Tag Archives: Beschäftigtendatenschutz

Was sie schon immer über die DSGVO wissen wollten

Toni Hegewald/pixelio.de

häufig gestellte Fragen zum Beschäftigten-Datenschutz

und die Antworten darauf

Seit 25.5.2018 ist die Europäische Datenschutzgrundverordnung in Kraft und gilt in der gesamten Europäischen Union. Dadurch erhält das Thema Beschäftigtendatenschutz großen Auftrieb. Der Umgang mit den personenbezogenen Daten von Beschäftigten (z.B. Personalakte, Vordienstzeiten, Heiratsurkunden, Gehalt, Fotos, etc.) wirft Fragen auf.

Wir haben die häufigsten Fragen, die bei unserer Beratungstätigkeit in den letzten Monaten gestellt wurden, für euch zusammengefasst.

Was bedeutet Beschäftigtendatenschutz?

Die DSGVO bestimmt erstmals, dass es überhaupt einen eigenen Beschäftigtendatenschutz gibt – bislang hatte nur Deutschland einen solchen rechtlich vorgesehen. Der Artikel 88 zur „Datenverarbeitung im Beschäftigungskontext“ stellt nun klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten (z.B. als KonsumentIn oder StaatsbürgerIn, etc.) verarbeitet werden. Im Artikel 88 der DSGVO ist nun festgehalten, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Die Themen, die sozialpartnerschaftlich geregelt werden können, umfassen: Regelung zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.

Was sind „sensible Daten“ (die nun in der DSGVO „besondere Kategorien personenbezogener Daten“ genannt werden), die besonders zu schützen sind?

Die „besonderen Kategorien personenbezogener Daten“ sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Besondere Kategorien sind: politische Meinung, Gewerkschaftszugehörigkeit, ethnische oder rassische Herkunft, Gesundheitsdaten, sexuelle Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen.

Im Allgemeinen ist es laut DSGVO verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen oder, weil ein Gesetz es vorschreibt. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat, oder eine gesetzliche Vorschrift es verlangt (z.B. Arbeits- und Sozialversicherungsrecht), oder aufgrund der öffentlichen Gesundheitsvorsorge. Dazu gehören auch die notwendigen arbeitsmedizinischen Daten.

Was ist das Grundrecht auf Datenschutz?

Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten, so wie zum Beispiel auch das Recht auf die freie Meinungsäußerung, oder das Recht auf Erwerbsfreiheit, oder das Verbot von Sklaverei und Folter. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person an wen weitergeben werden.

Was sind eigentlich die Ziele der DSGVO?

Mit der DSGVO sollte die alte EU-Richtlinie zum Datenschutz von 1995 aktualisiert werden. In der DSGVO sollen die individuellen Grundrechte der Menschen gewahrt werden und zugleich soll die DSGVO den freien Datentransfer für Unternehmen innerhalb der EU sicherstellen. Man kann sich vorstellen, dass das ein breites Spektrum an Anliegen und Interessen umfasst und daher ein ziemlicher „Spagat“ gemacht werden musste.

Was bedeutet das „Marktortprinzip“?

Dieses legt fest, dass jede Geschäftstätigkeit auf dem Territorium der EU der DSVGO unterliegt. Dies hat zur Folge, dass auch nicht in der EU ansässige AnbieterInnen von Apps oder digitalen Dienstleistungen sich an die DSVGO halten müssen. Daher müssen Nicht-EU Unternehmen, die in der EU tätig sind, eine/n VertreterIn benennen, der/die AnsprechpartnerIn für die nationale Datenschutzbehörde ist. Die neue DSGVO ist an das EU-weite Wettbewerbsrecht angelehnt und es gilt daher das Marktortprinzip.

Was sind die Grundprinzipien der DSVGO?

Jede Datenverwendung muss einen rechtmäßigen Zweck verfolgen. Die Zweckbindung der personenbezogenen Daten ergibt sich aufgrund gesetzlicher, kollektivvertraglicher oder privatrechtlicher Vorschriften bzw. Verträge (Rechtmäßigkeit). Schreibt zum Beispiel der Kollektivvertrag ein Jubiläumsgeld vor, so muss dem BR das Eintrittsdatum, den Namen und das Monatsgehalt des betroffenen Kollegen/der betroffenen Kollegin bekannt sein, weil sonst eine Auszahlungskontrolle für den BR nicht möglich wäre.

