Risikoabschätzung betrieblicher Datenanwendungen

umfrageworkitpngwie schaut’s aus bei dir im Betrieb?

die work@IT will’s wissen

Die Interessengemeinschaft für Menschen in IT-Berufen der GPA-djp möchte in einer kurzen Umfrage herausfinden, ob eine neue Regelung in der Europäischen Datenschutzgrundverordnung betrieblich genutzt werden kann.

Es handelt sich dabei um die sogenannte „Datenschutz-Folgenabschätzung„. Der gemäß müssen Unternehmen ab 2018 bei der umfangreichen Verwendung von besonders schützenswerten Daten (d.h. biometrische Daten, Daten über ethnische Zugehörigkeit, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung, etc.) vorab untersuchen, welche Auswirkungen eine solche Datenverwendung haben kann. Aber auch bei einer erheblichen Beeinträchtigung der Persönlichkeit oder bei  systematischer Überwachung öffentlich zugänglicher Bereiche muss eine solche Folgenabschätzung vorab durchgeführt werden.

Wann sollte das bei dir im Betrieb statt finden?

Deine Meinung und deine Expertise sind hier und jetzt gefragt.

Digital, radikal, ideal?

Leere Konferenzräume, weil man ja ohnehin digital zugeschalten werden kann? Ist das die Zukunft der Arbeit? Oder werden uns Roboter mit ihren mitdenkenden Algorithmen gleich ganz ersetzen und wir beziehen alle ein Grundeinkommen?

wer hat morgen Arbeit?

fragten sich Constanze Griessler und Franziska Mayr-Keber 2014 und auf 3SAT wurde das Ergebnis gestern gesendet. Antworten suchen sie mit dem Soziologen Hartmuth Rosa, dem Künstler Niki Passath, der Bloggerin Madeleine Alizadeh, dem Chef der Erstebank Andreas Treichl, dem Personalchef aus der schönen neuen Arbeitswelt von Google Hamburg und noch einigen anderen.

Man könnte meinen, ein Film wie viele andere Dokus, die es in letzter Zeit zur „Digitalisierung der Arbeit“ gab. Aber nein, etwas ist diesmal anders, irgendein Aspekt wird hier ausführlich beleuchtet, der neu in der medialen Darstellung von „Arbeit 4.0“ erscheint, was war das noch mal?

Diesmal ist viel Gewerkschaft dabei! Walter Stern spricht ausführlich über Betriebsratsarbeit  – altersbedingt aus einer Zeit in der unter „industrielle Revolution“ noch das mit den Fließbändern und der Massenproduktion gemeint war und als Arbeitszeitverkürzung noch durchgesetzt werden konnte. Eine  (angebliche) Begebenheit aus der „guten alten“ Zeit, ist allerdings nach wie vor hochaktuell:

Zeigt der Firmenchef eines Autoherstellers dem Gewerkschaftssekretär eine weitgehend automatisierte Werkshalle und fragt: „Sehen sie, die ganze Arbeit kann von nur drei Robotern gemacht werden? Wer wird jetzt ihre Gewerkschaftsbeiträge zahlen?“ Antwortet der Gewerkschafter: „Und wer wird ihre Autos kaufen?“

Ein Film über die Veränderungen der Arbeit:

Historisch, digital, sehenswert!

eine Soziale Säule für Europa

Bild: Clara Fritsch, CC BY-NC

Bild: Clara Fritsch, CC BY-NC

eine tragende oder eine schwankende Säule?

Eigentlich ist es seit den Europäischen Verträgen von Nizza und Lissabon (2001 und 2007) nicht mehr ganz passend, das Bild der „Säulen“ zu verwenden. Offenbar ist die „Säulen“-Sprache aber so einprägsam und anhaltend, dass der – damals neue – Kommissionspräsident Jean-Claude Junker, sie wieder verwendet. Gemeinsam mit anderen KommissarInnen hat Juncker im September 2015 die Soziale Säule vorgestellt.

Soziales Triple-A für Europa

Bei der vielbeachteten Rede wurden – im europäischen Zusammenhang schon lange nicht mehr vernommene – Worte wie „Vollbeschäftigung“, „Sozialpartner“, „Arbeitslosigkeit“ oder „Armut“ ausgesprochen. Kommissarin Marianne Thyssen sprach davon, dass „man Seite an Seite mit den Sozialpartnern“ in Europa für ein „Soziales Triple-A“ sorgen müsse.

Hier eröffnete sich eine Gelegenheit,  stark vernachlässigte (und mitunter durch die Rechtsprechung des EuGh zusätzlich geschwächte) Themen nicht nur mehr Aufmerksamkeit zukommen zu lassen sondern im Idealfall auch soziale Mindeststandards für ganz Europa durchzusetzen.

