Digitale Selbstverteidigung – Was kann ich tun?

Epicenter.Works, GPA-djp

Plugins, Software und andere Tipps: Welche Tools sind „sicher“?

Dass Google die eingegebenen Suchbegriffe speichert, sollte mittlerweile den meisten bekannt sein. Aber welche Suchmaschine gibt es, die mich nach einmaliger Sucheingabe von „Juckender Ausschlag“ nicht andauernd mit Werbung für natürliche Behandlungsmöglichkeiten ganz in meiner Nähe und günstigen Online-Apothekenangeboten überhäuft?

WhatsApp sollte man ja nicht verwenden; die nehmen das mit dem Datenschutz nicht so ernst. Aber welche alternativen Messenger gibt es, mit dem ich nicht die Telefonnummern all meiner Kontakte offenbaren muss?

Die ExpertInnen von Epicenter.Works haben sich genau diesen Problemen angenommen und ihr Wissen rund um „sichere“ Software und Plugins auf einem Folder vereint.

sicher kommunizieren – sicher surfen – sichere Daten – sicher im Internet

Worum geht es bei „Digitaler Selbstverteidigung? Es geht um einen selbstbestimmten Umgang mit digitalen Services im Alltag. Aber wie kann ich als UserIn ganz konkret sicherstellen, dass meine Daten nicht gespeichert, (weiter)verwendet und weiterverkauft werden, ohne dass ich das will?

Es gibt viele Tools, die einem/r UserIn dabei helfen können, einen möglichst hohen Grad an Selbstbestimmung und Sicherheit zu erreichen. Es gibt aber auch viele, die nur vorgeben, eine Hilfe zu sein. Dies zu erkennen und diese Unterscheidung treffen zu können, fällt bereit IT-ExpertInnen schwer. Für „normale“ UserInnen – ohne Unterstützung – ist das kaum zu schaffen!

Hier kommen die ExpertInnen von Epicenter.Works in Spiel. Sie bieten auf ihrer Homepage und nun auch auf ein paar Seiten zusammengefasst, eine Sammlung vertrauenswürdiger Tools und grundlegende Anwendungstipps für alle UserInnen:

  • Welches Tool schützt meine Privatsphäre, wenn ich im Web surfe? ≈ Tipp: Privacy Badger.
  • Und welcher Suchmaschine kann ich meine (teils sehr persönlichen) Suchfragen anvertrauen? ≈ Tipp: Startpage.
  • Und wie kann ich der Flut an Werbung und Pop-Ups entgehen, die mir die Sicht auf den Onlineartikel versperren? ≈ Tipp: uBlock Origin.

DasistmeinPasswort#32

Ein gutes und sicheres Passwort gehört zu den wichtigsten Schutzmaßnahmen. Jene Passwörter, die sich aus dem Geburtsdatum, dem Hochzeitstag oder dem Namen des Haustieres zusammensetzen, sind keine „guten Passwörter“. Aber ein Passwort bestehend aus zufällig aneinandergereihten Buchstaben, mit Nummern und Sonderzeichen vermischt, das auch noch mindestens 7 Stellen haben sollte, kann sich kein Mensch merken.

Muss er auch nicht! Verwende doch einfach Passwortsätze!
Ein einfacher, aber sehr effektiver Tipp, denn um ein Passwort wie beispielsweise „Seitheuteweißichwerdie#1ist!“ entschlüsseln zu können, würde man tausende von Jahren brauchen, wie in diesem Video sehr schön erklärt wird.

Datensicherheit geht jede und jeden etwas an

Der Folder von Epicenter.works (lässt sich hier downloaden) bietet einen ersten Anknüpfungspunkt für alle, die die Herrschaft über ihre eigenen Daten wiedererlangen und auch behalten möchten! Jeder Tipp ist von ExpertInnen geprüft und leicht anwendbar!

Wer weiterführende Informationen bzw. Hilfe benötigt, schaut einfach auf epcienter.works/crypto vorbei.
By the way: Die Liste wird immer wieder aktualisiert und ausgebaut – es zahlt sich aus, immer mal wieder dort vorbeizuschauen!

 

Irgendwie – Irgendwo – Irgendwann

Foto: Helmut Wolff

Mobile Arbeit bringt Chancen und Risiken: Eine neue Broschüre soll BetriebsrätInnen dabei unterstützen die veränderte Arbeitswelt aktiv mitzugestalten.

Bereits seit einigen Jahren lässt sich ein Vordringen digitaler Technologie in immer weitere gesellschaftliche Bereiche beobachten, was zu tiefgreifenden Veränderungen im privaten und öffentlichen Leben führt. Zunehmend erreicht die Digitalisierung nun auch die Arbeitswelt. Als Folge davon nimmt die Möglichkeit, „mobil“, also abseits fester Arbeitsplätze zu arbeiten, stetig zu.

Mithilfe von Laptops und Smartphones können viele Beschäftigte zu Hause, im Kaffeehaus oder sogar am Sandstrand Anrufe entgegennehmen, E-Mails beantworten, Texte verfassen oder auf andere Weise ihre Arbeitsleistung erbringen. Oft wird ein auf diese Weise mobiles Arbeiten von ArbeitgeberInnen gefördert und auch von den Beschäftigten als angenehm empfunden. Doch wo Wahlfreiheit und Gestaltungsspielraum als Privileg mobiler Arbeit versprochen werden, bleibt zuletzt oft maximale Verfügbarkeit der Beschäftigten übrig.

„Im Sturz durch Raum und Zeit, Richtung Unendlichkeit“

Immer schwerer lassen sich betriebliche und private Räume voneinander trennen, die Grenze zwischen (bezahlter) Arbeitszeit und (unbezahlter) Freizeit lässt sich in vielen Fällen nicht mehr klar ziehen. Die durch die Möglichkeit der mobilen Arbeit gewonnene Freiheit zu einer „Entgrenzung“ von Arbeit, die nun alle Lebensbereiche durchdringt und ein erholsames geistiges „Abschalten“ am Feierabend oder am Wochenende verhindert. Für viele ArbeitnehmerInnen ist es bereits zur Selbstverständlichkeit geworden, am Sonntagabend – natürlich unbezahlt – rasch ihre E-Mails auf dem Diensthandy zu checken oder eine Powerpoint-Präsentation für den nächsten Termin fertigzustellen. Mit dem so entstehenden Spannungsfeld beschäftigt sich die neue Broschüre der GPA-djp „Irgendwie – Irgendwo – Irgendwann. Zur Gestaltung mobiler Arbeit“, die in Zusammenarbeit mit engagierten BetriebsrätInnen des Beirates für Arbeit und Technik verfasst wurde und am 13. November 2018 im Rahmen einer Veranstaltung präsentiert wurde.

„Der Begriff der mobilen Arbeit ist schwer zu fassen und insofern mit jenem der Flexibilität zu vergleichen“, erklärte die Bundesgeschäftsführerin der GPA-djp, Agnes Streissler-Führer in ihrem Eröffnungsstatement. Zu Recht wünschten sich ArbeitnehmerInnen bewegliche, lockere und undogmatische Formen der Arbeitserbringung, letztlich sei Flexibilität jedoch gegen die Interessen der Beschäftigten gerichtet worden und zu einem Synonym für Deregulierung und Wirtschaftsliberalisierung umgedeutet worden.