Dabei ist zu beachten, dass ausschließlich für den Zweck notwendige personenbezogene Daten verwendet werden (Sparsamkeitsprinzip). Bezogen auf das Jubiläumsgeld wird der BR wie oben angeführt den Namen, das Eintrittsdatum sowie das Monatsgehalt der betroffenen Person wissen müssen.

Erlischt der Zweck für den die notwendigen personenbezogenen Daten benötigt wurden, so sind die Daten ebenfalls zu löschen (Datenminimierung), außer man muss sie aus gesetzlichen Vorschriften noch aufbewahren (z.B. Steuerrecht). Damit der BR überprüfen kann, ob der AN das jeweilige zustehende Jubiläumsgeld erhalten hat, wird er die dafür notwendigen Daten solange aufbewahren müssen, bis der Anspruch auf Jubiläumsgeld erloschen ist. Verlangt der AN Auskunft, über welche und zu welchem Zweck seine Daten verwendet werden, so muss nun auch die vorgesehene Speicherdauer angegeben werden (Transparenz). Dabei ist immer auf die Richtigkeit der verwendeten Daten zu achten.

Auch muss der Verantwortliche (= meist der/die ArbeitgeberIn) nachweisen können, dass sämtliche Grundsätze bei der Datenverwendung eingehalten werden (Rechenschaftspflicht).

Müssen ArbeitnehmerInnen ihnen von dem/der ArbeitgeberIn vorgelegte „Datenschutz- und Geheimhaltungserklärungen“ unterschreiben?

NEIN. Dies ist datenschutzrechtlich nicht erforderlich. Die hier geforderte Geheimhaltung und Einhaltung des Datenschutzes ergibt sich ohnehin aus dem Arbeitsverhältnis und der Loyalität, die ArbeitnehmerInnen den ArbeitgeberInnen schulden.

Beschäftigte werden häufig mit „Datenschutzerklärungen“ (§ 6 DSG 2018) konfrontiert, die Konventionalstrafen bei Nichteinhaltung des Datenschutzes androhen. Das zu unterschreiben führt zu einer Änderung des Einzelvertrages. Dieser Passus sollte also jedenfalls gestrichen werden. Im Zweifelsfall bei uns in der GPA-djp beraten lassen.

Einer Unterschrift im Sinne von „ich habe die Belehrung gelesen und halte personenbezogene Daten aus dem Arbeitsverhältnis geheim“ steht nichts im Wege. Das ist dann eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen, die ohnehin aus der Loyalitätspflicht im Arbeitsverhältnis entsteht. Auch die Zustimmung zu einer Datenweitergabe an den/die ArbeitgeberIn betreffend personenbezogener Daten, die zur Abwicklung des Dienstverhältnisses erforderlich sind, ist wohl nicht problematisch.

Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?

Nein, sie müssen nur der neuen DSGVO angepasst werden. Hier ist vor allem darauf zu achten, dass die Verweise auf gesetzliche Vorschriften noch richtig sind. Wenn beispielsweise in einer BV bereits von einem/r betrieblichen Datenschutzbeauftragte/n die Rede war, muss diese Regelung jetzt überprüft werden, ob nicht in der DSGVO vielleicht etwas Anderes steht. Auch allfällige Verweise auf den Gesetzestext des alten Österreichischen Datenschutzgesetzes (DSG 2000) müssen dem neuen Datenschutzgesetz 2018 angepasst werden. Die Verpflichtungen Betriebsvereinbarungen gemäß Arbeitsverfassungsgesetz §§ 96-97 abzuschließen, bleiben wie sie sind.

Was hat es mit der Datenschutz-Folgenabschätzung auf sich?

Diese muss erfolgen, wenn aus der Datenverwendung durch den Verantwortlichen ein großes Risiko für Eingriffe in die Grundfreiheiten der Betroffenen entsteht, wie z.B. beim permanenten GPS-Tracking oder der Videoüberwachung der ArbeitnehmerInnen. Ebenfalls notwendig ist eine solche Folgenabschätzung bei der systematischen und umfassenden Bewertung persönlicher Aspekte von Personen (z.B. profiling), oder der Verwendung von besonderer Datenkategorien.