Mitbestimmung und Arbeitsbedingungen sind wieder Thema

Durch Erfahrung wohl skeptisch geworden, schreibt man im ÖGB-Büro in Brüssel dazu:

„Das Bemühen der Kommission nach zeitgemäßen sozialpolitischen Zielen zu suchen ist grundsätzlich zu begrüßen. Die erneute Bezugnahme auf äußerst kritische frühere Initiativen wie Flexicurity oder Better Regulation, die eher den Sozialabbau vorangetrieben haben, lässt jedoch Zweifel aufkommen.“

Eine ausführlichere Auseinandersetzung mit der sozialen Säule haben Sarah Bruckner und Nikolai Soukup von der Arbeiterkammer für den Blog Arbeit & Wirtschaft verfasst.

so geht soziales Europa

Der Europäische Gewerkschaftsbund hat in einer ausführlichen und kritischen Stellungnahme bereits seine Vorschläge für ein sozialeres Europa umfangreich dargestellt. Ein kleiner Auszug:

  • Soziale Rechte müssen Vorrang vor wirtschaftlicher Freizügigkeit haben!
  • Das Recht sich gewerkschaftlich zusammenzuschließen und Ergebnisse von Kollektivvertragsverhandlungen dürfen nicht untergraben werden!
  • Das Recht, sich von Gewerkschaften vor Gerichten vertreten zu lassen (und zwar gratis, mit Beweislastumkehr und ausreichenden Fristen)!
  • Mindestanforderungen an gerechte Löhne und gerechte Arbeitsbedingungen (zB das Verbot von sogenannten Null-Stunden-Verträgen bei denen zwar Rufbereitschaft gefordert, aber nicht bezahlt wird wie in Großbritannien zunehmend der Fall)!
  • mehr öffentliche Investitionen in die soziale Infrastruktur (zB Krankenhaus, Kinderbetreuung, Forschung und Entwicklung,…)!
  • das Recht auf Wissen darüber, wer der Arbeitgeber/ die Arbeitgeberin ist!
  • überschießende Überwachung bei Bewerbungen aber auch im Arbeitsalltag muss verboten sein!
  • umfangreiche Hintergrund-Checks von Bewerberinnen und Beschäftigten (ich würde hier an Big-Data-Analysen denken) müssen verboten sein!

Der ÖGB ist dabei, zusätzliche Schwerpunkte und Ergänzungen auszuarbeiten und auch die Arbeiterkammer bereitet eine eigene Stellungnahme vor.

Im März 2016 wurde die Konsultation zur sozialen Säule eröffnet. Alle EU-BürgerInnen, Organisationen und Institutionen sind aufgerufen, sich daran zu beteiligen – entweder indem sie den eher eingeschränkten dafür schneller zu erledigenden Fragebogen beantworten oder eine eigenes Dokument an die Kommission schicken.  Wer jetzt Lust bekommen hat, sich unter die über 300 Personen und Organisationen zu mischen, die sich EU-weit bereits beteiligt haben, und sich selbst mal in eine Konsultation einzumischen, kann das hier und jetzt tun.

Whats Up oder doch Down?

gekuendigt_smartphoneeignet sich WhatsApp für die betriebliche Kommunikation?

Emails schreiben war gestern, heutzutage werden Kommunikations- bzw. Instant-Messaging-Dienste verwendet, um Texte, Töne und (bewegte) Bilder auszutauschen. Die am weitesten verbreitete App dieser Art heißt: „WhatsApp“.

Gegründet 2009 werben die Erfinder der WhatsApp für die Echtzeit-Kommunikation mit Freundinnen und Freunden ganz ohne Werbung. Schnell, schneller, am schnellsten ist die Zahl der zumindest einmal im Monat aktiven Nutzer_innen weltweit auf 800 Millionen gewachsen (Stand 2015, Quelle das Unternehmen selbst). 2014 wurde die Firma von facebook gekauft, womit der Datenaustausch zwischen diesen beiden „Social-Media-Riesen“ ermöglicht wurde – sehr zum Missfallen von Datenschützer_innen.

