Schutzschild gegen Datenmissbrauch?

Brandungtransatlantischer Datentransfer erneuert

Die nächste Welle transatlantischer Verhandlungskünste brandet heran. Statt dem Abkommen über den „Sicheren Hafen“ soll nun das Abkommen „Pricacy Shield“ die personenbezogenen Daten von EU-BürgerInnen in den USA vor Missbrauch bewahren.

Schon lange bevor das Safe-Harbor-Abkommen zum Datenverkehr zwischen USA und EU vom EuGh gekippt worden war (die GPA-djp hat berichtet), war klar, dass bessere Regelungen her mussten – sonst hätte man sich wohl nicht bereits 2013 an den Verhandlungstisch gesetzt, um den gegenseitigen Datentransfer besser in den Griff zu bekommen.

Von europäischer Seite ging es vor allem darum, anlasslose Massenüberwachungen zu verhindern und EU-BürgerInnen einen besseren Rechtsschutz in den USA zu verschaffen – so wie er auch umgekehrt USA-BürgerInnen in Europa zusteht. Am 12. Juli 2016 haben die Europäischen Kommission und die us-amerikanische Wettbewerbs- und Verbraucherschutzbehörde (Federal Trade Commission, FTC) das sogenannte „Privacy Shield Framework“ unterschrieben. Ab 1. August können sich us-amerikanische Firmen nach den neuen Regelungen zertifizieren lassen.

VERBESSERUNGEN

Die freiwillige Zertifizierung nach dem neuen Abkommen wird von der FTC stärker kontrolliert werden.

Die Weitergabe von personenbezogenen Daten an Dritte ist nicht mehr möglich.

Eine ausführliche Beschreibung der neuen Regelungen und ihres Zustandekommens hat die deutschen Gesellschaft für Datenschutz und Datensicherheit zusammengefasst.

weiterhin Massen-DatensammEln möglich

Doch Einiges ist auch beim Alten geblieben. Die Gruppe der europäischen Datenschutzbehörden kritisiert in ihrer Stellungnahme zum Privacy Shield insbesondere, dass es keinen genügenden Schutz vor massenhaften und willkürlichen Datensammlungen gewährt (man muss nur den Zweck der Datenanwendung ändern und schon sei das Ganze nicht mehr ganz so verboten) und dass die Zuständigkeiten der sogenannten „Ombudsperson“, an die sich europäische BürgerInnen mit ihren (rechtlichen) Datenschutz-Anliegen wenden können, nicht ausreichend geklärt sind (der direkte Zugang zu ordentlichen Gerichten ist nach wie vor nicht möglich).

Weiter Kritikpunkte sind:

  • der Geltungsbereich bezieht sich nur auf einige Branchen
  • Datenlöschung wenn diese nicht mehr gebraucht werden, ist nicht explizit festgehalten
  •  Schutz vor automatisierten Einzelentscheidungen (Stichwort: profiling) ist nicht ausreichend

… Fortsetzung folgt…

Böse Zungen behaupten, dass sich auch bei diesem „Datenschutz“-Abkommen früher oder später jemand finden wird, der oder die es genau wissen will und die ganze Materie zum Europäischen Gerichtshof trägt…

Was sie immer schon über Betriebsvereinbarungen wissen wollten

Leitfaden Betriebsvereinbarungneue Publikation des ÖGB Verlags

Betriebsvereinbarungen sind das Kernstück der betrieblichen Mitbestimmung. In der Betriebsvereinbarung können BetriebsrätInnen gemeinsam mit der Geschäftsführung festlegen, wie die Arbeitskräfteüberlassung gehandhabt wird, wie Personalinformationssysteme und Personalbeurteilungssysteme aussehen dürfen, wie – und ob überhaupt – bestimmt Kontrollsysteme eingeführt werden dürfen, was in Sozialplänen vereinbart wird, wie die Arbeitszeit verteilt wird, wie akkordähnliche Löhne bestimmt werden, wie Freiräume für Arbeitszeitgestaltung auf betrieblicher Ebene genutzt werden dürfen,  und vieles mehr.

Variantenreichtum

Um hier nicht den Überblick über die verschiedenen Möglichkeiten der betriebsrätlichen Einflussnahme zu verlieren, hilf diese Neu-Veröffentlichung aus dem ÖGB-Verlag.

aus der Praxis für die Praxis

hat ein AutorInnen-Kollektiv das gleichnamige Buch aus dem Jahre 1995 völlig neu bearbeitet, den gesetzlichen Vorgaben angepasst (die sich in den letzten 20 Jahren doch einigermaßen geändert haben) und mit Beispielen aus der Beratungspraxis angereichert.

Ein wenig Vorgeschmack für diejenigen, die wissen wollen, worauf sie sich mit dieser Lektüre einlassen, bieten die „Checkliste: der Weg zur Betriebsvereinbarung“ oder der Überblick über Arten von Betriebsvereinbarungen.

Ergänzt mit einem Web-Auftritt und einem e-book ist die Publikation insgesamt eine ideale Papier-digital-Kombination, die Theorie und Praxis der Betriebsvereinbarung unter einem Buchdeckel / in einem online-Portal vereint und in keinem Betriebsratsbüro fehlen sollte.

(Ende der Werbeeinschaltung)

betrieblicher Datenschutz made by Behörde

Akten_Ordner1Entscheidungen und Empfehlungen der österreichischen Datenschutzbehörde (formaly known as „Datenschutzkommission“) zu Arbeitsplatz-relevanten Themen

… und was wir daraus lernen können

Die österreichische Datenschutzbehörde wird immer wieder von Betroffenen kontaktiert, die sich sorgen, ob ihre personenbezogenen Daten auch richtig verwendet werden, ob nicht zu viel von ihrer Privatsphäre kontrolliert wird, ob ihre Daten nicht an zu viele Empfänger weitergegeben werden, etc. In einigen Fällen, trifft die Behörde dann Entscheidungen oder spricht Empfehlungen aus zum Schutz der Betroffenen. Einige Entscheidungen, die für das Arbeitsverhältnis getroffen wurden, sind im Folgenden kurz dargestellt.