Welche Mitspracherechte hat der Betriebsrat bei der Folgenabschätzung?

Grundsätzlich hat der/die ArbeitgeberIn die Pflicht im Sinne des § 91 Abs 2 ArbVG den Betriebsrat zu informieren, welche Arten von personenbezogene ArbeitnehmerInnendaten er aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht. Auf Verlangen des Betriebsrates kann dieser die Grundlagen der Verarbeitung und Übermittlung der Daten überprüfen. Daher muss bei einer Folgenabschätzung der Betriebsrat von Anfang an informiert und einbezogen werden.

Außerdem steht in der DSGVO, dass bei der Folgenabschätzung „der Standpunkt der Betroffenen oder ihrer Vertreter“ einzuholen ist. Also muss wohl auch der Betriebsrat mit an Bord genommen werden.

Was ist neu bei Datentransfer in Drittstaaten und welche Rechte hat der Betriebsrat/ die Betriebsrätin?

Da für alle Mitgliedsstaaten der EU die DSGVO, so wie sie ist, anzuwenden ist (sie muss also nur in bestimmten Angelegenheiten noch zusätzlich in nationalstaatliches Recht umgesetzt werden, wie z.B. bei Datenverarbeitung im Beschäftigungskontext, den Aufgaben der Datenschutzbehörden oder der Bestellung von betrieblichen Datenschutzbeauftragten), haben alle EU-Mitgliedsstaaten das gleiche Datenschutzniveau und bedarf es keiner zusätzlichen besonderen Regelungen für Datentransfer innerhalb der EU.

Bei Datentransfer außerhalb der EU müssen zusätzlich rechtliche Maßnahmen getroffen werden, denn Drittstaaten müssen erst „beweisen“, dass personenbezogene Daten bei ihnen genauso gut geschützt sind, wie innerhalb der EU.

Die DSGVO enthält einige rechtliche Möglichkeiten. Manche davon gibt es schon länger (z.B. Standardvertragsklauseln oder einen Angemessenheitsbeschluss, wie er für alle Länder des EWR-Raumes sowie Israel, Chile gegeben ist) andere sind neu hinzugekommen (z.B. Zertifizierungen). Für Datentransfer in die USA können sich dort ansässige Unternehmen dem so genannten „Privacy Shield“ unterwerfen (Auf der Seite des US-amerikanischen Handelsministeriums https://www.privacyshield.gov/list kann man diese Firmen aufgelistet finden).

Alle diese Transfermöglichkeiten in Dritt-Staaten folgen aber strengen Auflagen und müssen von der nationalen Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt worden sein.

Bei den Mitspracherechten des Betriebsrates in diesem Fall sei auch hier auf die Informationsrechte gemäß § 91 Abs 2 ArbVG verwiesen. Zusätzlich kann der Betriebsrat, wenn durch den Datentransfer personenbezogene Daten oder besondere Kategorien personenbezogener Daten von ArbeitnehmerInnen betroffen sind, den Abschluss einer Betriebsvereinbarung im Sinne des § 96a ArbVG verlangen. Solange eine solche Betriebsvereinbarung nicht abgeschlossen ist, können die Daten nicht transferiert werden (außer die Schlichtungsstelle des Arbeits- und Sozialgerichts hat nach deren Anrufung durch den Arbeitgeber/ die Arbeitgeberin ihre Zustimmung erteilt).

Was muss beachtet werden bei der Nutzung von Firmen eigenen Handys und Computern?

Die Geschäftsführung kann einseitig Regeln zum allgemeinen Datenschutz im Betrieb festlegen. (Wenn die Datenschutzbehörde diese genehmigt, können sie auch als Grundlage für Datentransfer in Dritt-Staaten dienen.) Diese Datenschutzvorschriften können auch Regelungen bezüglich der privaten Nutzung von Handys und Laptops beinhalten. Trotzdem muss mit dem Betriebsrat eine Betriebsvereinbarung (BV) über die Nutzung von Diensthandys und Laptops abgeschlossen werden (§ 96a ArbVG) . Es ist ratsam auch die private Nutzung der IKT-Geräte in einer BV zu regeln. Es sollte klar vereinbart sein, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte seitens des Unternehmens bestehen. Die GPA-djp bietet Muster-Vereinbarungen und Beratung durch den/die betriebsbetreuende/n Regionalsekretär/in auch zu diesem Thema an.

