Tag Archives: Artikel-29-Datenschutzgruppe

saftige Strafen für google

118366David gegen googliath

Die Datenschutzbehörden in Spanien und Frankreich haben den Konzern „Google“ verurteilt, weil er die nationalen Datenschutzgesetze nicht einhält. Einer der Hauptanklagepunkte ist die gegenseitige Datenweitergabe und Datenauswertung zwischen den verschiedenen google-Dienste (GoogleSearch, YouTube, Gmail, Picasa, GoogleDrive, GoogleDocs, GoogleMaps etc.). Außerdem hält google die Rechte der Betroffenen nicht ein, weil der Konzern ihnen Auskunft und auch Löschung verweigert.

2012 stellte die Artikel-29-Datenschutzgruppe bereits fest, dass die neuen Privacy-Bestimmungen von google gegen die europäische Datenschutz-Richtlinie verstoßen. Trotz Änderungsvorgaben an google seitens der Datenschutzgruppe, blieb der Konzern untätig. In sechs Ländern wurden daraufhin die Datenschutzbehörden aktiv und leiteten Mahnverfahren gegen google in die Wege. Am 19. 12. 2013 verhängte eine der sechs tätig gewordenen Behörden, die spanische Datenschutzbehörde (AEDP), eine Geldbuße von 900.000€. Am 3.1.2014 folgte die französische Behörde (CNIL) mit 150.000€, ihrem Höchstsatz.

Google wird Beschwerde einlegen.

den Speicherplatz nicht wert, auf dem sie abgelegt sind?

Die Angelegenheit zeigt deutlich, dass unternehmensinterne Vorgaben, Richtlinien, Privacy Statements, Codes of Conduct, Selbstverpflichtungen und Ähnliches wenig dazu beitragen, die Rechte Betroffenen tatsächlich zu garantieren. Meist sind sie mehr schöne Worte als nützliche Hilfsmittel um Persönlichkeitsrechte durchzusetzen.

Die Angelegenheit zeigt auch, dass sich zumindest einige EU-Länder in Sachen Datenschutz nicht mehr auf der Nase herumtanzen lassen – auch nicht von Internet-Riesen mit einer de-facto Monopolstellung am europäischen Markt.

Warum geht das in Österreich nicht?

Weil die staatliche Datenschutzbehörde (DSB) nicht für Strafverfahren zuständig ist. Sie kann Sachverhalte allenfalls an Gerichte erster Instanz weiterleiten, urteilt aber nicht selbst. Mit 2014 wurde im Zuge der Verwaltungsreform die österreichische Datenschutzbehörde umstrukturiert. Mit der bevorstehenden europäischen Grundverordnung für den Datenschutz wird es ebenfalls Änderungen geben. Mal sehen, wie die Befugnisse der Behörde dann aussehen.

google und der Datenschutz

 – geht das zusammen?

Der Internet-Riese Google – mitunter auch als DAS wichtigste Unternehmen der Welt betitelt – hat sich mit Anfang März neue Richtlinien verpasst. Mit dieser neuen privacy policy sollen Daten aus allen google-Anwendungen (z.B. gogglemaps, google+, googlenews, …) miteinander vernetzt werden.

Kostprobe gefällig?

Am 1. März 2012 haben wir unsere Datenschutzerklärung und unsere Nutzungsbedingungen geändert. Die mehr als 60 verschiedenen Datenschutzbestimmungen für die unterschiedlichen Google-Produkte wurden durch eine zentrale, kompaktere und verständlichere Version ersetzt. Wir möchten Ihnen eine unkomplizierte und intuitive Nutzung der Google-Produkte bieten.

Ganz intuitiv werden dann auch die persönlichen Angaben aus allen google-Anwendungen miteinander verknüpft – „maßgeschneidert“ sozusagen. Diese neuen „Datenschutzbestimmungen“ widersprechen laut einem Gutachten der französischen Datenschutzbehörde, das von der Artikel-29-Datenschutzgruppe angeregt wurde, der (noch) geltenden europäischen Datenschutzrichtlinie.

Auch das österreichische Datenschutzgesetz versteht unter „eindeutiger Zustimmungserklärung für den konkreten Einzelfall“ oder „Datensparsamkeit“ und „Daten dürfen nur für eindeutige Zwecke verwendet werden“ etwas anderes, als in den neuen google-Bestimmungen enthalten ist.