„Irgendwie fängt irgendwann, irgendwo die Zukunft“

Es sei somit zentral, die Erscheinungsformen mobiler Arbeit und die damit verbundene Möglichkeit, Autonomie und Gestaltungsmöglichkeiten zu erreichen, mitzugestalten und im Sinne der Beschäftigteninteressen zu interpretieren. Die Zukunft solle daher nicht wie im 80er Jahre-Popsong von Nena „irgendwie, irgendwo und irgendwann“ anfangen, sondern jetzt und heute in den österreichischen Unternehmen, unter Beteiligung der Betriebsräte und der Beschäftigten.

Die Nutzung digitaler Technologie sei heute allgegenwärtig und keine bewusste Entscheidung mehr, schilderten Universitätsprofessor Jörg Flecker und sein Dissertant Dominik Klaus die technologischen Entwicklungen in der Arbeitswelt und ihre Auswirkungen auf die ArbeitnehmerInnen aus soziologischer Sicht. Ihre besondere Sorge gelte dabei der Gefahr der Entgrenzung – ob durch hohen Arbeitsdruck oder durch die Tendenz zur „Selbstausbeutung“ besonders engagierter Beschäftigter. Flecker und Klaus sprachen sich schon aus gesundheitlicher Sicht dafür aus, Arbeitszeit und Freizeit stärker voneinander abzugrenzen. Je flexibler und mobiler Beschäftigte arbeiten würden, desto gestresster seien sie auch.

Mobile Arbeit müsse rechtlich genau geregelt werden, ist Andrea Komar, die Leiterin der GPA-djp Bundesrechtsabteilung überzeugt. So gebe vielfach bereits das Gesetz Grenzen vor, die es jedoch auch zu achten gelte. Zugleich sei das Thema der mobilen Arbeit jedoch auch eines, das einer Aushandlung zwischen ArbeitgeberInnen und ArbeitnehmerInnen bedürfe, teilweise durch einzelvertragliche Regelungen, teilweise durch Betriebsvereinbarungen.

Verena Spitz ist stellvertretende Zentralbetriebsratsvorsitzende bei der BAWAG-PSK und Vorsitzende des Beirates für Arbeit und Technik. Sie berichtete aus ihrer betriebsrätlichen Praxis aber auch von ihren persönlichen Erfahrungen mit der Nutzung unterschiedlicher Formen mobiler Arbeit. Zwar gebe es einen rechtlichen „Graubereich“, der sich ständig vergrößere, dennoch könne mobile Arbeit angenehmeres und autonomeres Arbeiten ermöglichen. Faire betriebliche Spielregeln seien dabei unerlässlich aber nicht hinreichend. Darüber hinaus müssten ArbeitgeberInnen auch das nötige Vertrauen zu ihren MitarbeiterInnen aufbringen, die dann nicht mehr ständig am Arbeitsplatz greifbar seien.

Faire Arbeit soll kein „Schloss aus Sand“ sein

Das Vordringen mobiler Arbeit ist keine natürliche Entwicklung, sondern kann und muss gesteuert und beeinflusst werden. Dabei ist darauf zu achten, dass die Interessen der Beschäftigten bestmöglich gewahrt und Selbst- oder Fremdausbeutung verhindert werden. Nur dann kann sichergestellt werden, dass der Einsatz mobiler Technologie zu besseren Arbeitsbedingungen führt und das Versprechen der mobilen Arbeit nicht, wie Nena singt, zum „Schloss aus Sand“ wird, das den Beschäftigten zwischen den Fingern zerrinnt.

Die Broschüre der GPA-djp versucht gerade in Bezug auf die sich stellenden rechtlichen Fragen konkrete Antworten zu geben. Sie knüpft an die in der GPA bereits seit 1994 laufende gewerkschaftliche Auseinandersetzung mit dem Thema „Telearbeit“ an. So werden die arbeits- und sozialrechtliche Grundlagen dessen, was bei unterschiedlichen Formen mobiler Arbeit zu beachten ist, ebenso dargestellt, wie die geltende Rechtslage im Hinblick auf Gesundheitsschutz, Arbeitsplatzgestaltung, Arbeitszeit- und Leistungskontrolle, sowie den Gebrauch privater Geräte als Arbeitsmittel. Die Broschüre versucht darüber hinaus, das Thema mobile Arbeit aus mehreren Blickwinkeln zu beleuchten: Aus Sicht von ArbeitnehmerInnen, Betriebsräten, Führungskräften und jener der Unternehmensleitung.

Michael Gogola, Isabel Koberwein, Claudia Kral-Bast, Irene Krenn, Fritz Spinka, Verena Spitz, Helmut Wolff: Irgendwie – Irgendwo – Irgendwann. Zur Gestaltung mobiler Arbeit, 58 Seiten, GPA-djp, Wien 2018.

(Beitrag zunächst erschienen auf KOMPETENZ-online)

Offener Brief zur ePrivacy-Verordnung

Quelle: GPA-djp

Die Ausweitung der europäischen Datenschutzregeln auf elektronische Kommunikation wird dringend benötigt!

Ein offener Brief soll den zuständigen Ministern Hofer und Blümel die Dringlichkeit der Umsetzung klarmachen!

Die Grundrechtsorganisation epicenter.works formulierte einen offenen Brief an die beiden Minister Norbert Hofer und Gernot Blümel. Die Abteilung Arbeit & Technik und die GPA-djp als gesamte Organisation unterstützen die erhobenen Forderungen zur ePrivacy-Verordnung.

5 Forderungen // 15 Organisationen

Gemeinsam mit vielen 14 anderen Organisationen hat auch die GPA-djp den Brief an die Bundesminister Norbert Hofer und Gernot Blümel unterzeichnet und steht damit hinter den darin enthaltenen Forderungen.

Obwohl der Entwurf der Verordnung bereits im Jänner 2017 von der Europäischen Kommission vorgelegte wurde, konnte sich der Europäische Rat noch immer auf keine allgemeine Ausrichtung einigen.

Nicht nur fordern wir gemeinsam mit epicenter.works die Beschleunigung des Prozesses – die ePrivacy-Verordnung wäre ein wichtiger Schritt in die Richtung zu stärkerem Recht auf Privatsphäre jedes Einzelnen / jeder Einzelnen und hinkt der technischen Entwicklung ohnehin schon hinterher – sondern es geht auch darum, Schwachstellen in den derzeitigen Privatsphäre- und Vertraulichkeits-Regeln im Bereich elektronischer Kommunikation zu beseitigen.

Es geht außerdem um:

  • die Schaffung von Rechtssicherheit für jeden (Unternehmen wie Einzelpersonen)
  • den Schutz des Rechts auf Privatsphäre und Vertraulichkeit der Kommunikation
  • das Sichern dieses Schutzes durch technische Gestaltung („privacy by design“) und Voreinstellungen („privacy by default“)
  • Transparenz und die Ermöglichung einer bewussten Entscheidung jedes Nutzers/jeder Nutzerin
  • das Verbot von Tracking-Walls – die Verweigerung des Zugangs zur Website, sollte der Verarbeitung der personenbezogenen Daten über Cookies nicht zugstimmt werden
  • die Zurückerlangung der Kontrolle über die Nutzung der eigenen Daten
  • das Einschränkung von Technologiemonopolen und deren Verwendung von personenbezogenen Daten
  • die Verhinderung von Massenüberwachung und Vorratsdatenspeicherung

Welche Bedeutung der österreichischen Ratspräsidentschaft im Hinblick auf die ePrivacy-VO zukommen könnte, und welche wesentlichen Regelungen dieser Reformvorschlag beinhaltet, lässt sich hier nachlesen.

Das Ziel muss ein Abschluss des umfassenden Prozesses der Schaffung einer europäischen ePrivacy-Verordnung Anfang 2019 sein. Dafür muss die Bundesregierung während der österreichischen Ratspräsidentschaft nun aktiv werden, damit die weiteren Verhandlungen rasch aufgenommen werden können.