Anmerkung: eine „Empfehlung“ der Behörde ist nicht direkt rechtswirksam. Sollte aber der Empfehlung innerhalb der vorgegebenen Frist nicht nachgekommen werden, würden weitere Schritte folgen – zum Beispiel in Form von Strafanzeige, einer gerichtlichen Klage oder sollte es sich um eine gefährliche Datenanwendung handeln, kann auch eine Anordnung ausgesprochen werden, selbige zu unterlassen.

Fieberthermometerder Krankenstand und seine Auswertungen

Einige Gebietskrankenkassen bieten eine Auswertung der Krankenstände der MitarbeiterInnen im Sinne der betrieblichen Gesundheitsförderung an – so auch die Tirolerische. Die Tiroler Ärztekammer war darüber „not amused“. In den Statistiken wurde nämlich neben der Angabe des Geschlechtes auch eine Diagnose der Krankheiten aufgelistet, sodass die Anonymität nicht mehr gewährleistet sei, argumentierte die Tiroler Ärztekammer:

Es könne daher ein direkter Personenbezug hergestellt werden. Auch von der Dauer eines Krankenstandes, etwa im Fall einer Depression, die mit langen Krankenständen verbunden sei, könne auf eine Diagnose und damit auf bestimmte Mitarbeiter geschlossen werden.

Dieser Logik folgte die Datenschutzbehörde und empfahl der Gebietskrankenkasse folgendes

  • lediglich jene Krankheitsdaten in die Statistik miteinzubeziehen, die mit der Tätigkeit dieses Betriebes typischerweise verbunden sind (sämtliche Erkrankungen der Belegschaft in der Statistik anzuführen ist nämlich überschießend im Sinne der betrieblichen Gesundheitsvorsorge)
  • Gruppen erst dann statistisch auszuweisen, wenn sie mehr als fünf Personen umfassen (nur so ist ein ausreichendes Ausmaß an Anonymität garantiert)

Auch für die Evaluierung psychischer Erkrankungen nach dem ArbeitnehmerInnenschutzgesetz ist es erforderlich, wie eben beschrieben vorzugehen (Empfehlung vom 30.3.2015). Außerdem wird festgehalten, dass auch nicht ersichtlich sein darf, WER an einer anonymen Umfrage teilgenommen hat  – und wer nicht.

baustelle1die illegale Beschäftigung und ihre Kontrolle

Es soll vorkommen, dass ArbeitnehmerInnen nicht rechtmäßig beschäftigt werden – sprich nicht der Sozialversicherung gemeldet werden. Um diesem illegalen Vorgehen entgegenzuwirken hat die Tiroler Wirtschaftskammer eigenständige Personenkontrollen an Baustellen durchgeführt – und hat dadurch selbst die Grenze zur Illegalität nicht ganz eingehalten. Es fällt nämlich nicht in die Befugnis der Wirtschaftskammer, Fotos zu erstellen, Personalien sämtlicher Anwesender aufzunehmen oder Grundstücke zu betreten – das ist eine Kompetenz der Finanzbehörden.

Die Datenschutzbehörde empfahl daher der Tiroler Wirtschaftskammer am 9.Mai 2016 aufgrund der fehlenden gesetzlichen Grundlage (Ermächtigung) für ihr überschießendes Vorgehen:

  • derartiges Vorgehen zukünftig zu unterlassen
  • die ermittelten Daten zu löschen
  • und zwar ohne Fristsetzung

die PatientInnen und ihre Daten

Eine diplomierte Krankenschwester hatte sich in dem Krankenhaus, in dem sie selbst angestellt war, einer Operation unterzogen. Ihre Patientinnendaten waren für über 1.000 KollegInnen einsichtig.

Die Behörde formuliert ihre Empfehlung so; „Das Krankenhaus…

  • möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben
  • möge die Zugriffsberechtigung auf die Patientendokumentation so gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind
  • möge durch Zugriffs-Kontrollen sicherstellen, dass besonders schützenswerte Personengruppen (wie eigene Bedienstete oder deren Angehörige bzw. öffentlich bekannte Personen), die sich einer Behandlung unterziehen (müssen), vor unberechtigten Zugriffen geschützt sind
  • Die Bediensteten mögen darüber nachweislich in Kenntnis gesetzt werden
  • Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

schülerschilddie Garderoben der SchülerInnen und deren Videoüberwachung

Immer wieder wird in Schulen versucht, Videokameras als Maßnahme zum „Eigentumsschutz“ anzubringen. Während die Behörde diese außerhalb des Schulgebäudes (zB bei Fahrradabstellplätzen) grundsätzlich genehmigt, tut sie dies nicht im Garderoben- und Gangbereich. Dort herrsche nämlich ohnehin Aufsichtspflicht und wenn diese durchgeführt werden, ist ja eine Kamera nicht gerechtfertigt.

  • was die Kamera filmt, darf nur den unumgänglich notwendigen Bereich erfassen, aber nicht an das Schulgelände angrenzende Straßen und Gehsteige
  • Auswertungen dürfen nur vom Direktor und nur in Beisein eines Lehrervertreters vorgenommen werden
  • Auswertungsergebnisse müssen vertraulich behandelt werden
  • Zufallsfunde sind zu löschen
  • Auswertungen sind zu protokollieren
  • nachdem das Beweismaterial sichergestellt wurde, sind die Aufnahmen zu löschen – ohnehin ist die Speicherdauer mit 72 Stunden beschränkt

Zu diesen und noch mehr Angelegenheiten nimmt die Datenschutzbehörde Stellung. Auch zu Whistleblowing (zur Thematik Whistleblowing gibt es in diesem Blog einen ausführlichen Artikel) oder globalen Personalbesetzungssystemen gibt es für die ArbeitnehmerInnen-Vertretung hilfreiche Empfehlungen. Oftmals ist es effektiver in der Argumentation gegenüber ArbeitgeberInnen, wenn eine Behörde eine Empfehlung abgibt, als wenn dies die Gewerkschaft tut – bisweilen sind sich diese beiden aber in der datenschutzrechtlichen Beurteilung gar nicht so uneins.

