjektiven Frist von einem Jahr ab Kenntnis eingebracht und erweist sich somit als innerhalb der Frist des § 24 Abs. 4 DSG und rechtzeitig eingebracht . Es ist dem Vorbringen der Beschwerdegegnerin in ihrer ersten Stellungnahme, wonach eine Behandlung der Beschwerde nach § 24 Abs. 4 DSG ausgeschlossen sei, nicht zu folgen.
Allgemeines zum Recht auf Geheimhaltung
Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.
„Personenbezogene Daten“ gemäß Artikel 4 Z 1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Als Verarbeitung wird jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten verstanden wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung steht (vgl. Art. 4 Z 2 DSGVO).
Es kann jedenfalls davon ausgegangen werden, dass der Beschwerdeführer ein schutzwürdiges Interesse an der Geheimhaltung seiner Daten hatte.
Im gegenständlichen Fall liegt keine Einwilligung des Beschwerdeführers vor und erfolgte die Verarbeitung nicht in seinem lebenswichtigen Interesse.
Zu überprüfen ist daher, ob eine entsprechende qualifizierte Rechtsgrundlage nach § 1 Abs. 2 erster Satz DSG und Art. 6 Abs. 1 lit. c DSGVO für die gegenständlich relevanten Verarbeitungsvorgänge der Beschwerdegegnerin gegeben ist oder sich diese auf überwiegende berechtigte Interessen gem. Art. 6 Abs. 1 lit. f DSGVO stützen kann.
In der Sache – Verwendung der Daten aus dem elektronischen Zutrittssystem
Die Beschwerdegegnerin beruft sich in ihrer Stellungnahme darauf, dass die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt sei.
Nach der ständigen Rechtsprechung des EuGH sind für eine Berufung auf Art. 6 Abs. 1 lit. f DSGVO drei Voraussetzungen kumulativ erforderlich. Erstens muss vom Verantwortlichen oder Dritten ein berechtigtes Interesse wahrgenommen werden; zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein; drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.
Die Abwägung der jeweiligen gegenüberstehenden Rechte bedarf einer Beurteilung im Einzelfall (siehe zuletzt das Urteil vom 17. Juni 2021, C-597/19).
Im konkreten Fall sind die angeführten Interessen der Verantwortlichen als Arbeitgeberin und das Recht des Beschwerdeführers als Arbeitnehmer auf den Schutz seiner personenbezogenen Daten gegenüberzustellen.
Die Beschwerdegegnerin führt aus, dass ihr berechtigtes Interesse in der raschen und restlosen Aufklärung des Verdacht der Angabe falscher Anwesenheiten liegt, da diesbezügliche Angaben für sie auch steuerrechtliche und sozialversicherungsrechtliche Folgen sowie allenfalls negative finanzielle Auswirkungen haben könne.
Dieser Argumentation kann insofern gefolgt werden, als dass ein berechtigtes Interesse der Beschwerdegegnerin als Arbeitgeberin vorhanden ist, dem Verdacht der falschen Angaben zu Anwesenheiten bzw. der möglichen Missachtung der Homeoffice-Regelung nachzugehen und Anstrengungen zu unternehmen, diesen aufzuklären.
Zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung dieses berechtigten Interesses erforderlich sein.
In seinem Urteil vom 11. Dezember 2019, C-708/18, führte der EuGH zur zweiten Voraussetzung des Art. 7 lit. f der Richtlinie 95/46 (bzw. nunmehr Art. 6 Abs. 1 lit. f DSGVO), der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses aus, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (siehe beispielsweise auch EuGH, 4.5.2017, C-13/16 oder EuGH, 9.11.2010, C-92/09 und C-93/09). Mit anderen Worten stellt sich die Frage, ob der gleiche Schutzzweck durch ein gelinderes Mittel ebenfalls erlangt werden bzw. das angestrebte Ziel mit einer weniger eingriffsintensiven Datenverarbeitung erreicht werden kann.
Gegenständlich ist die Auswertung von Daten des Zutrittssystems denkmöglich zur anlassbezogenen Nachkontrolle von Anwesenheiten geeignet. Die Beschwerdegegnerin bringt vor, dass vor dieser Datenverarbeitung die Daten des vom Beschwerdeführer manuell ausgefüllten Arbeitszeiterfassungstools ausgewertet worden seien und aufgrund des von zwei Seiten unabhängig voneinander vorgebrachten Verdachtes dann erst nach Information zweier Betriebsratsmitglieder die Daten des elektronischen Zutrittssystems ausgewertet worden seien.
Auch dieser Punkt ist somit zu bejahen, da die Verarbeitung der Daten des elektronischen Zutrittssystems erforderlich für die Aufklärung des Verdachts war und gegenständlich ein gelinderes, ebenso effektives, Mittel nicht erkennbar ist.
Als dritter Punkt ist eine Interessenabwägung vorzunehmen, wobei die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber den Interessen der verarbeitenden Person, der Beschwerdegegnerin, nicht überwiegen dürfen.