Der gesamte Text des Briefes findet sich hier: E-Privacy_Offener Brief

 

Ein Resümee der diesjährigen BAT-Tagung

Quelle: GPA-djp

Digitalisierung mitgestalten – Wie (geht) das?

Die Tagung des Beirats für Arbeit & Technik vom  10.10.2018

 

Im Rahmen der diesjährigen BAT-Tagung haben sich die Mitglieder des Beirats für Arbeit & Technik mit der Frage auseinandergesetzt, wie man als BetriebsrätIn die Digitalisierung im Unternehmen mitgestalten kann. Welche Herausforderungen treten auf? Wie sieht’s mit der Mitbestimmung und das Recht des BR auf Information aus? Welche Schritte kann dieser setzen?

Treffpunkt war bei einem der bekanntesten Jugendstil-Gebäude Wiens: die BAWAG P.S.K. am Georg-Coch-Platz. Nach den Plänen von Otto Wagner erbaut, wurde das mit Steinplatten verzierte Gebäude 1906 eröffnet. Das hinter den Kassensälen befindliche Museum Wagner:Werk konnte in der Mittagspausen besucht werden. Möglicherweise eine der letzten Möglichkeiten, den großen Kassensaal mit den Schaltern aus dunklem Holz, den schönen Glaskacheln am Boden und dem beeindruckenden Glasdach zu besichtigen, da das Gebäude verkauft wurde und die Bawag P.S.K zum neuen Stammsitz am Wiener Hauptbahnhof umziehen wird.

Digi-Check

Zunächst ging es bei der diesjährigen BAT-Tagung um die Digitalisierung in der GPA-djp – genauer gesagt um den Digi-Check der GPA-djp. Die BAT-Mitglieder durften als „Versuchskaninchen“ und TesterInnen noch vor Veröffentlichung dieses Online-Tool für BetriebsrätInnen auf Herz und Nieren testen – was sich die BAT-Mitglieder naturgemäß nicht zweimal sagen ließen.

Das Online-Tool bietet BetriebsrätInnen über die Beantwortung bestimmter Fragen die Möglichkeiten herauszufinden, wo ihre Betriebe in Sachen Digitalisierung im Vergleich zu anderen stehen und wo es möglicherweise noch Verbesserungspotential gibt. Die Ergebnisse können dann mit den dafür besonders geschulten Digi-CheckerInnen der GPA-djp besprochen und gemeinsam Verbesserungsstrategien erarbeitet werden. Ausgerollt wird dieses Tool voraussichtlich Anfang nächsten Jahres.

Rückschau – Prozess – Zukunft

Der Nachmittag stand im Zeichen der persönlichen Erfahrungen mit den Digitalisierungsstrategien und –projekten in den eigenen Unternehmen. In Gruppenarbeiten wurden die bisher umgesetzten Projekte (bspw. Videokonferenz-Tools, elektronische Aktenablagesysteme etc.) und die anstehenden und zukünftigen Pläne besprochen und die Möglichkeiten der Mitgestaltung jedes Einzelnen / jeder Einzelnen diskutiert.

„Wenn ich morgen in meinen Betrieb zurückkehre und dieses Projekt in Umsetzung geht, was brauche ich dazu…?“

Bestimmt im Unternehmen der Algorithmus, ob man ein/e gute/r oder schlechte/r ArbeitnehmerIn ist? Ein Programm überprüft die Arbeit in Echtzeit, wertet die Fehler aus und leitet sie weiter? Umso höher die Fehlerquote, umso zahlreicher die Überprüfungsschleifen? Jeder Klick wird aufgezeichnet und bewertet?

In einem zweiten Schritt ging es darum, sich in der Gruppe für eines dieser zukünftigen Projekte im Bereich der Digitalisierung zu entscheiden und sich konkrete Handlungsschritte zu überlegen, die der/die BRIn bei der Umsetzung benötigen könnte.

Dabei ging es teilweise erstmal darum, überhaupt rechtzeitig über die geplanten Änderungen informiert zu werden. Dann ist für BetriebsrätInnen natürlich die Beschaffung aller relevanten Informationen rund um das Projekt unumgänglich und auch die Befragung von ExpertInnen – bspw. jenen der GPA-djp –  könnte ein wichtiger Schritt sein. Dabei kann auch die Broschüre „Arbeitswelt 4.1.“ eine wichtige Ressource sein. Außerdem ist es wichtig seine MitstreiterInnen (bspw. ZBR) und sein Gegenüber zu kennen und das Gespräch mit diesen zu suchen. Selbstverständlich sind auch KollegInnen zu informieren und das Projekt im Betrieb zu thematisieren. All diese Schritte wurden den ganzen Nachmittag über diskutiert und so mögliche Schritte zur Mitgestaltung bei Digitalisierungsprojekten erarbeitet.

Wie lautet also die Bilanz der diesjährigen BAT-Tagung? Die Digitalisierung geht voran, ob‘s uns gefällt oder nicht – aber wie die digitale Transformation in den Unternehmen von statten geht, da haben die BetriebsrätInnen und die MitarbeiterInnen ordentlich etwas beizutragen und mitzureden!

Die Broschüren zum Weiterlesen

 

Irgendwie – irgendwo – irgendwann. Zur Gestaltung mobiler Arbeit.

Quelle: GPA-djp

Podiumsdiskussion und Vorstellung der neuen Arbeit&Technik-Broschüre

am 13.11.2018 ab 18:30 Uhr in der ÖGB-Fachbuchhandlung!

Berufliche Mobilität – „working anytime, anywhere“ – wird für immer mehr Beschäftigte, darunter viele junge Berufstätige und BerufseinsteigerInnen, zur selbstverständlichen Jobanforderung. „Mobile Arbeit“ wird oft auf das Arbeiten daheim reduziert. In der heutigen Ausprägung zeichnet sich mobile Arbeit jedoch dadurch aus, dass der Arbeitsort mobil geworden ist oder außerhalb klar abgegrenzter Arbeitszeiten gearbeitet wird. Dank mobiler Endgeräte wie Laptop und Smartphone kann man sich seine Arbeit in die Tasche stecken und fast überall – im Café, im Zug, im Hotel oder an sonstigen Orten – arbeiten.

Diese neuen, von Zeit und Raum losgelösten Formen der Leistungserbringung führen allerdings auch zu neuen Herausforderungen in der Arbeitswelt, insbesondere in der Tätigkeit von Betriebsräten, und der Gesellschaft im Gesamten. Wichtige Schlagworte in diesem Zusammenhang sind jene der „Entgrenzung“ und der „Flexibilisierung“. Vielfach beinhaltet die Diskussion um mobiles Arbeiten Begriffe, die in ihrer inhaltlichen Bedeutung schwer von einander abgegrenzt werden können. Eine Diskussion über die zentralen sich stellenden Fragen ist jedoch dringend geboten: Wie sieht die jetzigen Arbeitsrealität mobil Arbeitender aus? Welche positiven Auswirkungen kann mobiles Arbeiten mit sich bringen? Und welche negativen Aspekte gibt es zu bedenken? Welche Rolle können und sollen BetriebsrätInnen in der modernen Arbeitswelt einnehmen?

Im Rahmen einer einleitenden Podiumsdiskussion sollen die angesprochenen Herausforderungen dargestellt und erörtert werden.