Fußball – eine private Angelegenheit?

fußball1Der Fußballplatz, das Stadion, die Tribüne wird wohl von den meisten Menschen als Ort der  Privatsphäre gesehen. Du triffst dich in deiner Freizeit mit Freundinnen, Bekannten und Familie, singst und/oder grölst vielleicht und erlebst – je nach Spielverlauf – Gefühls-Auf-und-Ab.  Beruflich sind dort zwar auch jede Menge Menschen am Werk – es schaut sich jemand dein Ticket an und dir in den Rucksack, verkauft dir etwas zu trinken, putzt hinter dir die Toilette und last but not least arbeiten da die FußballerInnen, TrainerInnen, SanitäterInnen – doch wird diesen ArbeitnehmerInnen eher wenig Aufmerksamkeit zuteil.

Man könnte davon ausgehen, dass im öffentlichen Raum „Fußball-Stadion“ die Privatsphäre geschützt, das Recht auf freie Meinungsäußerung intakt und das auf Versammlungsfreiheit gegeben ist. Bei dieser Privatangelegenheit Fußball wird allerdings immer mehr Überwachungstechnik eingesetzt, die dazu führt, dass diese Grundrechte immer weiter untergraben werden.

Beispiel EM 2012: Das Fußballmagazin Ballesterer berichtete, dass Polen ein besonderes neues Personenerkennungs-System einsetzen möchte: „Ein Verdächtiger wird ausgemacht. Sein Gesicht wird gescannt und automatisch mit einer Polizeisuchmaschine abgeglichen, die Ergebnisse werden umgehend den Einsatzkräften vor Ort zugespielt. Dazu werden soziale Netzwerke nach Informationen über die Person durchsucht. So oder so ähnlich hat sich die EU die Funktionen des Sicherheitsprogramms INDECT vorgestellt.“

Beispiel Fußball-Fan-Datenbanken: Namenslisten mit besonders unter Beobachtung stehenden Fußball-Fans (inklusive deren Bekannten) sind seit 2006 bekannt. Sie werden für verschiedene deutsche Vereine (zB St. Pauli und  HSV ) von der Polizei  zur Vorbeugung/Verhinderung von Gewalttaten im Zusammenhang mit Fußballspielen geführt. Schätzungsweise sind 4.000 Menschen darin erfasst – Genaues ist unbekannt, weil das Recht auf Auskunft nicht eingehalten wird. Mittlerweile wurden diese Daten aufgrund von Beschwerden von Fan-Rechtsanwälten und dem Einschreiten des Hamburger Datenschutzbeauftragten gelöscht – wer sich tatsächlich darauf befand wird also für immer im Dunkel der Geschichte bleiben.

Beispiel Bezahl-Chip: in zahlreichen Stadien der deutschen Erstligisten wird ausschließlich ein digitales Zahlungssystem verwendet, dessen genaue Auswertungsmethoden und -ergebnisse jedoch unklar sind. Klar ist nur, dass die Umsätze in den Stadien angestiegen sind und die nicht eingetauschten Restbeträge den Vereinen ein beachtliches „Körberlgeld“ verschaffen. Wer essen/ trinken/ pinkeln möchte, muss sich dieser Karte bedienen. „Lediglich in Paderborn, Hamburg und Freiburg gibt es keine Chipkarten. Stuttgart und Köln haben sie zu Saisonbeginn abgeschafft, Mönchengladbach nach einer Fanumfrage nie eingeführt.“ schreibt das Magazin Focus 2015.

Beispiel elektronischer Mitgliedsausweis: 2014 zogen sich türkische Clubs aus Istanbul den Unmut ihrer Fans zu. Es sollten nur mehr zahlende Mitglieder in die Stadien gelassen werden, beschrieb ein Fan-Aktivist im Interview mit dem Ballester die Situation: „Um Tageskarten oder ein Saisonabo zu kaufen, wirst du gezwungen, Kunde bei der Aktifbank zu werden. Dann fallen schon einmal die ersten Gebühren an: Für den Erwerb der Karte und für jedes einzelne Spiel.“ Welche Daten genau auf der Karte gespeichert werden sollten, wurde deren BesitzerInnen nicht verraten.

Dass Eintrittskarten nur gegen ausführlichen Bekanntgabe personenbezogener Daten verkauft werden, ist allerdings kein neues Phänomen; bereits bei der WM 2008 kam es in Deutschland zu Kritik an ebenjener FIFA-Strategie, die gegen Hooliganismus und Schwarzmarkt-Handel helfen solle. Name, Adresse, Geburtsdatum und Ausweisnummer mussten jedenfalls zur Verfügung gestellt werden, wollte man per Los als zukünftigeR KartenbesitzerIn gezogen werden. „Zumindest gelang den Datenschützern im Vorfeld der WM ein Teilerfolg im Kampf gegen die Einschränkung der persönlichen Rechte. Die Weitergabe von Namen und Adressen der Kartenkäufer an die WM-Werbepartner wurde den Organisatoren verboten. “ schrieb der ballesterer.

