OGH-Entscheidung vom 28.6.2023, 6 ObA 1/22y
Sachverhalt:
Die Klägerinnen waren als Assistentinnen der Geschäftsführung beim beklagten Unternehmen beschäftigt. In deren Betrieb wurde Microsoft Office 365 als integrierte Lösung eingesetzt. Jede Mitarbeiterin hatte ein eigenes Konto. Assistentinnen der Geschäftsführung wurde Zugriff auf die E-Mail-Konten ihrer Vorgängerinnen und der Geschäftsführer eingeräumt, was den Klägerinnen bekannt war. Eine schriftliche Vereinbarung oder Erklärung dazu gab es nicht.
Am Tag nach der einvernehmlichen Auflösung des Arbeitsverhältnisses der Zweitklägerin, nahm der Geschäftsführer der Beklagten Einsicht in ihr E-Mail-Konto. Dabei erlangte er Kenntnis davon, dass die Erstklägerin der Zweitklägerin geschrieben hatte, die Beklagte sei „ein Idiotenhaufen“, es sei „zum Durchdrehen“, alle seien unfähig, sie werde „net viel machen“ und sie schreibe gerade Bewerbungen. Der Geschäftsführer der Beklagten teilte dies der Erstklägerin per E-Mail unter gleichzeitiger Beendigung des Arbeitsverhältnisses mit.
Den Klägerinnen war es sehr peinlich, dass ihre Korrespondenz dem Geschäftsführer der Beklagten zur Kenntnis gelangte. Insbesondere wollten sie nicht, dass er die ihn betreffenden Äußerungen liest und sie bloßstelle. Mit ihren (nahezu wortgleichen) Klagen begehrten die Klägerinnen jeweils die Zahlung von EUR 1.000 an immateriellem Schadenersatz und brachten vor, die Einsichtnahme in die Korrespondenz der Klägerinnen durch die Beklagte sei ohne schriftliche Zustimmung der Klägerinnen erfolgt und verstoße gegen das Verbot innerbetrieblicher Kontrollmaßnahmen gemäß § 96 Abs 1 ArbVG iVm § 10 AVRAG. Es sei damit außerdem auch in das Grundrecht der Klägerinnen auf Datenschutz eingegriffen und Art 6 DSGVO verletzt worden. Die Klägerinnen seien in ihrem Vertrauen auf einen rechtstreuen Arbeitgeber verletzt worden und wüssten nun, dass sämtliche private Korrespondenz durch die Beklagte gelesen worden sei.
Entscheidung:
Das Erstgericht verband die beiden Verfahren und wies die Klagebegehren zur Gänze ab. Das Berufungsgericht bestätigte dieses Urteil. Eine Zustimmung der Klägerinnen sei nicht erforderlich gewesen. Die im Rahmen des hier relevanten Art 6 Abs 1 lit f DSGVO vorzunehmende Interessensabwägung ergebe, dass die Interessen der Beklagten an der Datenverarbeitung das Interesse der Klägerinnen überwogen habe. Eine Verletzung der Datenschutzbestimmungen liege nicht vor. Der OGH befand die dagegen gerichteten Revisionen der Klägerinnen für unzulässig:
Gemäß § 96 Abs 1 Z 3 ArbVG bedarf die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer durch den Betriebsinhaber, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren, zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrats. Korrespondierend dazu normiert § 10 Abs 1 AVRAG, dass die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, unzulässig ist, es sei denn diese Maßnahmen werden durch eine Betriebsvereinbarung iSd § 96 Abs 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen – wie im vorliegenden Fall – kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers. Unter einer Kontrollmaßnahme im Sinne dieser Bestimmungen ist die systematische Überwachung von Eigenschaften, Handlungen oder des allgemeinen Verhaltens von Arbeitnehmern durch den Betriebsinhaber zu verstehen. Diese Bestimmungen kommen nur zur Anwendung, wenn es sich um eine betriebsbezogene Kollektiv-Kontrolle und nicht bloß um eine individuelle Kontrolle handelt. Der Anspruch scheiterte daher bereits am Vorliegen einer Kontrollmaßnahme in diesem Sinne.
Die in E- iSd Art 4 Z 1 DSGVO anzusehen. Im vorliegenden Fall gab es keine Anhaltspunkte dafür, dass sensible Daten iSd Art 9 DSGVO in den E- Art 6 DSGVO regelt jene Tatbestände, die eine Verarbeitung von Daten rechtfertigen.
Die Verarbeitung personenbezogener Daten ist nach Art 6 Abs 1 lit f DSGVO unter drei kumulativen Voraussetzungen zulässig:
- Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden,
- zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. (Ein Indiz für das Überwiegen der Interessen, Grundrechte und Grundfreiheiten des Betroffenen gegenüber dem Verarbeitungsinteresse des Verantwortlichen kann insbesondere darin zu erkennen sein, dass die Datenverarbeitung in einem Kontext erfolgt, in dem ein Betroffener vernünftigerweise nicht mit einer Verarbeitung rechnen muss).
Das Berufungsgericht sah das berechtigte (wirtschaftliche) Interesse und die Erforderlichkeit der Einsichtnahme in das E-Mail-Konto der Zweitklägerin darin, dass diese zur Aufrechterhaltung des Unternehmensbetriebs der Beklagten nach dem Ausscheiden der Zweitklägerin notwendig war, weil darin Kunden- und Vertragspartnerkommunikation enthalten war. Der OGH hielt diese Beurteilung für vertretbar.
Im Falle zweier miteinander kommunizierender Assistentinnen der Geschäftsführung habe der Arbeitgeber nicht auf den privaten Charakter der Nachrichten schließen müssen, sondern – im Gegenteil – war von einer dienstlichen Kommunikation auszugehen.
Zudem war den Klägerinnen bekannt, dass Assistentinnen der Geschäftsführung Zugriff auf die E-Mail-Konten ihrer Vorgängerinnen bekamen, weil darin Kommunikation mit Kunden enthalten war. Die Klägerinnen mussten daher vernünftigerweise mit einer Einsichtnahme in das E-Mail-Konto der Zweitklägerin zum Zwecke der Fortführung der betrieblichen Kommunikation rechnen.
Die Revisionen stützen den behaupteten Anspruch auf Ersatz eines immateriellen Schadens auf eine Datenschutzverletzung. Ein solcher Schadenersatzanspruch wäre gemäß § 1328a Abs 2 ABGB nicht nach Abs 1 dieser Bestimmung zu beurteilen, sondern nur nach Art 82 DSGVO bzw § 29 DSG. Ein immaterieller Schadenersatzanspruch nach § 1328a ABGB steht dem Verletzten nur bei „erheblichen“ Verletzungen der Privatsphäre zu. Als Beispiel nennt das Gesetz für die Erheblichkeit des Eingriffs die Verwertung von privaten Umständen in einer Weise, die geeignet ist, den Betroffenen in der Öffentlichkeit bloßzustellen. Zu einer solchen Bloßstellung kam es nicht.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
Zahlungserfahrungsdaten in Bonitätsdatenbanken: OGH zu Fristen/Kriterien für Löschung.