Zeit: 13.11.2018, 18:30 UHR

Ort: ÖGB-Fachbuchhandlung, RathausstraSSe 21

Es diskutieren:

Univ.-Prof. Dr. Jörg Flecker, Institut für Soziologie – Universität Wien

Dominik Klaus, MSc forscht am Institut für Soziologie zu den arbeitspsychologischen und arbeitssoziologischen Aspekten der Entgrenzung in der modernen Arbeitswelt

Mag.a Andrea Komar, Leiterin der Bundesrechtsabteilung der GPA-djp

Verena Spitz, stv. Zentralbetriebsratsvorsitzende BAWAG PSK und Vorsitzende des Beirats für Arbeit und Technik (BAT) der GPA-djp

Anschließend wird die neue Broschüre der GPA-djp vorgestellt, zum Abschluss der Veranstaltung gibt es die Gelegenheit, bei erfrischenden Getränken weiter zu diskutieren und sich mit den AutorInnen der Broschüre auszutauschen.

Um Anmeldung unter Arbeitundtechnik@gpa-djp.at wird gebeten!

 

Die EU-Urheberrechtsreform

Quelle: Bilderbox

Was Uploadfilter und Linksteuer mit dem freien Internet zu tun haben

Untätigkeit kann man den EU-Institutionen im Hinblick auf datenschutzrelevante Themen wirklich nicht vorwerfen: Erst Anfang September stimmte das EU-Parlament für ein neues europäisches Urheberrecht, durch welches das Internet nachhaltig verändert werden könnte.

Worum geht es?

Schon seit längerem wird auf EU-Ebene eine neue Richtlinie zur Reform des Urheberrechts für Internetinhalte verhandelt. Schon in der Vergangenheit war ein Entwurf der Kommission vom Parlament abgelehnt worden. Am 12. September wurde schließlich ein neuer Anlauf unternehmen – und der Entwurf tatsächlich vom EU-Parlament angenommen.

Inhaltlich umstritten waren im Vorfeld insbesondere die im Entwurf enthaltenen „Uploadfilter“ und die „Linksteuer“. Bei den Regelungen zu „Uploadfiltern“ geht es wesentlich darum, dass Internetplattformen, die hauptsächlich von jenen Inhalten leben, die von den NutzerInnen zur Verfügung gestellt werden, also etwa Youtube oder Facebook, diese Inhalte künftig auf mögliche Urheberrechtsverletzungen überprüfen müssen. Aufgrund der riesigen Datenmengen, die auf derartige Plattformen hochgeladen werden, können Überprüfungen in sinnvoller Weise jedoch nur maschinell erfolgen – eben mittels bestimmter „Filter“, die die hochgeladenen Inhalte scannen und gegebenenfalls sperren. Schon bisher werden solche Filter auf vielen Plattformen eingesetzt, sind jedoch immer wieder auch Ziel von Kritik. So scheinen die Filter nicht immer treffsicher zu sein und zum Teil auch Inhalte zu blocken, die gar nicht gegen Rechte verstoßen. Befürchtet wird, dass die eingesetzten Filter auch künftig etwa Satire oder bloße Zitate nicht als solche erkennen würden. Auch Plattformen, die Informationen frei zugänglich machen, etwa die Online-Enzyklopädie Wikipedia, könnten von den geplanten rechtlichen Rahmenbedingungen betroffen sein.

Mit der „Linksteuer“ soll hingegen ein EU-weites Leistungsschutzrecht etabliert werden. So soll künftig verhindert werden, dass Artikel im Internet ohne Zustimmung des/der RechteinhaberIn reproduziert werden. Diese Maßnahme richtet sich insbesondere gegen Dienste wie Google News, die systematisch die Inhalte unterschiedlicher Medienplattformen überblicksartig zusammenstellen. So sollen künftig nur noch einzelne Worte aus den entsprechenden Beiträgen in den Links wiedergegeben werden dürfen.

Lob und Kritik

In der öffentlichen Debatte gibt es bislang sehr unterschiedliche Stimmen zum Richtlinienentwurf. Unterstützt wird der Vorstoß insbesondere von Verlagen und traditionellen Medienunternehmen, die in Brüssel offenbar stark für die neuen Regelungen lobbyierten. Doch auch eine lange Liste bekannter MusikerInnen, auch aus Österreich, setzte sich für das neue Urheberrecht ein. Betont wurde dabei, dass auch Künstler und Kreative Anspruch auf den Schutz ihrer Rechte hätten – auch im Internet.

Der deutsche CDU-Politiker und Abgeordnete zum Europäischen Parlament Axel Voss gilt als prominenter Fürsprecher neuer urheberrechtlicher Regelungen in Bezug auf Internetinhalte und trat im Zusammenhang mit dem erneuerten Entwurf der EU-Kommission für eine EU-Urheberrechts-Richtlinie als Berichterstatter auf. Voss freute sich über den Beschluss des Parlaments, konnte anschließend jedoch zunächst gar nicht genau sagen, welche inhaltlichen Punkte nun beschlossen worden waren – bei hunderten Abänderungsanträgen jedoch kaum verwunderlich.

Datenschutz-NGOs wiederum kritisieren die gesetzgeberischen Pläne vehement und sehen die Grundlagen des freien Internets in Gefahr. So könnten die vorgesehen Uploadfilter zur Durchsetzung von Zensurmaßnahmen dienen und die Meinungsfreiheit im Internet einschränken. Die NGO epicenter.works spricht gar von einer „katastrophalen Weichenstellung“ und sieht die geplanten Regelungen als nicht mit den Grundrechten vereinbar an. Die Regelungen würden hauptsächlich die Interessen großer Internetkonzerne wie Google stärken, die ihre Marktmacht künftig noch intensiver ausspielen könnten. Stattdessen wird eine „ausgewogene Lösung“ gefordert, die sowohl auf die Bedürfnisse von KünstlerInnen und RechteinhaberInnen Rücksicht nimmt, als auch das Internet als offene Plattform erhält.

Wie geht es nun weiter?

Der nun erfolgte Beschluss des EU-Parlaments bedeutet lediglich, dass nun der sogenannte „Trilog“ startet. Parlament, Kommission und Rat verhandeln also zu dritt über die Inhalte der neuen Richtlinie, bevor der gesamte Text nochmals dem EU-Parlament zur Abstimmung vorgelegt wird. Bis das neue EU-Urheberrecht wirklich in Kraft tritt, kann es also noch dauern.

Another brick in the wall: Die E-Privacy-VO

Quelle: Bilderbox

Nach dem Inkrafttreten der DSGVO am 25.5.2018 steht bereits das nächste datenschutzrechtliche Großprojekt der EU auf dem Programm: Die E-Privacy-Verordnung.

Die E-Privacy-VO sollte ursprünglich gemeinsam mit der DSGVO in Kraft treten – dazu kam es jedoch nicht, sie steckt nach wie vor im Gesetzgebungsverfahren fest. Während des österreichischen EU-Ratsvorsitzes im zweiten Halbjahr 2018 gewinnt das Thema nun wieder an Brisanz.

Die ursprünglichen Pläne der EU-Kommission

Ursprünglich legte die EU-Kommission bereits im Jänner 2017 einen Verordnungsentwurf vor. Dessen Ziele: ein wirksamerer und besserer Schutz der Privatsphäre und der verarbeiteten personenbezogenen Daten im Zusammenhang mit der elektronischen Kommunikation. Nach Auffassung der Kommission ist ein „wirksamer Schutz der Vertraulichkeit der Kommunikation unverzichtbar für die Ausübung der Rechte auf freie Meinungsäußerung und Informationsfreiheit sowie andere damit verbundene Rechte wie derjenigen auf Schutz personenbezogener Daten oder auf Gedanken-, Gewissens- und Religionsfreiheit.“ Die E-Privacy-VO sollte somit die Bestimmungen der mittlerweile in Kraft getretenen DSGVO ergänzen.