Das Interesse des Beschwerdeführers liegt darin, dass die Daten des elektronischen Zutrittssystems nicht zur Mitarbeiterkontrolle, in diesem Fall der Anwesenheitskontrolle, verwendet werden.
Wie sich aus dem festgestellten Sachverhalt ergibt, hat die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers aus dem elektronischen Zutrittssystem nicht regelmäßig, sondern anlassbezogen aufgrund eines konkreten Verdachts von falschen Angaben hinsichtlich der Anwesenheiten ausgewertet. Dadurch, dass es sich um eine einmalige anlassbezogene Kontrolle gehandelt hat, welche für die Beschwerdegegnerin zur Aufklärung des Verdachtes von falschen Angaben diente und um etwaige Verstöße gegen die Dienstpflichten des Beschwerdeführers in Form der Einhaltung der Homeoffice-Regelung aufzuklären, überwiegen gegenständlich die berechtigten Interessen der Beschwerdegegnerin .
Zum arbeitsrechtlichen Kontext
Der Beschwerdeführer bringt weiter vor, dass die Beschwerdegegnerin durch die Verwendung der Daten aus dem elektronischen Zutrittssystem gegen die diesbezügliche Betriebsvereinbarung verstoßen habe und es für die Verwendung der Daten der Zustimmung des Betriebsrates bedurft hätte, wodurch die Datenverarbeitung rechtswidrig wäre.
Demgegenüber führt die Beschwerdegegnerin aus, dass es sich bei der gegenständlichen Auswertung der Daten des Beschwerdeführers aus dem elektronischen Zutrittssystems nicht um eine zustimmungspflichtige Maßnahme iSd § 96 Abs. 1 Z 3 ArbVG gehandelt habe.
Arbeitgeber verfügen grundsätzlich über ein Recht zur Kontrolle, deren Rechtsgrundlage der Arbeitsvertrag selbst bildet. Für die Ausübung des Kontrollrechts bedarf es damit an sich keiner speziellen gesetzlichen Ermächtigung. Dieses Kontrollrecht bezieht sich grundsätzlich nur auf die Dienstleistung des Arbeitnehmers selbst, nicht auf seine Person (vgl. Felten/Preiss in Gahleitner/Mosler (Hrsg), Arbeitsverfassungsrecht 12 (2020) zu § 96 ArbVG Rz 51).
Mit „Kontrolle“ im arbeitsrechtlichen Sinn ist das Erheben gewisser Fakten und deren Vergleich mit einem Sollzustand gemeint wobei unerheblich ist, ob die Kontrollmaßnahmen durch Menschen oder technische Systeme durchgeführt werden. Technische Systeme zur Kontrolle der Arbeitnehmer sind ebenso erfasst wie sonstige Kontrollmaßnahmen (Kontrolleure, Strichlisten, Zeitmessung, Taschenkontrolle etc; OGH 20. 12. 2006, 9 ObA 109/06d).
Es handelt sich bei dem Zugriff und der Auswertung der Daten des Beschwerdeführers aus dem elektronischen Zutrittssystem somit unzweifelhaft um eine Kontrolle.
Gemäß § 96 Abs. 1 Z 3 ArbVG bedarf die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren, zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates („zustimmungspflichtige Maßnahme“).
Die Beschwerdegegnerin bringt vor, dass es sich hierbei um eine ad-hoc-Kontrolle gehandelt habe, auf welche somit die Regelung des § 96 Abs. 1 Z 3 ArbVG jedenfalls nicht anwendbar sei.
Ad-hoc-Kontrollen im Einzelfall (zB bei Diebstahlsverdacht) sind vertrags- und datenschutzrechtlich beschränkt, aber betriebsratszustimmungsfrei; geht es jedoch um wiederkehrende oder länger währende Maßnahmen, die so überindividuell wirken, dass sie einer generellen Regelung zugänglich sind, so sind diese zustimmungspflichtig (vgl. Pačić in Mazal/Gruber-Risak (Hrsg), Das Arbeitsrecht – System und Praxiskommentar (43. Lfg 2024) Notwendige Betriebsvereinbarungen („zustimmungspflichtige Maßnahmen“) Rz 32). Es ist entscheidend, ob es sich um eine einzelfallbezogene oder generelle Kontrollmaßnahme handelt, wobei auch einzelfallbezogene Kontrollen nicht unbeschränkt möglich sind, sondern auch hier die Persönlichkeitsrechte des Arbeitnehmers gem. § 16 ABGB absolute Grenzen setzen (vgl. Felten/Preiss in Gahleitner/Mosler (Hrsg), Arbeitsverfassungsrecht 12 (2020) zu § 96 ArbVG Rz 50).