Eine App, die derartig Zuspruch findet, findet über kurz oder lange ihren Weg auch in die betriebliche Kommunikation. Nicht nur die weite Verbreitung und damit weitreichende Verfügbarkeit verlocken zu ihrer Anwendung. Auch die einfache Handhabung (kann ohnehin schon jedeR und Einschulungen fallen somit weg), die vielseitige Nutzbarkeit (jegliche Art von Daten können verschickt werden), die Echtzeit-Datenübertragung oder die nicht vorhandenen Kosten (der Dienst ist gratis) sind Argumente für die Verwendung. Zugleich tauchen natürlich zahlreiche Fragen auf, wie die nach der (Weiter-)Verwendung der Daten (was wird alles vom Anbieter ausgewertet?), dem Abgreifen zusätzlicher personenbezogener Daten (zB IP-Adresse, Standort, Telefonverzeichnis) oder dem Umgang mit Urheberrechten (zB an versendeten Fotos).

Um die im Titel gestellte Frage gleich vorweg zu nehmen:

eine Kündigung per WhatsApp ist nicht gültig

Dieses Urteil verkündete der Oberste Gerichtshof (OGH) am 28.10.2015. (Bald hast du Geburtstag, liebes Urteil). In dem Urteil ging es um folgenden Sachverhalt: Einer Zahnarztangestellten wurde das Foto ihrer Kündigung mit WhatsApp zugestellt, worauf sie den Rechtsweg beschritt. In erster Instanz wurde die Kündigung als rechtskräftig erachtet. Der OGH gab der Angestellten jedoch Recht, mit folgender Begründung: ein Massengerdienst erfüllt nicht das im Kollektivvertrag festgelegte Gebot der Schriftlichkeit. (Ein weiterer Beweis, wofür Kollektivverträge sinnvoll sind.) Der OGH stellt fest:

Ein bloß über „WhatsApp“ auf das Smartphone des Empfängers übermitteltes Foto der Kündigungserklärung erfüllt [das Gebot der Schriftlichkeit] schon deshalb nicht, weil es der Empfänger der Nachricht ohne weitere Ausstattung und technisches Wissen nicht ausdrucken kann.

Denkt man diese Argumentation weiter, werden wohl auch andere per WhatsApp übermittelte Arbeitsanweisungen kein geeignetes Mittel sein. In der Beratung tauchen immer wieder diesbezüglich Anfragen auf. Zum Beispiel in der Filiale einer Handelskette, wo (nicht-anwesende) Vorgesetzte, die Mitarbeiterinnen aufforderten, Fotos von den eingeräumten Regalen per WhatsApp zu schicken.

Fragen eines arbeitenden Betriebsrats dazu:

  • muss ich dazu mein Privathandy verwenden?
  • muss ich dabei meinen Echtnamen verwenden?
  • werden die Fotos (mit Personenbezug) ausgewertet?
  • werden die Fotos (mit Personenbezug) weitergeschickt?
  • wird damit die Leistung der Mitarbeiter_innen kontrolliert?

sollte eine dieser Fragen mit „ja“ beantwortet werden, ist ein Veto dringend empfohlen. Beharrt die Geschäftsführung auf dieser Art der Kommunikation, ist der Abschluss einer Betriebsvereinbarung erforderlich.

Der deutsche Datenschutzbeauftragte Johannes Caspar rät seinen Landsleuten, sich von WhatsApp zu verabschieden, und statt dessen ähnliche Dienste zu verwenden. Treema (Schweiz), Telegram (USA) oder Wire (Schweiz) sind passende Alternativen. Sie legen mehr Wert auf die Privatsphäre ihrer Nutzerinnen (zB bzgl der Weitergabe von Standortdaten, der Verschlüsselung von Kommunikationsinhalten, etc.) und ermöglichen – zumindest teilweise – individuelle Einstellungen.

Sommerliches Sammelsurium

tauchenFalls sich in den Büros der werten LeserInnenschaft gerade ein kleines Sommerloch auftun sollte, ist jetzt die ideale Zeit, in all den Dingen „die man sich immer schon einmal anschauen wollte“ zu schmökern. Eine kleine Auswahl an Tipps zum Schmökern rund um die Themen Privatsphäre am Arbeitsplatz und Digitalisierung der Arbeitswelt ist hier zusammengestellt.

eine Literatur-und-Link-Mixtur

Wer bislang immer nur das diffuse Gefühl hatte, dass der private fahrbare Untersatz aus mehr Bestandteilen zusammengesetzt sind, als aus Motor, Karosserie und Lenkrad, bekommt hier eine Bestätigung. Der kurze Infofilm des deutschen Automobilclubs zeigt Autohersteller als Datensammler. Passend zur Reisezeit.

Wer sich für die ganz normale Überwachung in unser aller Alltag interessiert und wissen möchte welche Firmen welche Praktiken betreiben, erhält detailreiche Schilderungen in einer Studie der Arbeiterkammer Wien, die

Wer wissen möchte, wie die Bewertung von Kreditwürdigkeit in Zeiten von Big Data und algorithmenbasiertem Scoring funktioniert, kann sich diese Studie der Arbeiterkammer Wien mit an den Strand nehmen.