Die wesentlichen Regelungsinhalte

Als einen zentralen Punkt legt der Verordnungsentwurf fest, dass die Endgeräte (also etwa Computer oder Smartphone) von InternetnutzerInnen und alle Informationen, die mit diesen Geräten in Verbindung stehen, Teil der Privatsphäre der NutzerInnen sind. Bisher ist es üblich, das Nutzungsverhalten im Internet oder diverse andere Umstände (bis hin zur Größe des Bildschirms, von dem aus gesurft wird), mittels als „Cookies“ bezeichneter Programme nachzuvollziehen und zu überwachen. In dieselbe Richtung geht das „Tracking“ der im Internet surfenden Personen – es wird also erhoben, welche Websites zuvor und welche anschließend aufgerufen werden. Aus der Zusammenschau der so erhobenen Daten lassen sich detaillierte NutzerInnenprofile erstellen. Dafür soll, geht es nach der Kommission, künftig eine Einwilligung der NutzerInnen erforderlich sein. Gemäß dem Grundsatz „Datenschutz durch Technikgestaltung“, der datenschutzfreundliche Grundeinstellungen vorschreibt, müssen derartige Programme, die das Nachvollziehen von Nutzungsverhalten möglich machen, also grundsätzlich deaktiviert sein.

Auch im Bereich der elektronischen Kommunikation, etwa in Bezug auf Dienste wie Whatsapp oder andere Online-Messenger und Telefonieanbieter wie Skype, soll es zu Veränderungen kommen. Daten, die im Zusammenhang mit Online-Kommunikation stehen, auch sogenannte „Meta-Daten“ über die Umstände der Kommunikation, sollen grundsätzlich nur mit Zustimmung der NutzerInnen oder unter ganz bestimmten, eng gefassten Bedingungen verarbeitet werden dürfen, um die Privatsphäre der kommunizierenden Personen effektiv zu schützen. Ein Abgreifen von Daten, die auf den Endgeräten gespeichert sind bzw. ein „Abhören“ oder Erfassen des Inhalts und der Umstände der Unterhaltung wäre somit unzulässig.

Widerstand und Kritik

Gegen die geplante Verordnung laufen insbesondere VerlegerInnen und VertreterInnen der Werbewirtschaft Sturm. Sie befürchten, künftig nicht mehr so zielgerichtet wie bisher im Internet werben zu können und daher Einnahmen zu verlieren. Das ist wohl auch der Grund, warum in Brüssel seit Monaten aggressives Lobbying für abgeschwächte Formulierungen in der Verordnung und von der Werbeindustrie ein „Spiel auf Zeit“ betrieben wird. Dieses wiederum wird von Datenschutz-NGOs wie epicenter works massiv kritisiert. Zwar habe die DSGVO erste Rahmenbedingungen für die Datenverarbeitung geschaffen, die E-Privacy-VO sei jedoch ein weiterer wichtiger Baustein auf dem Weg zu umfassender Privatsphäre im Internet.

Was die österreichische Regierung jetzt tun könnte (und was sie wirklich tut)

Angesichts des stockenden Gesetzgebungsprozesses auf EU-Ebene kommt Österreich während seiner EU-Ratspräsidentschaft nun eine bedeutende Rolle zu. So könnten durch kluge Vermittlung Österreichs Verhandlungsprozesse wieder in Gang und die E-Privacy-VO auf den Weg gebracht werden. Bisher zeichnet sich die österreichische Bundesregierung, im Gleichklang mit großen EU-Staaten wie Deutschland und Frankreich, jedoch nicht durch besonders datenschutzfreundliches Verhalten aus, sondern scheint neben einer Reihe von innerstaatlichen Maßnahmen, wie etwa der mit 1.9.2018 in Kraft tretenden Ausweitung der Höchstarbeitszeitgrenzen, auch in puncto Datenschutz die Wünsche der Industrie erfüllen zu wollen. So wurde erst jüngst vorgeschlagen, die Bestimmungen zum „Datenschutz durch Technikgestaltung“ komplett zu streichen.

Ausblick

Angesichts der umfangreichen Konflikte, die rund um das Thema Datenschutz ausgefochten werden, ist wohl kaum mit einer raschen Beschlussfassung zu rechnen. Es bleibt an dieser Stelle wohl zu hoffen, dass sich die LobbyistInnen und VertreterInnen der großen Verlagshäuser und der Werbeindustrie nicht durchsetzen und ihre Blockadehaltung aufgeben müssen. Erst dann wäre der Weg frei für weitere datenschutzrechtliche Verbesserungen auf EU-Ebene, die angesichts des Grundrechts auf Privatsphäre dringend geboten sind.

Umsetzung der DSGVO in Betrieb und Betriebsrat

Quelle: Bilderbox

„Wie weit seid ihr mit der DSGVO?“

Die heurige BAT-Klausur  stand unter dem Motto „Willkommen, Datenschutz-Grundverordnung!“. Die BetriebsrätInnen und Mitglieder des BAT zogen Bilanz über den Stand der Umsetzung der DSGVO in ihren Betrieben und ihren Betriebsräten.

Die BetriebsrätInnen sollten sich dabei Gedanken über zwei Fragen machen. Zunächst sollten sie den Stand der Umsetzung der DSGVO innerhalb ihres Unternehmens und ihrer Betriebsratskörperschaft insgesamt einschätzen. In der Folge Sollten sie konkrete Umsetzungsschritte bewerten und analysieren, ob diese bereits erfolgt oder noch ausständig sind.  Es zeigte sich insgesamt ein differenziertes Bild. In einigen Betrieben stecken die datenschutzrechtlichen Angelegenheiten in den „Kinderschuhen“, einige habe die ersten Schritte bereits gewagt und wieder andere zählen sich zu den „Frontrunnern“, die schon seit Jahren an einer Umstellung ihrer Datenschutz-Praxis arbeiten.

Verschiedenes wurde in Sachen DSGVO in Angriff genommen…

Konkrete Umsetzungsschritte wurden in vielen Unternehmen, wo BAT-Mitglieder arbeiten, von ArbeitgeberIn und Betriebsrat bereits erfüllt. So ist beispielsweise bereits in den allermeisten Betrieben einE DatenschutzbeauftragteR bestellt worden. Verarbeitungsverzeichnisse sind in beinahe jedem Unternehmen fertig und vollständig. Damit sind zwei wichtige Neuerungen der DSGVO bereits in den meisten Fällen umgesetzt .

…und was kann der Betriebsrat – gemeinsam mit dem/der ArbeitgeberIn – machen?

In vielen Betrieben wurden – je nach Arbeitsaufgabe gestaltete – Schulungen für die KollegInnen abgehalten, wie mit personenbezogenen Daten umzugehen ist. In vielen Unternehmen hatte man sich bislang wenig Gedanken zu Datenlöschung gemacht. Also wurden Löschkonzepte wurde entweder überarbeitet oder neu eingeführt. Datenweitergaben an Dritte, aber auch innerhalb des Unternehmens, wurden überprüft, ob sie im Sinne der DSGVO stattfinden; das heißt Daten dürfen nur weitergegeben werden, wenn das zweckgebunden, sparsam und mit Information der Betroffenen geschieht. Ebenso ein breites Thema in der Umsetzung waren die Zustimmungen der Beschäftigten zu Datenanwendungen. Viele Arbeitgeber verlangen nun – eher unnötiger Weise – eigene Zustimmungs- und Geheimhaltungserklärungen von den Beschäftigten, um sich abzusichern. Betriebsräte haben diese Vorgehensweise hinterfragt.