Momentan kommen in französischen EM-Stadien unter dem Motto „Terrorverdacht“ intensive Taschen- und Personenkontrollen, Drohnen und Metalldektoren zum Einsatz.  Was 2012 in Polen angedacht wurde, dürfte 2016 in Frankreich, als „intelligente Videoanalyse“ bezeichnet, im Einsatz sein. Im Arbeitsleben würden da jede Menge betriebsrätliche  Mitbestimmungsrechte schlagend werden.

Es drängt sich die Frage auf, ob Fußball-Fans als „Versuchskaninchen“ im „datenschutzrechtlichen Labor-Experiment Stadion“ zum Einsatz kommen? Nützlich ist das vor allem für Security-Firmen, die für den technischen und personellen IT-Support sorgen. Dass unsere (Fußball-)Welt dadurch ein geschützterer (Wohlfühl-)Ort wird, darf bezweifelt werden.

 

USA sind kein „sicherer Hafen“ – und Hamburg auch nicht

Frachtschiff_Hamburg1deutsche Konzerntöchter müssen Bußgelder zahlen

Der Europäische Gerichtshof für Menschenrechte erklärte am 24.September 2015 das Safe-Harbor-Abkommen für ungültig. „Safe Harbor“ waren Richtlinien des us-amerikanischen Handelsministeriums, denen sich us-amerikanische Firmen freiwillig unterwerfen konnten und damit datenschutzrechtlich mit europäischen Firmen gleich gestellt waren – ein großer Vorteil, wenn man personenbezogene Daten möglichst einfach über den großen Teich transferieren möchte.

Das EuGH-Urteil wurde von Max Schrems angestrengt, der seine personenbezogenen Daten bei facebook als nicht ausreichend geschützt ansah und sich daher an die Irländische Datenschutzbehörde wenden musste, wo Facebook seine europäische Hauptniederlassung hat. Die Behörde konnte ihm sein Recht auf Auskunft aber auch nicht verschaffen und so gelangte die Sache an den EuGH.

Mit der Ungültigkeit von Safe-Harbor mussten Unternehmen, die ihre Daten in den USA verarbeiten (lassen) diese Verarbeitungen auf eine andere rechtliche Basis stellen; Möglichkeiten des legalen Datentransfers in die USA existieren ja nach wie vor (sogenannte „Standardvertragsklauseln“ oder die Genehmigung des Datentransfers durch die Datenschutzbehörde); im „schlimmsten“ Fall mussten die Server an einen europäischen Standort übersiedelt werden.

Nun bekommen einige Unternehmen, die das EuGH-Urteil nicht weiter beachtet und ihre Datenverarbeitungen weiterhin wie gehabt vollzogen haben, die Rechnung präsentiert. Der Hamburger Datenschutzbeauftragt Johannes Caspar forderte nach einer Vorwarnung und dem Versuch der Kontaktaufnahme mit den betroffenen Großunternehmen – vorwiegend Töchter von us-amerikanischen Konzernen –  Konsequenzen, wie der Spiegel berichtete. Die meisten betroffenen Firmen wechselten auf Standardvertragsklauseln, einige arbeiteten weiter wie bisher. „Es handelt sich um große, international tätige Unternehmen, bei denen man davon ausgeht, dass sie umfassend datenschutzrechtlich beraten werden und die wissen, dass Safe Harbor nicht mehr gilt„, sagte Caspar. „Unsere Frist war bekannt.“ Adobe, Punica und Uniqa müssen nun wegen erfolgter unzulässigen Datenübermittlungen von MitarbeiterInnen- und KundInnendaten in die USA Bußgelder zwischen 8.000 EUR und 11.000 EUR zahlen.

Dass eine deutsche Behörde hier Strafen einheben kann, mag gelernte ÖsterreicherInnen erstaunen. Grund hierfür ist die unterschiedliche Gesetzeslage. Während die deutschen Datenschutzbehörden dazu berechtigt sind, Sanktionen einzuheben (und das beispielsweise in Hamburg und Schleswig-Holstein auch medienwirksam tun), ist die österreichische Behörde dazu nicht berechtigt. Hierzulande müsste ein Landesgericht erster Instanz eine Strafe verhängen – und hat es bislang nicht getan.

Mit der neuen europäischen Datenschutzgrundverordnung wird es ab 2018 auch in Österreich Aufgabe der Datenschutzbehörde sein, Beschwerden anzunehmen selbst wenn die Konzernzentale anderswo angesiedelt ist und im Falle des Falles Strafen zu verhängen – und die wurden bekanntlich bemerkenswert erhöht.

„Der Mensch kann Industrie 4.0“

pfeiffersagt die Soziologin Prof. Sabine Pfeiffer im Interview

Im ersten Trendreport von 2016, wurde die deutsche Professorin für Soziologie an der Universität Hohenheim, Sabine Pfeiffer,  zur Digitalisierung der Arbeit interviewt. Der Trendreport ist eine gemeinsame Publikation des Soziologie-Instituts der Universität Wien, der Gesellschaft für Europapolitik und der außeruniversitären Forschungseinrichtung FORBA.

Sabine Pfeiffer beschäftigt sich seit Jahrzehnten, also noch bevor der „4.0-Hype“ begann, mit empirischer Arbeitssoziologie und kann daher wertvolle wissenschaftlich fundierte Erkenntnisse aus der Industriesoziologie zur Thematik rund um Qualifikationsbedarfe in der digitalisierten Arbeitswelt beisteuern.  Sabine Pfeiffer enthält ihre Erkenntnisse der interessierten Öffentlichkeit nicht vor sondern bloggt sie – Prädikat: besonders lesenswert! Warum man Beschäftigte von Beginn an in die Gestaltung der Arbeitswelt 4.0 einbeziehen sollte und über die Herausforderungen der Digitalen Agenda spricht sie mit der Arbeitssoziologin Annika Schönauer.

(Danke an Annika Schönauer und Sabine Pfeiffer, dass wir das Interview auch unseren Blog-LeserInnen zur Verfügung stellen dürfen.)