Wer gerne den Überblick auf europäischer Ebene hat und wissen möchte, welche Meinung zu Datenschutzthemen in welchen EU-Ländern verbreitet sind, kann sich durch den Eurobarometer 2015 blättern – eignet sich auch gut zur Vorbereitung von Referaten.

Wer sich immer schon gefragt hat, was diese ganzen seltsamen Begriffe im österreichischen Datenschutzgesetz bedeuten, kann im Lexikon des Bundeskanzleramtes nachschlagen.

Für jene, die sich für die ganz reale Arbeitswelt bei Google interessieren, hat der Filmemacher Andrew Norman Wilson eine aufschlussreichen Kurzfilm gedreht – länger ging nicht; er wurde aufgrund seines (verdeckten) Filmprojekts entlassen. Ist bei Google wirklich die schöne neue Arbeitswelt ausgebrochen? Wohl eher nicht – zumindest nicht für die gering qualifizierten ArbeitnehmerInnen.

Viel Spaß mit dem sommerlichen Potpourri!

Schutzschild gegen Datenmissbrauch?

Brandungtransatlantischer Datentransfer erneuert

Die nächste Welle transatlantischer Verhandlungskünste brandet heran. Statt dem Abkommen über den „Sicheren Hafen“ soll nun das Abkommen „Pricacy Shield“ die personenbezogenen Daten von EU-BürgerInnen in den USA vor Missbrauch bewahren.

Schon lange bevor das Safe-Harbor-Abkommen zum Datenverkehr zwischen USA und EU vom EuGh gekippt worden war (die GPA-djp hat berichtet), war klar, dass bessere Regelungen her mussten – sonst hätte man sich wohl nicht bereits 2013 an den Verhandlungstisch gesetzt, um den gegenseitigen Datentransfer besser in den Griff zu bekommen.

Von europäischer Seite ging es vor allem darum, anlasslose Massenüberwachungen zu verhindern und EU-BürgerInnen einen besseren Rechtsschutz in den USA zu verschaffen – so wie er auch umgekehrt USA-BürgerInnen in Europa zusteht. Am 12. Juli 2016 haben die Europäischen Kommission und die us-amerikanische Wettbewerbs- und Verbraucherschutzbehörde (Federal Trade Commission, FTC) das sogenannte „Privacy Shield Framework“ unterschrieben. Ab 1. August können sich us-amerikanische Firmen nach den neuen Regelungen zertifizieren lassen.

VERBESSERUNGEN

Die freiwillige Zertifizierung nach dem neuen Abkommen wird von der FTC stärker kontrolliert werden.

Die Weitergabe von personenbezogenen Daten an Dritte ist nicht mehr möglich.

Eine ausführliche Beschreibung der neuen Regelungen und ihres Zustandekommens hat die deutschen Gesellschaft für Datenschutz und Datensicherheit zusammengefasst.

weiterhin Massen-DatensammEln möglich

Doch Einiges ist auch beim Alten geblieben. Die Gruppe der europäischen Datenschutzbehörden kritisiert in ihrer Stellungnahme zum Privacy Shield insbesondere, dass es keinen genügenden Schutz vor massenhaften und willkürlichen Datensammlungen gewährt (man muss nur den Zweck der Datenanwendung ändern und schon sei das Ganze nicht mehr ganz so verboten) und dass die Zuständigkeiten der sogenannten „Ombudsperson“, an die sich europäische BürgerInnen mit ihren (rechtlichen) Datenschutz-Anliegen wenden können, nicht ausreichend geklärt sind (der direkte Zugang zu ordentlichen Gerichten ist nach wie vor nicht möglich).

Weiter Kritikpunkte sind:

  • der Geltungsbereich bezieht sich nur auf einige Branchen
  • Datenlöschung wenn diese nicht mehr gebraucht werden, ist nicht explizit festgehalten
  •  Schutz vor automatisierten Einzelentscheidungen (Stichwort: profiling) ist nicht ausreichend

… Fortsetzung folgt…

Böse Zungen behaupten, dass sich auch bei diesem „Datenschutz“-Abkommen früher oder später jemand finden wird, der oder die es genau wissen will und die ganze Materie zum Europäischen Gerichtshof trägt…

Was sie immer schon über Betriebsvereinbarungen wissen wollten

Leitfaden Betriebsvereinbarungneue Publikation des ÖGB Verlags

Betriebsvereinbarungen sind das Kernstück der betrieblichen Mitbestimmung. In der Betriebsvereinbarung können BetriebsrätInnen gemeinsam mit der Geschäftsführung festlegen, wie die Arbeitskräfteüberlassung gehandhabt wird, wie Personalinformationssysteme und Personalbeurteilungssysteme aussehen dürfen, wie – und ob überhaupt – bestimmt Kontrollsysteme eingeführt werden dürfen, was in Sozialplänen vereinbart wird, wie die Arbeitszeit verteilt wird, wie akkordähnliche Löhne bestimmt werden, wie Freiräume für Arbeitszeitgestaltung auf betrieblicher Ebene genutzt werden dürfen,  und vieles mehr.