Wie festgestellt hat die Beschwerdegegnerin aufgrund eines sich durch zwei unabhängige Meldungen begründenden Verdachtes der Missachtung der Homeoffice-Regelung Einsicht in die Daten des elektronischen Zutrittssystems betreffend den Zeitraum Juli 2021 – der Zeitraum ab dem die Homeoffice-Regelung in Geltung stand – bis September 2022 genommen. Vor der Einsichtnahme informierte die Beschwerdegegnerin zwei Betriebsratsmitglieder über die geplante Einsichtnahme.
Es hat sich somit um eine Kontrolle aufgrund eines durch Meldungen zeitnah aufgekommenen konkreten Verdachts gehandelt, die hinsichtlich eines beschränkten Zeitraumes bei einer eingeschränkten Personengruppe vorgenommen wurde. Es haben sich auch keine sonstigen Indizien im Verfahren ergeben, wonach es sich um eine wiederkehrende oder länger währende Maßnahme gehandelt hat und hat der Beschwerdeführer dies auch nicht vorgebracht.
Ob der Zugriff auf die Daten des Beschwerdeführers des elektronischen Zutrittssystems die Menschenwürde berührt, von der Betriebsvereinbarung umfasst ist und ob eine solche gemäß § 96 Abs. 1 Z 3 ArbVG erforderlich ist, kann somit in diesem datenschutzrechtlichen Beschwerdeverfahren dahingestellt bleiben, da die gegenständliche Verarbeitung eine ad-hoc-Kontrolle darstellt.
In der Sache – Übermittlung an das österreichische Finanzamt
Gemäß § 84 Abs. 1 EStG muss hat der Arbeitgeber seinem Finanzamt ohne besondere Aufforderung bis Ende Februar des folgenden Kalenderjahres die Lohnzettel aller im Kalenderjahr beschäftigten Arbeitnehmer übermitteln. Der Lohnzettel hat alle im amtlichen Formular vorgesehenen für die Erhebung von Abgaben maßgeblichen Daten zu enthalten.
Bei dem amtlichen Formular handelt es sich um das Formular L 16, auf welchem auf der ersten Seite unter anderem die Anzahl der Homeoffice Tage anzugeben ist.
§ 84 Abs. 3 EStG legt fest, dass der Lohnzettel auf Grund der Eintragungen im Lohnkonto auszuschreiben ist. Erfolgen nach Übermittlung eines Lohnzettels Ergänzungen des Lohnkontos, welche die Bemessungsgrundlagen oder die abzuführende Steuer betreffen, ist ein berichtigter Lohnzettel innerhalb von zwei Wochen ab erfolgter Ergänzung an das Finanzamt des Arbeitgebers zu übermitteln.
Die Eintragungen im Lohnkonto sind in § 76 EStG normiert. Gemäß dessen Absatz 2 wird der Bundesminister für Finanzen ermächtigt, mit Verordnung weitere Daten, die für Zwecke der Berechnung, Einbehaltung, Abfuhr und Prüfung lohnabhängiger Abgaben von Bedeutung und in das Lohnkonto einzutragen sind, festzulegen. Eine solche Verordnung ist die Lohnkontenverordnung 2006. In deren § 1 Abs. 1 Z 17 wird normiert, dass die Anzahl der Homeoffice-Tage im Sinne des § 16 Abs. 1 Z 7a lit. a und des § 26 Z 9 lit. a EStG 1988, an denen der Arbeitnehmer seine berufliche Tätigkeit für den Arbeitgeber ausschließlich in seiner Wohnung ausgeübt hat, fortlaufend in das Lohnkonto einzutragen sind.
Die Beschwerdegegnerin als Arbeitgeberin des Beschwerdeführers war somit gesetzlich verpflichtet, die Anzahl der Homeoffice-Tage des Beschwerdeführers in dessen Lohnkonto einzutragen und in weiterer Folge an das Finanzamt zu melden bzw. auch eine vorhergehende Meldung iSd § 84 Abs. 3 EStG zu berichtigen. Die Verarbeitung war somit gemäß Art. 6 Abs. 1 lit. c DSGVO rechtmäßig.
Es war spruchgemäß zu entscheiden.
Zum Antrag des Beschwerdeführers auf Einleitung eines Verwaltungsstrafverfahrens
Dazu gilt es festzuhalten, dass ein subjektives Recht auf Einleitung eines Strafverfahrens gegen einen gewissen Verantwortlichen nicht aus Art. 77 Abs. 1 DSGVO bzw. § 24 Abs. 1 und 5 DSG abzuleiten ist und darüber hinaus nach § 25 Abs. 1 VStG das Prinzip der Amtswegigkeit gilt (vgl. Fister in Lewisch/Fister/Weilguni [Hrsg, VStG Kommentar2 [2017] § 25 Rz 1).
Ein Verwaltungsstrafverfahren kann daher von einer betroffenen Person nur angeregt werden, ein Anspruch auf Einleitung eines solchen besteht nicht.
Der diesbezügliche Antrag war daher spruchgemäß zurückzuweisen .