Trendreport: Oft wird im Zuge der Diskussionen um Industrie 4.0 das Bild einer „Revolution“ gezeichnet. Finden Sie dieses Bild angebracht?

Pfeiffer: So einfach ist das nicht zu sagen. Industrielle Revolutionen werden üblicherweise nicht vorher ausgerufen. Und viele Elemente von dem, was unter den Stichworten „Smart“ und „4.0“ als neu diskutiert wird, gibt es auch schon länger. Sicher werden wir in Teilbereichen einen exponentielleren Wandel erleben als wir das aus den Jahren davor kennen. Manches wird so schnell passieren, dass bewusste gesellschaftliche Gestaltung schwerfällt, anderes wird auch noch eine Weile beharrlich bleiben wie es ist. Die Entwicklung wird sicher heterogen und ungleichzeitig verlaufen – gesellschaftlich betrachtet kommt es dabei darauf an, dass wir nicht neue Dimensionen einer digitalen Kluft – auch Digital Divide genannt – schaffen.

Trendreport: Wo kann auf Unternehmensebene bei der Gestaltbarkeit von Technik in der Arbeit angesetzt werden, um diese möglichst humanorientiert zu vollziehen?

Pfeiffer: Eigentlich ist es ja schon komisch, dass wir die Humanorientierung immer so betonen (müssen). Wir haben tolle neue technologische Möglichkeiten und wir sollten sie vor allem zur Verbesserung unseres Lebens, unserer Arbeit und unseres Planeten einsetzen. Wir könnten neu über Schicht- und Taktbindung nachdenken, wir könnten wirklich konsequent ressourcenorientiert produzieren. Um in diese Richtung zu gestalten, müssen wir uns aber entscheiden, bei der Gestaltung nicht nur auf reine Markterfordernisse zu achten. Auf Unternehmensebene ist die beste Idee, die Beschäftigten von Beginn an in die Gestaltung der Arbeit einzubeziehen: Partizipation von Anfang an führt zu besserer Technik und zu einer humaneren Arbeitswelt.

Trendreport: Wo sehen Sie in Europa und national politisch die wichtigsten Herausforderungen im Zuge einer „Digitalen Agenda“?

Pfeiffer: Die Dynamik der Entwicklung führt zu verstehbaren Anstrengungen der Politik, Rahmenbedingungen zu schaffen, damit unsere Wirtschaft im globalen Wettbewerb vorne mit dabei ist. Rahmenbedingungen für wirtschaftliches Handeln müssen auch in der 4.0-Welt reguliert werden. Wer die Transformation zur Deregulierung nutzt, erweist der nationalen und europäischen Wirtschaft einen Bärendienst: mögliche kurzfristige volkswirtschaftliche Effekte werden mittel- und langfristig die Wettbewerbsstärke Europas unterlaufen. Errungenschaften sozialer Sicherungssysteme müssen ebenso integraler Bestandteil einer Digitalen Agenda sein wie Mitbestimmung und Arbeitnehmer/innendatenschutz. Sicher müssen die Formen der Regulierung hier und da verändert werden, aber: wer für eine reine Deregulierung eintritt, gibt damit jede gesellschaftliche Gestaltungsmöglichkeit aus der Hand.

Trendreport: In welche Richtung entwickeln sich die  ualifikationsanforderungen im Zuge zunehmender Informatisierung und Digitalisierung von Arbeit?

Pfeiffer: Die bisherige Automatisierungsgeschichte lehrt uns: Insgesamt wird die Arbeitswelt noch komplexer werden als heute – d.h. selbst Beschäftigte mit eher einfachen Tätigkeiten werden tendenziell mehr können und wissen müssen als heute. Automatisierung – ob in klassischer Form oder über Algorithmen – wird eingesetzt, um menschliche Arbeit zu ersetzen. Viele Szenarien gehen momentan davon aus, dass vor allem einfache, repetitive Tätigkeiten verschwinden werden und dass intelligente Algorithmen zunehmend auch mittlere und qualifiziertere Jobs ersetzen. Ob und wie sich die Arbeitswelt wirklich verändern wird, und mit welcher Geschwindigkeit, kann im Moment aber niemand seriös voraussagen – alle kursierenden Hochrechnungen sollte man mit gesunder Skepsis betrachten. Zu den Qualifikationsanforderungen lässt sich an wirklich neuen  Herausforderungen ableiten: Wir alle werden erstens von Datenschutz und Privacy mehr verstehen und zweitens den Umgang mit großen Datenmengen erlernen müssen. Das gilt quer zu Berufen und Hierarchieebenen. Insbesondere Führungskräfte werden verstehen müssen, dass Muster und Korrelationen in großen Datenmengen nicht zwangsläufig auf kausale Zusammenhänge hindeuten.

Trendreport: Gerade in der mobilen Arbeit spielen Informations- und Kommunikationstechnologien eine wichtige Rolle. Wo sehen Sie die Chancen und Risiken?

Pfeiffer: Bei jedem bisherigen Schritt der Informatisierung – von der Telearbeit der 1970er- und 1980er-Jahre bis heute – findet sich immer wieder die Hoffnung, dass über die zunehmende Unabhängigkeit von Ort und Zeit endlich mehr Chancen für Vereinbarkeit von Arbeit und Leben entstehen. Wir beobachten aber auch im selben Zeitraum, dass diese Hoffnung nicht immer und automatisch für alle aufgeht. Wir sehen seit Jahren eine deutliche Zunahme von psychischer Belastung. Das ist aus meiner Sicht weniger eine Folge der Digitalisierung als eine der ständigen Extensivierung und Intensivierung der Arbeit. Digitale Technik verstärkt diesen letztlich ökonomisch getriebenen Trend zwar oft, wird aber oft gleichzeitig als entlastendes Tool erlebt. Die Risiken liegen daher eher in den Mechanismen von Arbeitszuweisung, Leistungskontrolle, ausuferndem Arbeitspensum usw. und der Abwälzung der Flexibilisierungsnotwendigkeiten der Wirtschaft auf das Individuum und seine persönlichen Ressourcen, wie zum Beispiel Gesundheit, Lebenswelt, Familie und soziale Beziehungen. Diese Externalisierung gilt es zu thematisieren und hierfür bessere Lösungen zu finden. Dabei kann gut gestaltete digitale Technik helfen – die Ursachen der beobachteten Risiken liegen aber woanders.