Variantenreichtum

Um hier nicht den Überblick über die verschiedenen Möglichkeiten der betriebsrätlichen Einflussnahme zu verlieren, hilf diese Neu-Veröffentlichung aus dem ÖGB-Verlag.

aus der Praxis für die Praxis

hat ein AutorInnen-Kollektiv das gleichnamige Buch aus dem Jahre 1995 völlig neu bearbeitet, den gesetzlichen Vorgaben angepasst (die sich in den letzten 20 Jahren doch einigermaßen geändert haben) und mit Beispielen aus der Beratungspraxis angereichert.

Ein wenig Vorgeschmack für diejenigen, die wissen wollen, worauf sie sich mit dieser Lektüre einlassen, bieten die „Checkliste: der Weg zur Betriebsvereinbarung“ oder der Überblick über Arten von Betriebsvereinbarungen.

Ergänzt mit einem Web-Auftritt und einem e-book ist die Publikation insgesamt eine ideale Papier-digital-Kombination, die Theorie und Praxis der Betriebsvereinbarung unter einem Buchdeckel / in einem online-Portal vereint und in keinem Betriebsratsbüro fehlen sollte.

(Ende der Werbeeinschaltung)

betrieblicher Datenschutz made by Behörde

Akten_Ordner1Entscheidungen und Empfehlungen der österreichischen Datenschutzbehörde (formaly known as „Datenschutzkommission“) zu Arbeitsplatz-relevanten Themen

… und was wir daraus lernen können

Die österreichische Datenschutzbehörde wird immer wieder von Betroffenen kontaktiert, die sich sorgen, ob ihre personenbezogenen Daten auch richtig verwendet werden, ob nicht zu viel von ihrer Privatsphäre kontrolliert wird, ob ihre Daten nicht an zu viele Empfänger weitergegeben werden, etc. In einigen Fällen, trifft die Behörde dann Entscheidungen oder spricht Empfehlungen aus zum Schutz der Betroffenen. Einige Entscheidungen, die für das Arbeitsverhältnis getroffen wurden, sind im Folgenden kurz dargestellt.

Anmerkung: eine „Empfehlung“ der Behörde ist nicht direkt rechtswirksam. Sollte aber der Empfehlung innerhalb der vorgegebenen Frist nicht nachgekommen werden, würden weitere Schritte folgen – zum Beispiel in Form von Strafanzeige, einer gerichtlichen Klage oder sollte es sich um eine gefährliche Datenanwendung handeln, kann auch eine Anordnung ausgesprochen werden, selbige zu unterlassen.

Fieberthermometerder Krankenstand und seine Auswertungen

Einige Gebietskrankenkassen bieten eine Auswertung der Krankenstände der MitarbeiterInnen im Sinne der betrieblichen Gesundheitsförderung an – so auch die Tirolerische. Die Tiroler Ärztekammer war darüber „not amused“. In den Statistiken wurde nämlich neben der Angabe des Geschlechtes auch eine Diagnose der Krankheiten aufgelistet, sodass die Anonymität nicht mehr gewährleistet sei, argumentierte die Tiroler Ärztekammer:

Es könne daher ein direkter Personenbezug hergestellt werden. Auch von der Dauer eines Krankenstandes, etwa im Fall einer Depression, die mit langen Krankenständen verbunden sei, könne auf eine Diagnose und damit auf bestimmte Mitarbeiter geschlossen werden.