Kleine Betriebsratskörperschaften sind mit ihren betriebsrätlichen Datenanwendungen mitunter in die Verarbeitungsverzeichnisse des/der ArbeitgeberIn mit einbezogen. In den meisten Betriebsräten wurde ein konkretes Datenschutz-Prozedere entwickelt und Verantwortliche definiert, die die Einhaltung des Datenschutzrechts im Betriebsratsbüro sicherstellen sollen. Es wurden die Beschäftigten im Intranet/ per Email/ auf einem geschützten Bereich der Homepage über die innerbetrieblichen datenschutzrechtlichen Regelungen informiert und aufgeklärt. Die Berechtigungskonzepte für Datenzugriffe wurden in vielen Betrieben überarbeitet; also die Frage gestellt: wer hat wo und unter welchen Umständen Zugang zu personenbezogenen Daten der MitarbeiterInnen und ist das zweckmäßig? Und last – but not least – wurden bestehende Betriebsvereinbarungen daraufhin überprüft, ob sie mit der DSGVO übereinstimmen und in vielen Fällen adaptiert.

Nicht alle Schritte sind schon abgeschlossen, nicht alle Schritte sind für alle Betriebe relevant und passend, aber es existieren jedenfalls konkrete Lern-Schritte in Richtung eines gelebten Beschäftigtendatenschutzes. BetriebsrätInnen beschäftigen sich also intensiv mit der Umsetzung der Bestimmungen der DSGVO und befinden sich auf einem guten Weg – wir werden sie dabei weiterhin begleiten.

Was sie schon immer über die DSGVO wissen wollten

Toni Hegewald/pixelio.de

häufig gestellte Fragen zum Beschäftigten-Datenschutz

und die Antworten darauf

Seit 25.5.2018 ist die Europäische Datenschutzgrundverordnung in Kraft und gilt in der gesamten Europäischen Union. Dadurch erhält das Thema Beschäftigtendatenschutz großen Auftrieb. Der Umgang mit den personenbezogenen Daten von Beschäftigten (z.B. Personalakte, Vordienstzeiten, Heiratsurkunden, Gehalt, Fotos, etc.) wirft Fragen auf.

Wir haben die häufigsten Fragen, die bei unserer Beratungstätigkeit in den letzten Monaten gestellt wurden, für euch zusammengefasst.

Was bedeutet Beschäftigtendatenschutz?

Die DSGVO bestimmt erstmals, dass es überhaupt einen eigenen Beschäftigtendatenschutz gibt – bislang hatte nur Deutschland einen solchen rechtlich vorgesehen. Der Artikel 88 zur „Datenverarbeitung im Beschäftigungskontext“ stellt nun klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten (z.B. als KonsumentIn oder StaatsbürgerIn, etc.) verarbeitet werden. Im Artikel 88 der DSGVO ist nun festgehalten, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Die Themen, die sozialpartnerschaftlich geregelt werden können, umfassen: Regelung zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.

Was sind „sensible Daten“ (die nun in der DSGVO „besondere Kategorien personenbezogener Daten“ genannt werden), die besonders zu schützen sind?

Die „besonderen Kategorien personenbezogener Daten“ sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Besondere Kategorien sind: politische Meinung, Gewerkschaftszugehörigkeit, ethnische oder rassische Herkunft, Gesundheitsdaten, sexuelle Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen.

Im Allgemeinen ist es laut DSGVO verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen oder, weil ein Gesetz es vorschreibt. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat, oder eine gesetzliche Vorschrift es verlangt (z.B. Arbeits- und Sozialversicherungsrecht), oder aufgrund der öffentlichen Gesundheitsvorsorge. Dazu gehören auch die notwendigen arbeitsmedizinischen Daten.

Was ist das Grundrecht auf Datenschutz?

Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten, so wie zum Beispiel auch das Recht auf die freie Meinungsäußerung, oder das Recht auf Erwerbsfreiheit, oder das Verbot von Sklaverei und Folter. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person an wen weitergeben werden.

Was sind eigentlich die Ziele der DSGVO?

Mit der DSGVO sollte die alte EU-Richtlinie zum Datenschutz von 1995 aktualisiert werden. In der DSGVO sollen die individuellen Grundrechte der Menschen gewahrt werden und zugleich soll die DSGVO den freien Datentransfer für Unternehmen innerhalb der EU sicherstellen. Man kann sich vorstellen, dass das ein breites Spektrum an Anliegen und Interessen umfasst und daher ein ziemlicher „Spagat“ gemacht werden musste.

Was bedeutet das „Marktortprinzip“?

Dieses legt fest, dass jede Geschäftstätigkeit auf dem Territorium der EU der DSVGO unterliegt. Dies hat zur Folge, dass auch nicht in der EU ansässige AnbieterInnen von Apps oder digitalen Dienstleistungen sich an die DSVGO halten müssen. Daher müssen Nicht-EU Unternehmen, die in der EU tätig sind, eine/n VertreterIn benennen, der/die AnsprechpartnerIn für die nationale Datenschutzbehörde ist. Die neue DSGVO ist an das EU-weite Wettbewerbsrecht angelehnt und es gilt daher das Marktortprinzip.

Was sind die Grundprinzipien der DSVGO?

Jede Datenverwendung muss einen rechtmäßigen Zweck verfolgen. Die Zweckbindung der personenbezogenen Daten ergibt sich aufgrund gesetzlicher, kollektivvertraglicher oder privatrechtlicher Vorschriften bzw. Verträge (Rechtmäßigkeit). Schreibt zum Beispiel der Kollektivvertrag ein Jubiläumsgeld vor, so muss dem BR das Eintrittsdatum, den Namen und das Monatsgehalt des betroffenen Kollegen/der betroffenen Kollegin bekannt sein, weil sonst eine Auszahlungskontrolle für den BR nicht möglich wäre.

Dabei ist zu beachten, dass ausschließlich für den Zweck notwendige personenbezogene Daten verwendet werden (Sparsamkeitsprinzip). Bezogen auf das Jubiläumsgeld wird der BR wie oben angeführt den Namen, das Eintrittsdatum sowie das Monatsgehalt der betroffenen Person wissen müssen.

Erlischt der Zweck für den die notwendigen personenbezogenen Daten benötigt wurden, so sind die Daten ebenfalls zu löschen (Datenminimierung), außer man muss sie aus gesetzlichen Vorschriften noch aufbewahren (z.B. Steuerrecht). Damit der BR überprüfen kann, ob der AN das jeweilige zustehende Jubiläumsgeld erhalten hat, wird er die dafür notwendigen Daten solange aufbewahren müssen, bis der Anspruch auf Jubiläumsgeld erloschen ist. Verlangt der AN Auskunft, über welche und zu welchem Zweck seine Daten verwendet werden, so muss nun auch die vorgesehene Speicherdauer angegeben werden (Transparenz). Dabei ist immer auf die Richtigkeit der verwendeten Daten zu achten.

Auch muss der Verantwortliche (= meist der/die ArbeitgeberIn) nachweisen können, dass sämtliche Grundsätze bei der Datenverwendung eingehalten werden (Rechenschaftspflicht).

Müssen ArbeitnehmerInnen ihnen von dem/der ArbeitgeberIn vorgelegte „Datenschutz- und Geheimhaltungserklärungen“ unterschreiben?

NEIN. Dies ist datenschutzrechtlich nicht erforderlich. Die hier geforderte Geheimhaltung und Einhaltung des Datenschutzes ergibt sich ohnehin aus dem Arbeitsverhältnis und der Loyalität, die ArbeitnehmerInnen den ArbeitgeberInnen schulden.