Trendreport: Sie schreiben in Ihren Publikationen „der Mensch kann Industrie 4.0“. Was meinen Sie damit?

Pfeiffer: Immer wieder liest man, der Mensch sei nicht fit für den Wandel. Das ist aus meiner Sicht Schwarzmalerei an der falschen Stelle. Die Beschäftigtenstruktur in Deutschland etwa ist gut aufgestellt. Eigene Berechnungen zeigen: 71 Prozent aller Beschäftigten gehen heute schon an ihrem Arbeitsplatz erfolgreich mit Wandel, mit Komplexität und Unwägbarkeiten um. In den industriellen Branchen Maschinenbau (81 Prozent) oder Automotive und IT (je 79 Prozent) liegen die Werte noch deutlich höher. Das Potenzial zur Gestaltung und zum Umgang mit Wandel ist also da. Wenn die Beschäftigten heute in die Gestaltung der Arbeitswelt 4.0 einbezogen werden – und zwar partizipativ und von Anfang an – dann lösen sich auf diesem Weg nicht nur anstehende Qualifizierungsbedarfe, sondern es entstehen nachhaltig wettbewerbsfähige Arbeitswelten. Wirklich dazu lernen muss das Management, das allzu oft das Potenzial der eigenen Beschäftigten zur Innovation unterschätzt. Was weitgehend fehlt, sind daher wirklich partizipative Formen innovativer Gestaltung.

Trendreport: Herzlichen Dank für das Interview

Und wer noch immer nicht genug hat und noch ein Interview mit Sabine Pfeiffer sehen möchte, klickt jetzt hier und erfährt etwas darüber was überhaupt digital ersetzbar ist und was das für BetriebsrätInnen bedeutet.

 

Kollektivverträge in der Datenschutzgrundverordnung abgesichert

 fahnenIn der Plenarsitzung vom 14.4. 2016 wurde die Europäische Datenschutzgrundverordnung vom EU-Parlament angenommen.

Damit ist nun der der Datenschutz in Europa einheitlich für alle Mitgliedsstaaten geregelt. In der alten Richtlinie nicht erfasste personenbezogene Daten sind nun ebenso von der Grundverordnung erfasst (zB IP-Adressen, Standortdaten). JedeR EU-BürgerIn hat nun in seinem/ihrem Land Zugang zu einem Gericht.

Was aus Gewerkschaftsperspektive vermisst wird, ist eine eindeutigere und stärkere Mitbestimmung der Interessenvertretung (zB bei der Bestellung von Datenschutzbeauftragten, bei der Kreation von unternehmensinternen Richtlinien zum Datenschutz, bei der Folgenabschätzung, etc). Da müssen wir uns wohl weiterhin mit den Mitbestimmungsrechten aus dem Arbeitsverfassungsrecht begnügen. Allerdings ist eindeutig festgehalten in den Erwägungsgründen, dass Kollektivverträge und Betriebsvereinbarungen den Beschäftigtendatenschutz regeln können.

Vorsichtig positiv stimmt, dass der Beschäftigtendatenschutz nicht gänzlich unter die Räder gekommen ist. Zwar fehlen sämtliche Mindeststandards (zB Verbot heimlicher Überwachung, Verbot „Schwarzer Listen“, etc), die in erster Lesung vom EU-Parlament noch mit großer Mehrheit angenommen wurden, doch konnte immerhin eine Öffnungsklausel verabschiedet werden, die dieses Thema in die Hände der Mitgliedsländer legt.

Letzter Formalakt auf europäischer Ebene ist nur noch die Zustimmung des Rates, die für Anfang Mai anberaumt ist, und dann haben die nationalen Regierungen bis 2018 Zeit, die Grundverordnung noch zu spezifizieren. Dabei wird die GPA-djp weiterhin versuchen, mehr Mitbestimmung seitens der Arbeitnehmerinnen beim Datenschutz zu erreichen.

Erfüllt die neue EU-Datenschutz-Grundverordnung die Erwartungen?

teilnehmerInnen an der DSGVO-Konferenz

(wieder einmal sehr subjektive)

Blitzlichter einer Veranstaltung

Im sehr gut besuchten Europa-Saal des Renner-Instituts erklärte Prof. Kotschy die Zusammenhänge zwischen der Menschenrechtskonvention (und dem in ihr verankerten Recht auf Privatsphäre), der Europäischen Menschenrechtscharta (und dem in ihr verankerten Recht auf Datenschutz) und dem in der Datenschutzgrundverordnung festgeschriebenen Recht auf Datenschutz. Hier muss ein Interessensausgleich zwischen denen der kotschyBetroffenen auf Datenschutz und denen der Auftraggeber auf die Wahrung ihrer Interessen stattfinden. In der neuen Verordnung liegt nun die Beweislast diesbezüglich bei den Betroffenen. „Das habe ich nie verstanden, warum man das so konstruiert hat.“ nimmt sich Kotschy kein Blatt vor den Mund.