Dieser Logik folgte die Datenschutzbehörde und empfahl der Gebietskrankenkasse folgendes

  • lediglich jene Krankheitsdaten in die Statistik miteinzubeziehen, die mit der Tätigkeit dieses Betriebes typischerweise verbunden sind (sämtliche Erkrankungen der Belegschaft in der Statistik anzuführen ist nämlich überschießend im Sinne der betrieblichen Gesundheitsvorsorge)
  • Gruppen erst dann statistisch auszuweisen, wenn sie mehr als fünf Personen umfassen (nur so ist ein ausreichendes Ausmaß an Anonymität garantiert)

Auch für die Evaluierung psychischer Erkrankungen nach dem ArbeitnehmerInnenschutzgesetz ist es erforderlich, wie eben beschrieben vorzugehen (Empfehlung vom 30.3.2015). Außerdem wird festgehalten, dass auch nicht ersichtlich sein darf, WER an einer anonymen Umfrage teilgenommen hat  – und wer nicht.

baustelle1die illegale Beschäftigung und ihre Kontrolle

Es soll vorkommen, dass ArbeitnehmerInnen nicht rechtmäßig beschäftigt werden – sprich nicht der Sozialversicherung gemeldet werden. Um diesem illegalen Vorgehen entgegenzuwirken hat die Tiroler Wirtschaftskammer eigenständige Personenkontrollen an Baustellen durchgeführt – und hat dadurch selbst die Grenze zur Illegalität nicht ganz eingehalten. Es fällt nämlich nicht in die Befugnis der Wirtschaftskammer, Fotos zu erstellen, Personalien sämtlicher Anwesender aufzunehmen oder Grundstücke zu betreten – das ist eine Kompetenz der Finanzbehörden.

Die Datenschutzbehörde empfahl daher der Tiroler Wirtschaftskammer am 9.Mai 2016 aufgrund der fehlenden gesetzlichen Grundlage (Ermächtigung) für ihr überschießendes Vorgehen:

  • derartiges Vorgehen zukünftig zu unterlassen
  • die ermittelten Daten zu löschen
  • und zwar ohne Fristsetzung

die PatientInnen und ihre Daten

Eine diplomierte Krankenschwester hatte sich in dem Krankenhaus, in dem sie selbst angestellt war, einer Operation unterzogen. Ihre Patientinnendaten waren für über 1.000 KollegInnen einsichtig.

Die Behörde formuliert ihre Empfehlung so; „Das Krankenhaus…

  • möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben
  • möge die Zugriffsberechtigung auf die Patientendokumentation so gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind
  • möge durch Zugriffs-Kontrollen sicherstellen, dass besonders schützenswerte Personengruppen (wie eigene Bedienstete oder deren Angehörige bzw. öffentlich bekannte Personen), die sich einer Behandlung unterziehen (müssen), vor unberechtigten Zugriffen geschützt sind
  • Die Bediensteten mögen darüber nachweislich in Kenntnis gesetzt werden
  • Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

schülerschilddie Garderoben der SchülerInnen und deren Videoüberwachung

Immer wieder wird in Schulen versucht, Videokameras als Maßnahme zum „Eigentumsschutz“ anzubringen. Während die Behörde diese außerhalb des Schulgebäudes (zB bei Fahrradabstellplätzen) grundsätzlich genehmigt, tut sie dies nicht im Garderoben- und Gangbereich. Dort herrsche nämlich ohnehin Aufsichtspflicht und wenn diese durchgeführt werden, ist ja eine Kamera nicht gerechtfertigt.

  • was die Kamera filmt, darf nur den unumgänglich notwendigen Bereich erfassen, aber nicht an das Schulgelände angrenzende Straßen und Gehsteige
  • Auswertungen dürfen nur vom Direktor und nur in Beisein eines Lehrervertreters vorgenommen werden
  • Auswertungsergebnisse müssen vertraulich behandelt werden
  • Zufallsfunde sind zu löschen
  • Auswertungen sind zu protokollieren
  • nachdem das Beweismaterial sichergestellt wurde, sind die Aufnahmen zu löschen – ohnehin ist die Speicherdauer mit 72 Stunden beschränkt

Zu diesen und noch mehr Angelegenheiten nimmt die Datenschutzbehörde Stellung. Auch zu Whistleblowing (zur Thematik Whistleblowing gibt es in diesem Blog einen ausführlichen Artikel) oder globalen Personalbesetzungssystemen gibt es für die ArbeitnehmerInnen-Vertretung hilfreiche Empfehlungen. Oftmals ist es effektiver in der Argumentation gegenüber ArbeitgeberInnen, wenn eine Behörde eine Empfehlung abgibt, als wenn dies die Gewerkschaft tut – bisweilen sind sich diese beiden aber in der datenschutzrechtlichen Beurteilung gar nicht so uneins.