Die NGO „Qintessenz“ empfiehlt daher beim Googeln:

Fünf einfache Schritte zu mehr Privatsphäre :

1. Im Google Konto einloggen

2. Auf https://www.google.com/history gehen

3. „Webprotokoll ist aktiviert.“ auf „pausieren“ klicken

4. Auf „Gesamtes Webprotokoll entfernen“ klicken

5. Bestätigen „Webprotokoll wurde angehalten.“

Auch bei abgeschalteter Webhistory werden von Google weiter Daten über uns Nutzer gesammelt. Diese werden jedoch nicht mit anderen Diensten verknüpft und müssen nach 18 Monaten teilweise anonymisiert werden.

Auch wenn es eine Binsenweisheit ist, soll es an dieser Stelle nochmals ins Gedächtnis gerufen werden:

Auch andere Anbieter haben schöne Suchmaschinen. 

 

wo genau ist da jemand?

Satellitenantenne_der_Erdefunkanlage_Aflenz…und wer ist aller da?

Das möchten Apple, Google und andere Anbieter von Ortungssystemen gerne wissen – und vielleicht auch deinE ArbeitgeberIn. Mit den Informationen über Aufenthaltsorte können Bewegungsprofile  erstellt werden – auch wenn die NutzerInnen das Navigationstool gar nicht eingeschaltet haben, wie kürzlich bekannt geworden ist (Bericht Stefan Krempl).

DatenschÜtzerInnen sind damit nicht so ganz einverstanden.

 

Am 16. Mai hat daher die Artikel-29-Datenschutzgruppe, ein EU-Gremium bestehend aus DatenschutzexpertInnen der Mitgliedsländer, ein Arbeitspapier verabschiedet, in dem die geltenden Datenschutzbestimmungen bei der Verarbeitung von Geodaten genau beschrieben werden. In dem Papier sind folgende Punkte enthalten:

  • Die NutzerInnen von Ortungs- und Navigationsdiensten müssen erst um ihre Zustimmung gefragt werden, bevor ihre Daten verarbeitet werden dürfen.
  • Die Zustimmung soll nur für ein Jahr gültig sein und muss jederzeit widerrufen werden können.
  • Die Datenverarbeiter müssen klar stellen, wofür sie die individuellen Daten einer Person haben möchten.
  • Es muss die Möglichkeit eines „opting-out“ gegeben sein, falls jemand keine Nachverfolgung seiner/ihrer Geodaten wünscht.
  • Die NutzerInnen sollten einen sicheren Online-Zugang zu ihren Ortungsdaten haben und sie je nach Wunsch löschen können.

Die Erstellung von Bewegungsprofilen kann – je lückenloser desto eher – die Menschenwürde verletzen. Diese Tatsache hat nach dem österreichischen Recht die Folge, dass diese Dienstleistungen  – so sie im Arbeitsverhältnis genutzt werden – zustimmungspflichtig sind (§96  Z 3 Arbeitsverfassungsgesetz).

Daraus folgt: der Einsatz von GPS ist mit einer Betriebsvereinbarung zu regeln.

 

Der Nutzen der Navigationsgeräte ist sicherlich gegeben; Standortbestimmung inklusive brauchbarer Orte rundum (beispielsweise bei Auslandeinsätzen kann es praktisch sein, Restaurants in der Nähe zu finden) oder Routenplanung inklusive Rücksicht auf das allfällige Verkehrchaos. Gekoppelt mit anderen personenbezogenen Daten wird daraus allerdings eine sehr genaue Persönlichkeitsbeschreibung, die dem/der ArbeitgeberIn eher vorenthalten werden sollte. Welche Arztpraxis hast du aufgesucht? Welche Lokale besuchst du abends? Den Standort welcher FreundInnen hast du wann abgefragt?

Welche Punkte sollten in einer BV geregelt werden:

  • Darf das Gerät privat genutzt werden? – hoffentlich ja
  • Welche bei der Verwendung entstehende Daten sieht der/die ArbeitgeberIn? – hoffentlich keine, oder nur anonymisierte
  • Wie sieht’s aus, wenn unrichtige Daten auftauchen? – hoffentlich können die MitarbeiterInnen Daten richtig stellen
  • Wer haftet bei technischem Ausfall/Diebstahl/Reparatur? – hoffentlich der/die ArbeitgeberIn
  • Wer sieht die Position der NutzerInnen? – hoffentlich nur die, dies wirklich brauchen (z.B. zentrale Einsatzplanung bei Rettungsdiensten)
  • Wie lange werden die Daten gespeichert? – hoffentlich möglichst kurz
  • Wann darf das Gerät ausgeschaltet werden? – hoffentlich in der Freizeit und in besonderen Gefahrensituationen, wenn der/die NutzerIn durch das Gerät abgelenkt werden könnte
  • u.s.w.

Weitere Anregungen finden sich im oben erwähnten Arbeitspapier der Artikel-29-Datenschutzgruppe.