krischAndreas Krisch wies eindringlich darauf hin, dass Demokratie nur funktionieren kann, wenn der Datenschutz für den/die EinzelneN gewährleistet ist, wenn die Personen selbst bestimmen können, wer was über sie weiß. Dazu konnte in der DSGVO einiges aus der alten Richtlinie „hinübergerettet“ werden. „Das Verhältnis zwischen Datenschutzbeauftragten und den Datenschutz-Behörden ist in Deutschland wesentlich entspannter als hier in Österreich. Da gibt es schon eine längere Erfahrung in der Zusammenarbeit. Aber überall müssten die Behörden wesentlich besser ausgestattet werden, damit sie gute Arbeit leisten können.“ erzählt Krisch aus seiner langjährigen internationalen Tätigkeit als betrieblicher Datenschutzbeauftragter und Präsident der europäischen Datenschutz-NGO edri.

kunnert BKADr. Kunnert, der Verhandler Österreichs in der Rats-Arbeitsgruppe zur Datenschutz-Grundverordnung, entsandt vom Bundeskanzleramt, erklärte, warum Österreich sich bei der Endabstimmung im Europäischen Rat der Stimme enthielt. „Es werden hier Grundprinzipien wie das der Zweckbindung, bei der Weiterverwendung von Daten aufgeweicht.“

zimmer daniela Ak KonsumentenschutzTrotz nachlassender Raumtemperatur und fortschreitendem Hungergefühl, schaffte es Daniela Zimmer von der Abteilung Konsumentenschutz der Arbeiterkammer, dem Publikum einen spannenden Einblick in den Konsumentenschutz im Zeitalter der Digitalisierung zu geben. „Wir haben in einer Studie festgestellt, dass Preise für ein und die selben elektronischen Geräte täglich variabel individuell je nach Kunde/Kundin  berechnet werden. Wenn zum Beispiel keine Konkurrenzanbieter in der Nähe sind, wird’s teurer. Leider ist dieses >dynamic pricing< weder in der Grundverordnung noch in der Digitalen Agenda thematisiert worden. Viele Konsumenten haben aber nicht die Zeit, das Wissen, die Finanzkraft, um sich täglich der Durchsetzung ihrer Grund- und Verbraucherrechte anzunehmen. Sie wollen vorsorglich, kollektiv durch staatliche Rechtsschutzmechanismen geschützt werden!“

regner evelyn, Abgeordnete zum Europäischen Parlament, S'n'D Frisch gestärkt war die Aufmerksamkeit für Evelyn Regner seitens des Publikums ungebrochen. Auch die S’n’D-Abgeordnete, die wir aus dem Europa-Parlament in Brüssel willkommen heißen durften, hatte ein offenes Wort: „Da ist eine Chance vertan worden. Wir haben im Ausschuss für Beschäftigung einige Standards eingezogen gehabt, wie zum Beispiel das Verbot von Schwarzen Listen und heimlicher Überwachung. Da gab es im Parlament auch eine überraschend große Mehrheit dafür, bei der ersten Lesung. Aber nach den Trilog-Verhandlungen war das weg.

komarDie darauf folgende Podiumsdiskussion mit  (v.l.n.r.)

  • Andrea Komar (Leiterin der Rechtsabteilung in der GPA-djp), Martina Chlestil (Datenschutz-Juristin bei der Arbeiterkammer), Eva Angerler (Datenschutz-Expertin in der GPA-djp und diesmal als Moderatorin im Einsatz)
  • Evelyn Regner
  • Helmut Wolff  (Betriebsrat bei unify )
  • und Andreas Krisch

drehte sich dann vor allem um die betriebliche Ebene, darum, wie einE BetriebsrätIn die Privatsphäre der Arbeitnehmerinnen besser schützen kann.

wolfHelmut Wolff erzählte aus seiner Praxis mit der us-amerikanischen Konzernmutter: „Für die Amerikaner war der Gang zum Schiedsgericht gar nicht unbedingt ein feindlicher Akt, sondern eher eine ganz normale Klarstellung.“

Martina Chlestil streicht heraus, dass gerade in einem Abhängigkeitsverhältnis wie dem Arbeitsverhältnis die Interessensvertretung eine wesentlich wichtigere Rolle in der Datenschutzgrundverordnung einnehmen müsste, als sie es derzeit tut.

Andrea Komar sieht zwar nun einen besseren Rechtszugang für einzelne Betroffene, kann zugleich aber auch einige Lücken, Unklarheiten und Auslassungen in dem Gesetzeskonvolut ausmachen. „Wer legt denn fest, wo die Hauptniederlassung ist?“ stellt sie die Frage in den Raum.

podium lachtInsgesamt ein prall gefüllter Tag an dem vielleicht mehr neue Fragen entstanden sind, als geklärt werden konnten  – wir werden weiterhin versuchen, sie gemeinsam mit euch zu klären. Jedenfalls wurde festgestellt, dass Datenschutz auch Spaß machen kann (Beweisfoto links).

Für alle, die keinen Platz mehr bei der Veranstaltung gefunden haben und für jene, die sich noch einmal vergewissern wollen, ob sie alles richtig verstanden haben, gibt es hier die Präsentationen zum Download:

Die neue EU-Datenschutz-Grundverordnung – kann sie die großen Erwartungen erfüllen?

EP15bDas (ungleiche) Duell um Grundrechte in der digitalisierten Arbeitswelt

Am 21. April wird im EU-Parlament die Datenschutzgrundverordnung abgestimmt. Wir sind unserer Zeit voraus und machen schon zuvor eine  Tagung zur Grundverordnung.

Am Donnerstag, 7. April 2016, 9.00-17.00 Uhr
im Karl-Renner-Institut, Oswaldgasse 69 / Ecke Hoffingergasse 1120 Wien (U6, Station “Am Schöpfwerk“) Europasaal, ist es so weit und man kann sich ausführlich informieren, was die DSGVO (nicht) bringt.

UPDATE vom 30.3.2016: Leider ist eine Anmeldung für diese Veranstaltung nicht mehr möglich – das Interesse war schon größer als wir Plätze haben.