Fußball – eine private Angelegenheit?

fußball1Der Fußballplatz, das Stadion, die Tribüne wird wohl von den meisten Menschen als Ort der  Privatsphäre gesehen. Du triffst dich in deiner Freizeit mit Freundinnen, Bekannten und Familie, singst und/oder grölst vielleicht und erlebst – je nach Spielverlauf – Gefühls-Auf-und-Ab.  Beruflich sind dort zwar auch jede Menge Menschen am Werk – es schaut sich jemand dein Ticket an und dir in den Rucksack, verkauft dir etwas zu trinken, putzt hinter dir die Toilette und last but not least arbeiten da die FußballerInnen, TrainerInnen, SanitäterInnen – doch wird diesen ArbeitnehmerInnen eher wenig Aufmerksamkeit zuteil.

Man könnte davon ausgehen, dass im öffentlichen Raum „Fußball-Stadion“ die Privatsphäre geschützt, das Recht auf freie Meinungsäußerung intakt und das auf Versammlungsfreiheit gegeben ist. Bei dieser Privatangelegenheit Fußball wird allerdings immer mehr Überwachungstechnik eingesetzt, die dazu führt, dass diese Grundrechte immer weiter untergraben werden.

Beispiel EM 2012: Das Fußballmagazin Ballesterer berichtete, dass Polen ein besonderes neues Personenerkennungs-System einsetzen möchte: „Ein Verdächtiger wird ausgemacht. Sein Gesicht wird gescannt und automatisch mit einer Polizeisuchmaschine abgeglichen, die Ergebnisse werden umgehend den Einsatzkräften vor Ort zugespielt. Dazu werden soziale Netzwerke nach Informationen über die Person durchsucht. So oder so ähnlich hat sich die EU die Funktionen des Sicherheitsprogramms INDECT vorgestellt.“

Beispiel Fußball-Fan-Datenbanken: Namenslisten mit besonders unter Beobachtung stehenden Fußball-Fans (inklusive deren Bekannten) sind seit 2006 bekannt. Sie werden für verschiedene deutsche Vereine (zB St. Pauli und  HSV ) von der Polizei  zur Vorbeugung/Verhinderung von Gewalttaten im Zusammenhang mit Fußballspielen geführt. Schätzungsweise sind 4.000 Menschen darin erfasst – Genaues ist unbekannt, weil das Recht auf Auskunft nicht eingehalten wird. Mittlerweile wurden diese Daten aufgrund von Beschwerden von Fan-Rechtsanwälten und dem Einschreiten des Hamburger Datenschutzbeauftragten gelöscht – wer sich tatsächlich darauf befand wird also für immer im Dunkel der Geschichte bleiben.

Beispiel Bezahl-Chip: in zahlreichen Stadien der deutschen Erstligisten wird ausschließlich ein digitales Zahlungssystem verwendet, dessen genaue Auswertungsmethoden und -ergebnisse jedoch unklar sind. Klar ist nur, dass die Umsätze in den Stadien angestiegen sind und die nicht eingetauschten Restbeträge den Vereinen ein beachtliches „Körberlgeld“ verschaffen. Wer essen/ trinken/ pinkeln möchte, muss sich dieser Karte bedienen. „Lediglich in Paderborn, Hamburg und Freiburg gibt es keine Chipkarten. Stuttgart und Köln haben sie zu Saisonbeginn abgeschafft, Mönchengladbach nach einer Fanumfrage nie eingeführt.“ schreibt das Magazin Focus 2015.

Beispiel elektronischer Mitgliedsausweis: 2014 zogen sich türkische Clubs aus Istanbul den Unmut ihrer Fans zu. Es sollten nur mehr zahlende Mitglieder in die Stadien gelassen werden, beschrieb ein Fan-Aktivist im Interview mit dem Ballester die Situation: „Um Tageskarten oder ein Saisonabo zu kaufen, wirst du gezwungen, Kunde bei der Aktifbank zu werden. Dann fallen schon einmal die ersten Gebühren an: Für den Erwerb der Karte und für jedes einzelne Spiel.“ Welche Daten genau auf der Karte gespeichert werden sollten, wurde deren BesitzerInnen nicht verraten.

Dass Eintrittskarten nur gegen ausführlichen Bekanntgabe personenbezogener Daten verkauft werden, ist allerdings kein neues Phänomen; bereits bei der WM 2008 kam es in Deutschland zu Kritik an ebenjener FIFA-Strategie, die gegen Hooliganismus und Schwarzmarkt-Handel helfen solle. Name, Adresse, Geburtsdatum und Ausweisnummer mussten jedenfalls zur Verfügung gestellt werden, wollte man per Los als zukünftigeR KartenbesitzerIn gezogen werden. „Zumindest gelang den Datenschützern im Vorfeld der WM ein Teilerfolg im Kampf gegen die Einschränkung der persönlichen Rechte. Die Weitergabe von Namen und Adressen der Kartenkäufer an die WM-Werbepartner wurde den Organisatoren verboten. “ schrieb der ballesterer.