„Der Datenschutz muss von der Theorie in die Praxis übergehen“

Dieses Zitat stammt von dem unabhängigen Gremium, das die EU-Kommission in Datenschutz-Fragen berät, der „Artikel-29-Datenschutzgruppe“.  Das Gremium setzt sich dafür ein, dass die für Datenverarbeitungen Verantwortlichen stärker in die Pflicht genommen werden. Um dieses Ziel zu erreichen, hat die Artikel-29-Datenschutzgruppe im Juli 2010 eine Stellungnahme zum Grundsatz der Rechenschaftspflicht verfasst.

Darin plädieren sie dafür, dass die Datenverarbeiter ihr rechtmäßiges Schaffen gegenüber den jeweiligen nationalen Datenschutzkommission beweisen müssen. Das wäre ein wesentlicher Vorteil, weil es nicht vorrangig die Betroffenen wären, die ihnen entstandenen Schaden beweisen müssten, sondern die Firmen müssten unter Beweis stellen, dass sie sich an die gesetzlichen Vorgaben gehalten haben.

Vielleicht wird sich ja in der Novelle der EU-Richtlinie, die 2011 in Angriff genommen werden soll (siehe auch Artikel in diesem Blog), etwas von den Vorschlägen der Artikel-29-Datenschutzgruppe wiederfinden…

Im EU-Sande verlaufen?

Quelle: Bilderbox

Die letzte nennenswerte Richtlinie der EU, die das Thema Datenschutz im Arbeitsverhältnis zumindest berührt, wurde 2002 zur Datenverwendung bei der elektronischen Kommunikation verfasst. Die für den Datenschutz am Arbeitsplatz relevanteste Richtlinie stammt aus dem Jahre 1995 und widmet sich dem Schutz personenbezogener Daten bzw. der Freiheit im Datenverkehr . Seitdem herrscht Schweigen – obwohl schon in einer Empfehlung von 1989 erkannt wurde, dass die ungleiche Machtverteilung zwischen ArbeitnehmerInnen und ArbeitgeberInnen einen besonders sensiblen Umgang mit personenbezogenen Daten im Arbeitsverhältnis erfordert.

Zu den gesetzlichen Vorgaben der Kommission gibt es jede Menge Auslegungen, Empfehlungen und Arbeitspapiere von der „Artikel-29-Datenschutzgruppe„. Die rege Tätigkeit der Artikel-29-Gruppe, die aus JuristInnen der nationalen Datenschutzbehörden besteht, berührt mitunter auch das Thema ArbeitnehmerInnen-Datenschutz. Explizit zu dem Thema gibt es zwei Papiere – eine Empfehlung zu Beurteilungsdaten von Beschäftigten und eine Stellungnahme zur Verarbeitung personenbezogener Daten von Beschäftigten. Die Dokumente sind leider nicht rechtlich verbindlich –  sie können bei der Auslegung des Gesetzestextes herangezogen werden.

Die EU-Richtlinie von 1995 gibt für alle Mitgliedsstaaten vor, wie personenbezogene Daten verwendet werden dürfen. Die Richtlinie musste von jedem EU-Land umgesetzt werden, weshalb EU-weit davon ausgegangen wird, dass alle Mitgliedsstaaten das gleiche Datenschutzniveau haben. Die Umsetzung dieser EU-Richtlinie in nationale Gesetze sieht allerdings höchst uneinheitlich aus. Einige Länder haben den Datenschutz im Arbeitsleben in einem eigenen Gesetz geregelt (z.B. Finnland, Griechenland und Frankreich), andere nicht (z.B. Österreich). Einige Länder haben den betrieblichen Datenschutzbeauftragten eingeführt (z.B. Deutschland, Ungarn oder Schweden), andere nicht (z.B. Österreich). Manche Länder haben personell gut ausgestattete Datenschutzbehörden (z.B. Italien oder Tschechien), andere nicht (z.B. Österreich). Gemeinsame Anstrengungen für eine EU-weite Regelung sind bislang im Sande verlaufen.

Die UNI-Europa, der Gewerkschaftsverbund für die Branchen Dienstleistung und Kommunikation, hat nun einen neuerlichen Versuch unternommen, das Thema wieder auf die Agenda  zu bekommen. Im UNI Europa Datenschutz-Dokument vom Juni 2010 wird unter anderem einE verpflichtendeR betrieblicheR DatenschutzbeauftragteR gefordert und die Möglichkeit zur grenzüberschreitenden Sanktionierung von Verstößen gegen das Datenschutzgesetz eingemahnt.

Ihr Wort in EU-Kommissions Ohr…