Auf europäischer Ebene werden derzeit zahlreiche Schritte unternommen, um die zunehmende Digitalisierung (unter anderem rechtlich) in den Griff zu bekommen. Die Regelung neuer Geschäftsmodelle, die Anpassung von Datenschutzstandards an neue Risiken und die Verbesserung der Infrastruktur stehen auf der Agenda. Die Datenschutz-Grundverordnung (DSGVO) ist sowohl in Umfang, Gestaltung als auch bezüglich der durch sie ausgelösten Lobbying-Aktivitäten eine Einzigartigkeit in der europäischen Gesetzgebung. Durch den Einsatz der Interessenvertretung der ArbeitnehmerInnen wird es erstmals europaweit einheitliche (Mindest-)Standards für den Beschäftigtendatenschutz geben. Auch die ArbeitnehmerInnen-Vertretung im Betrieb steht vor neuen Herausforderungen: So soll die Meldepflicht an das Datenverarbeitungsregister vermutlich beseitigt und durch eine unternehmensinterne Dokumentationspflicht ersetzt werden; grundlegende Änderungen gibt es auch bei grenzüberschreitenden Datenverarbeitungen (One-Stop-Shop-Prinzip). Welche Folgen sich durch die DSGVO und die aktuelle EU-Strategie für den digitalen Binnenmarkt vor allem für die betriebliche Ebene aber auch für KonsumentInnen ergeben, wird auf der Veranstaltung von ExpertInnen aus Politik, Recht und der europäischen Ebene dargestellt und breit diskutiert werden.

Anmeldung:  www.renner-institut.at oder post@renner-institut.at

zu einem Vortrag eingeladen sind

  • Waltraut Kotschy, Ludwig Boltzmann Institut für Menschenrechte, Leiterin der Datenschutzkommission a.D. (angefragt)
  • Andreas Krisch, Präsident von EDRi (European Digital Rights); Mitglied des Datenschutzrates; Geschäftsführer von mksult GmbH
  • Eckhard Riedl, Leiter der Datenschutzabteilung im Bundeskanzleramt-Verfassungsdienst; Verhandler im EU-Rat
  • Daniela Zimmer, Arbeiterkammer Wien; Abteilung für Konsumentenschutz  

bei der nachmittäglichen Podiumsdiskussion zu den Konsequenzen der Datenschutzgrundverordnung auf betrieblicher Ebene diskutieren

  • Evelyn Regner, Mitglied des Europäischen Parlaments (S’n’D), Mitglied im Rechtsausschuss (JURI)
  • Andrea Komar, GPA-djp, Leiterin der Bundesrechtsabteilung
  • Helmut Wolff, Europa-Betriebsrat bei unify
  • Martina Chlestil, AK Wien, Abt Sozialpolitik
  • Andreas Krisch, edri

Moderation: Eva Angerler, GPA-djp, Abteilung Arbeit und Technik

Durch die Tagung führt Clara Fritsch, GPA-djp, Abteilung Arbeit und Technik

Digital Roadmap – wie gestalten wir den digitalen Wandel?

Beteiligung an Online-Konsultation des Bundeskanzleramts bis 13. März

(ein Veranstaltungsbericht von Eva Angerler)

Der digitale Wandel ist vergleichbar mit dem Übergang von der Jäger- und Sammlergesellschaft zum Ackerbau.

Das ganze Wirtschaftssystem muss umgebaut werden.

Mit diesen und weiteren Aussagen wurde auf dem IKT-Konvent 2016 die große Bedeutung des digitalen Wandels, in dem wir uns zur Zeit befinden, beschrieben. Einig ist man sich darüber, dass die Veränderungen, die sich zur Zeit vollziehen, grundlegend sind und alle Lebensbereiche betreffen. Einig ist man sich auch, dass die Beteiligung an der Gestaltung des digitalen Wandels möglichst breit sein soll.

Das Bundeskanzleramt hat daher einen Prozess für eine „Digital Roadmap“ aufgesetzt. Dazu wurden Leitprinzipien erarbeitet und Handlungsfelder definiert, die als Grundlage für einen breiten Beteiligungsprozess dienen. Die Auftaktveranstaltung dazu stellte der IKT-Konvent 2016 am 18. Februar in der Aula der Wissenschaften dar, wo ein überblicksmäßiges digitalroadmap_Diskussionspapier präsentiert wurde.

Die zunehmende Digitalisierung führt zu strukturellen Veränderungen in der Arbeitswelt, was wiederum Veränderungen in der Arbeitsorganisaiton, der Qualität der Arbeit und bei den Qualifikationsbedürfnissen nach sich zieht.

Im Workshop Arbeitsrecht im Rahmen des IKT-Konvents waren mobiles Arbeiten, grenzüberschreitendes Arbeiten, atypische Beschäftigung sowie Online Plattformen die vorherrschenden Themen.

Ein Riesenthema im Zusammenhang mit Digitalisierung – auch in der Arbeitswelt – ist der Datenschutz und der Schutz der Privatsphäre. Denn digitale Arbeitsumgebungen ermöglichen die Nachverfolgung der Aktivitäten der Beschäftigten nicht zuletzt zur Kontrolle und Steuerung.

Im Zusammenhang mit all diesen Themen ruft das Bundeskanzleramt nun dazu auf, Gestaltungsideen im Rahmen einer Online-Konsultation bis 13. März 2016 einzubringen. Bitte beteiligt euch, denn es ist sehr wichtig, dass die ArbeitnehmerInnenpositionen und -sichtweisen möglichst breit in diesem Prozess verankert werden! (hoffentlich schafft es das BKA bald, dass die angegebene Seite zur Konsultation wirklich läuft, denn derzeit tut sie das leider nicht.)

Videos und Präsentationen des IKT-Konvent (nicht  schrecken, die Moderatorin legt sofort los.)