Momentan kommen in französischen EM-Stadien unter dem Motto „Terrorverdacht“ intensive Taschen- und Personenkontrollen, Drohnen und Metalldektoren zum Einsatz.  Was 2012 in Polen angedacht wurde, dürfte 2016 in Frankreich, als „intelligente Videoanalyse“ bezeichnet, im Einsatz sein. Im Arbeitsleben würden da jede Menge betriebsrätliche  Mitbestimmungsrechte schlagend werden.

Es drängt sich die Frage auf, ob Fußball-Fans als „Versuchskaninchen“ im „datenschutzrechtlichen Labor-Experiment Stadion“ zum Einsatz kommen? Nützlich ist das vor allem für Security-Firmen, die für den technischen und personellen IT-Support sorgen. Dass unsere (Fußball-)Welt dadurch ein geschützterer (Wohlfühl-)Ort wird, darf bezweifelt werden.

 

USA sind kein „sicherer Hafen“ – und Hamburg auch nicht

Frachtschiff_Hamburg1deutsche Konzerntöchter müssen Bußgelder zahlen

Der Europäische Gerichtshof für Menschenrechte erklärte am 24.September 2015 das Safe-Harbor-Abkommen für ungültig. „Safe Harbor“ waren Richtlinien des us-amerikanischen Handelsministeriums, denen sich us-amerikanische Firmen freiwillig unterwerfen konnten und damit datenschutzrechtlich mit europäischen Firmen gleich gestellt waren – ein großer Vorteil, wenn man personenbezogene Daten möglichst einfach über den großen Teich transferieren möchte.

Das EuGH-Urteil wurde von Max Schrems angestrengt, der seine personenbezogenen Daten bei facebook als nicht ausreichend geschützt ansah und sich daher an die Irländische Datenschutzbehörde wenden musste, wo Facebook seine europäische Hauptniederlassung hat. Die Behörde konnte ihm sein Recht auf Auskunft aber auch nicht verschaffen und so gelangte die Sache an den EuGH.

Mit der Ungültigkeit von Safe-Harbor mussten Unternehmen, die ihre Daten in den USA verarbeiten (lassen) diese Verarbeitungen auf eine andere rechtliche Basis stellen; Möglichkeiten des legalen Datentransfers in die USA existieren ja nach wie vor (sogenannte „Standardvertragsklauseln“ oder die Genehmigung des Datentransfers durch die Datenschutzbehörde); im „schlimmsten“ Fall mussten die Server an einen europäischen Standort übersiedelt werden.

Nun bekommen einige Unternehmen, die das EuGH-Urteil nicht weiter beachtet und ihre Datenverarbeitungen weiterhin wie gehabt vollzogen haben, die Rechnung präsentiert. Der Hamburger Datenschutzbeauftragt Johannes Caspar forderte nach einer Vorwarnung und dem Versuch der Kontaktaufnahme mit den betroffenen Großunternehmen – vorwiegend Töchter von us-amerikanischen Konzernen –  Konsequenzen, wie der Spiegel berichtete. Die meisten betroffenen Firmen wechselten auf Standardvertragsklauseln, einige arbeiteten weiter wie bisher. „Es handelt sich um große, international tätige Unternehmen, bei denen man davon ausgeht, dass sie umfassend datenschutzrechtlich beraten werden und die wissen, dass Safe Harbor nicht mehr gilt„, sagte Caspar. „Unsere Frist war bekannt.“ Adobe, Punica und Uniqa müssen nun wegen erfolgter unzulässigen Datenübermittlungen von MitarbeiterInnen- und KundInnendaten in die USA Bußgelder zwischen 8.000 EUR und 11.000 EUR zahlen.

Dass eine deutsche Behörde hier Strafen einheben kann, mag gelernte ÖsterreicherInnen erstaunen. Grund hierfür ist die unterschiedliche Gesetzeslage. Während die deutschen Datenschutzbehörden dazu berechtigt sind, Sanktionen einzuheben (und das beispielsweise in Hamburg und Schleswig-Holstein auch medienwirksam tun), ist die österreichische Behörde dazu nicht berechtigt. Hierzulande müsste ein Landesgericht erster Instanz eine Strafe verhängen – und hat es bislang nicht getan.

Mit der neuen europäischen Datenschutzgrundverordnung wird es ab 2018 auch in Österreich Aufgabe der Datenschutzbehörde sein, Beschwerden anzunehmen selbst wenn die Konzernzentale anderswo angesiedelt ist und im Falle des Falles Strafen zu verhängen – und die wurden bekanntlich bemerkenswert erhöht.