Beschäftigte werden häufig mit „Datenschutzerklärungen“ (§ 6 DSG 2018) konfrontiert, die Konventionalstrafen bei Nichteinhaltung des Datenschutzes androhen. Das zu unterschreiben führt zu einer Änderung des Einzelvertrages. Dieser Passus sollte also jedenfalls gestrichen werden. Im Zweifelsfall bei uns in der GPA-djp beraten lassen.

Einer Unterschrift im Sinne von „ich habe die Belehrung gelesen und halte personenbezogene Daten aus dem Arbeitsverhältnis geheim“ steht nichts im Wege. Das ist dann eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen, die ohnehin aus der Loyalitätspflicht im Arbeitsverhältnis entsteht. Auch die Zustimmung zu einer Datenweitergabe an den/die ArbeitgeberIn betreffend personenbezogener Daten, die zur Abwicklung des Dienstverhältnisses erforderlich sind, ist wohl nicht problematisch.

Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?

Nein, sie müssen nur der neuen DSGVO angepasst werden. Hier ist vor allem darauf zu achten, dass die Verweise auf gesetzliche Vorschriften noch richtig sind. Wenn beispielsweise in einer BV bereits von einem/r betrieblichen Datenschutzbeauftragte/n die Rede war, muss diese Regelung jetzt überprüft werden, ob nicht in der DSGVO vielleicht etwas Anderes steht. Auch allfällige Verweise auf den Gesetzestext des alten Österreichischen Datenschutzgesetzes (DSG 2000) müssen dem neuen Datenschutzgesetz 2018 angepasst werden. Die Verpflichtungen Betriebsvereinbarungen gemäß Arbeitsverfassungsgesetz §§ 96-97 abzuschließen, bleiben wie sie sind.

Was hat es mit der Datenschutz-Folgenabschätzung auf sich?

Diese muss erfolgen, wenn aus der Datenverwendung durch den Verantwortlichen ein großes Risiko für Eingriffe in die Grundfreiheiten der Betroffenen entsteht, wie z.B. beim permanenten GPS-Tracking oder der Videoüberwachung der ArbeitnehmerInnen. Ebenfalls notwendig ist eine solche Folgenabschätzung bei der systematischen und umfassenden Bewertung persönlicher Aspekte von Personen (z.B. profiling), oder der Verwendung von besonderer Datenkategorien.

Welche Mitspracherechte hat der Betriebsrat bei der Folgenabschätzung?

Grundsätzlich hat der/die ArbeitgeberIn die Pflicht im Sinne des § 91 Abs 2 ArbVG den Betriebsrat zu informieren, welche Arten von personenbezogene ArbeitnehmerInnendaten er aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht. Auf Verlangen des Betriebsrates kann dieser die Grundlagen der Verarbeitung und Übermittlung der Daten überprüfen. Daher muss bei einer Folgenabschätzung der Betriebsrat von Anfang an informiert und einbezogen werden.

Außerdem steht in der DSGVO, dass bei der Folgenabschätzung „der Standpunkt der Betroffenen oder ihrer Vertreter“ einzuholen ist. Also muss wohl auch der Betriebsrat mit an Bord genommen werden.

Was ist neu bei Datentransfer in Drittstaaten und welche Rechte hat der Betriebsrat/ die Betriebsrätin?

Da für alle Mitgliedsstaaten der EU die DSGVO, so wie sie ist, anzuwenden ist (sie muss also nur in bestimmten Angelegenheiten noch zusätzlich in nationalstaatliches Recht umgesetzt werden, wie z.B. bei Datenverarbeitung im Beschäftigungskontext, den Aufgaben der Datenschutzbehörden oder der Bestellung von betrieblichen Datenschutzbeauftragten), haben alle EU-Mitgliedsstaaten das gleiche Datenschutzniveau und bedarf es keiner zusätzlichen besonderen Regelungen für Datentransfer innerhalb der EU.

Bei Datentransfer außerhalb der EU müssen zusätzlich rechtliche Maßnahmen getroffen werden, denn Drittstaaten müssen erst „beweisen“, dass personenbezogene Daten bei ihnen genauso gut geschützt sind, wie innerhalb der EU.

Die DSGVO enthält einige rechtliche Möglichkeiten. Manche davon gibt es schon länger (z.B. Standardvertragsklauseln oder einen Angemessenheitsbeschluss, wie er für alle Länder des EWR-Raumes sowie Israel, Chile gegeben ist) andere sind neu hinzugekommen (z.B. Zertifizierungen). Für Datentransfer in die USA können sich dort ansässige Unternehmen dem so genannten „Privacy Shield“ unterwerfen (Auf der Seite des US-amerikanischen Handelsministeriums https://www.privacyshield.gov/list kann man diese Firmen aufgelistet finden).

Alle diese Transfermöglichkeiten in Dritt-Staaten folgen aber strengen Auflagen und müssen von der nationalen Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt worden sein.

Bei den Mitspracherechten des Betriebsrates in diesem Fall sei auch hier auf die Informationsrechte gemäß § 91 Abs 2 ArbVG verwiesen. Zusätzlich kann der Betriebsrat, wenn durch den Datentransfer personenbezogene Daten oder besondere Kategorien personenbezogener Daten von ArbeitnehmerInnen betroffen sind, den Abschluss einer Betriebsvereinbarung im Sinne des § 96a ArbVG verlangen. Solange eine solche Betriebsvereinbarung nicht abgeschlossen ist, können die Daten nicht transferiert werden (außer die Schlichtungsstelle des Arbeits- und Sozialgerichts hat nach deren Anrufung durch den Arbeitgeber/ die Arbeitgeberin ihre Zustimmung erteilt).

Was muss beachtet werden bei der Nutzung von Firmen eigenen Handys und Computern?

Die Geschäftsführung kann einseitig Regeln zum allgemeinen Datenschutz im Betrieb festlegen. (Wenn die Datenschutzbehörde diese genehmigt, können sie auch als Grundlage für Datentransfer in Dritt-Staaten dienen.) Diese Datenschutzvorschriften können auch Regelungen bezüglich der privaten Nutzung von Handys und Laptops beinhalten. Trotzdem muss mit dem Betriebsrat eine Betriebsvereinbarung (BV) über die Nutzung von Diensthandys und Laptops abgeschlossen werden (§ 96a ArbVG) . Es ist ratsam auch die private Nutzung der IKT-Geräte in einer BV zu regeln. Es sollte klar vereinbart sein, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte seitens des Unternehmens bestehen. Die GPA-djp bietet Muster-Vereinbarungen und Beratung durch den/die betriebsbetreuende/n Regionalsekretär/in auch zu diesem Thema an.

Welche Mitspracherechte hat der Betriebsrat bei Branchen- oder konzernweiten Verhaltensrichtlinien?

Konzerne oder ganze Branchen können sich auf einheitliche Datenvorschriften einigen und von der nationalen Datenschutzbehörde genehmigen lassen. Solche Vorschriften sind dann auch Rechtsgrundlage für Datentransfers in Nicht-EU-Länder, wenn also zum Beispiel Daten von MitarbeiterInnen an die Konzernzentrale in Florida oder in der Ukraine geschickt werden. Diese Vereinbarungen müssten natürlich die Grundprinzipien der DSGVO beinhalten (z.B. Zweckbindung, Speicherfristen, datenschutzfreundliche Technikgestaltung). Die DSGVO selbst sieht explizit keine speziellen Mitbestimmungsrechte des Betriebsrates vor.

Allerdings ist auch hier auf die Informations- und Mitbestimmungsrechte zu verweisen sobald personenbezogene Daten von ArbeitnehmerInnen betroffen sind (§§ 89, 90, 91, 92, 96 und 96a ArbVG) . Also jeder einzelne Betrieb hat seinen Betriebsrat über Weitergabe personenbezogener ArbeitnehmerInnen-Daten in Drittländer im Vorhinein zu informieren (§ 91 ArbVG). Auf Verlangen des Betriebsrates sind entsprechende Beratungsgespräche zu führen und die Prüfung der Grundlagen für die Übermittlung und Verarbeitung zu ermöglichen (§§ 91, 92 ArbVG). Dabei muss festgestellt werden, ob Betriebsvereinbarungen abzuschließen sind (§§ 96 und 96a ArbVG).

Wann muss ein/e betriebliche/r Datenschutzbeauftragte/r eingeführt werden?

Wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Datenverarbeitung ist (z.B. Verkehrsüberwachung mit Kameras) bzw. wenn besondere Kategorie von personenbezogenen Daten verarbeitet werden (z.B. Gesundheitsdaten). Behörden haben immer einen zu bestellen. Viele Unternehmen  – vor allem international tätige – entscheiden sich im Zweifelsfall für die Ernennung eines/einer Datenschutzbeauftragten, da sie sich damit besser absichern können.

Was ist die Aufgabe des/ der betrieblichen Datenschutzbeauftragten?

Aufgabe des/der Datenschutzbeauftragten ist die Kontrolle der Einhaltung des DSGVO, Beratung des Managements, die Schulung und Information der ArbeitnehmerInnen, KundInnen und GeschäftspartnerInnen. Er/Sie ist Schnittstelle und AnsprechpartnerIn für die Datenschutzbehörde.

Kann der/ die betriebliche Datenschutzbeauftragte auch gleichzeitig der/ die IT-Sicherheitsbeauftragte eines Betriebes sein?

Grundsätzlich ja, im Gesetz ist das nicht verboten. Doch erscheint es wenig sinnvoll, da MitarbeiterInnen der IT in erster Linie für die Daten- und Netzsicherheit zuständig sind. So könnten in manchen Bereichen durchaus Interessenskonflikte entstehen.

Haftet der/ die Datenschutzbeauftragte falls Bußgelder verhängt werden?

Nein, da sie oder er nur berät, kontrolliert und schult, aber nicht entscheidet wie mit personenbezogene Daten umgegangen wird. Der/die betriebliche Datenschutzbeauftragte kann nicht bestimmen, wie das Unternehmen mit personenbezogenen Daten umgeht, nur beraten, schulen, und Ähnliches. Daher haftet er/sie auch nicht – außer er/sie missachtet seine/ihre Befugnisse, überschreitet sie, verletzt selbst Datenschutzbestimmungen, oder verhält sich sonst wie strafbar.

Gilt die DSGVO auch bei Akten in Papierform oder bei einzelnen Blättern im Hängeordner?

Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z.B. ein Personalverwaltungsakt) unterliegt der DSGVO (vgl. Art 2 Abs 1). Also müssen auch analog aufbewahrte Daten gemäß den Vorgaben der DSGVO behandelt werden. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen, der Ordner „Privat“ oder die lose Sammlung von Visitenkarten zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.

Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?

Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln oder „nur“ das Verhalten von Menschen in der EU beobachten, müssen sie die Grundprinzipien einhalten und die Grundrechte der Menschen wahren, egal ob sie im EU-Raum über eine reale Niederlassung verfügen oder nicht (siehe Art 3 und EG 22-25). Dieses neue Prinzip ist auch unter dem Titel „Marktortprinzip“ bekannt.

Gibt es in der DSGVO ein Privileg für Konzerne, damit diese Datentransfers einfacher durchführen können?

JEIN, es wurden mit der DSGVO mehrere Möglichkeiten innerhalb des Konzerns geschaffen, die den internationalen Datentransfer erleichtern sollen. Es gibt aber keine generelle „Freigabe“ für Konzerne, damit diese die personenbezogenen Daten der ArbeitnehmerInnen ohne Schranken durch die „Weltgeschichte“ schicken dürfen.

Wie ist das mit Datenverarbeitungen im Betriebsratsbüro?

Wer jetzt neugierig geworden ist und Betriebsrat oder Betriebsrätin ist und sich auf der Homepage der GPA-djp einloggt, kann zusätzlich Antworten zur Datenverarbeitung im Betriebsratsbüro bekommen.

Neue Datenschutzregeln in Kalifornien

Quelle: Bilderbox

Die DSGVO wird nun in anderen Teilen der Welt zum Vorbild genommen

In Europa herrschte in den letzten Wochen und Monaten große Aufregung über das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO), deren Entstehungsgeschichte unter anderem auf diesem Blog  intensiv begleitet wurde. So wurden Vorwürfe erhoben, die gesetzlichen Neuerungen, die die DSGVO mit sich brachte, würden große bürokratische Hürden insbesondere für kleine und mittelständische Unternehmen aufstellen.   die Vorteile für Einzelpersonen, die sich nun unmittelbar auf die Bestimmungen der Verordnung berufen und ihre Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten besser durchsetzen können, oftmals weniger diskutiert.

Für stärkeren Datenschutz wurde kampagnisiert…

Inzwischen scheinen die Inhalte der DSGVO jedoch bereits über das Gebiet der Europäischen Union hinaus auszustrahlen. Die Verordnung wird in anderen Teilen der Welt geschätzt und zum Vorbild für ähnliche legislative Maßnahmen genommen. So konstituierte sich in den vergangenen Monaten im US-Bundesstaat Kalifornien eine BürgerInneninitiative und machte sich für ein strengeres Datenschutzrecht auf bundesstaatlicher Ebene stark. Der Auslöser für die Beschäftigung mit dem Thema Datenschutz war der Initiatorin zufolge ein privates Gespräch mit einem Google-Mitarbeiter. Dieser habe eingeräumt, die Menschen würden sich wohl stärker um ihre Privatsphäre sorgen, wenn ihnen bekannt wäre, was Google alles über sie weiß.

Gefordert wurde insbesondere ein Widerspruchsrecht zum Verkauf von NutzerInnendaten durch Technologieunternehmen wie Google oder Facebook an Dritte sowie eine Verantwortlichkeit jener Unternehmen für den Fall von data breaches. Zudem sollte NutzerInnen gegenüber offengelegt werden, welche ihrer Daten verarbeitet und an wen sie verkauft werden. Entsprechend ablehnend reagierten die zu einem Teil auch in Kalifornien ansässigen Technologiekonzerne und starteten unter hohem finanziellem Aufwand eine Gegenkampagne.

…und dieser letztlich auch umgesetzt.

Unter dem Druck der Initiative wurde im vergangenen Juni tatsächlich der California Consumer Privacy Act of 2018  beschlossen und soll mit 2020 in Kraft treten. Mit einer im Vergleich zu den Forderungen der Initiative nicht unwesentlichen Änderung: Unternehmen müssen bloß Auskunft darüber geben, an welche „Kategorie“ von Unternehmen NutzerInnendaten weiterverkauft werden, die EmpfängerInnen der Daten müssen jedoch nicht benannt werden.

Zumindest im Sinne der KonsumentInnen werden ab 2020 in Kalifornien also die Regeln über den Datenschutz gestärkt. Zwar werden die hohen Standards, die von der EU-DSGVO vorgegeben werden, nicht erreicht und insbesondere auch nicht dieselbe Fülle an individuellen Rechten gewährt. Immerhin wird künftig aber auch in Kalifornien für Unternehmen, die mit dem Verkauf von NutzerInnendaten Geschäfte machen, der Rechtfertigungsdruck steigen.