Welche Mitspracherechte hat der Betriebsrat bei Branchen- oder konzernweiten Verhaltensrichtlinien?

Konzerne oder ganze Branchen können sich auf einheitliche Datenvorschriften einigen und von der nationalen Datenschutzbehörde genehmigen lassen. Solche Vorschriften sind dann auch Rechtsgrundlage für Datentransfers in Nicht-EU-Länder, wenn also zum Beispiel Daten von MitarbeiterInnen an die Konzernzentrale in Florida oder in der Ukraine geschickt werden. Diese Vereinbarungen müssten natürlich die Grundprinzipien der DSGVO beinhalten (z.B. Zweckbindung, Speicherfristen, datenschutzfreundliche Technikgestaltung). Die DSGVO selbst sieht explizit keine speziellen Mitbestimmungsrechte des Betriebsrates vor.

Allerdings ist auch hier auf die Informations- und Mitbestimmungsrechte zu verweisen sobald personenbezogene Daten von ArbeitnehmerInnen betroffen sind (§§ 89, 90, 91, 92, 96 und 96a ArbVG) . Also jeder einzelne Betrieb hat seinen Betriebsrat über Weitergabe personenbezogener ArbeitnehmerInnen-Daten in Drittländer im Vorhinein zu informieren (§ 91 ArbVG). Auf Verlangen des Betriebsrates sind entsprechende Beratungsgespräche zu führen und die Prüfung der Grundlagen für die Übermittlung und Verarbeitung zu ermöglichen (§§ 91, 92 ArbVG). Dabei muss festgestellt werden, ob Betriebsvereinbarungen abzuschließen sind (§§ 96 und 96a ArbVG).

Wann muss ein/e betriebliche/r Datenschutzbeauftragte/r eingeführt werden?

Wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Datenverarbeitung ist (z.B. Verkehrsüberwachung mit Kameras) bzw. wenn besondere Kategorie von personenbezogenen Daten verarbeitet werden (z.B. Gesundheitsdaten). Behörden haben immer einen zu bestellen. Viele Unternehmen  – vor allem international tätige – entscheiden sich im Zweifelsfall für die Ernennung eines/einer Datenschutzbeauftragten, da sie sich damit besser absichern können.

Was ist die Aufgabe des/ der betrieblichen Datenschutzbeauftragten?

Aufgabe des/der Datenschutzbeauftragten ist die Kontrolle der Einhaltung des DSGVO, Beratung des Managements, die Schulung und Information der ArbeitnehmerInnen, KundInnen und GeschäftspartnerInnen. Er/Sie ist Schnittstelle und AnsprechpartnerIn für die Datenschutzbehörde.

Kann der/ die betriebliche Datenschutzbeauftragte auch gleichzeitig der/ die IT-Sicherheitsbeauftragte eines Betriebes sein?

Grundsätzlich ja, im Gesetz ist das nicht verboten. Doch erscheint es wenig sinnvoll, da MitarbeiterInnen der IT in erster Linie für die Daten- und Netzsicherheit zuständig sind. So könnten in manchen Bereichen durchaus Interessenskonflikte entstehen.

Haftet der/ die Datenschutzbeauftragte falls Bußgelder verhängt werden?

Nein, da sie oder er nur berät, kontrolliert und schult, aber nicht entscheidet wie mit personenbezogene Daten umgegangen wird. Der/die betriebliche Datenschutzbeauftragte kann nicht bestimmen, wie das Unternehmen mit personenbezogenen Daten umgeht, nur beraten, schulen, und Ähnliches. Daher haftet er/sie auch nicht – außer er/sie missachtet seine/ihre Befugnisse, überschreitet sie, verletzt selbst Datenschutzbestimmungen, oder verhält sich sonst wie strafbar.

Gilt die DSGVO auch bei Akten in Papierform oder bei einzelnen Blättern im Hängeordner?

Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z.B. ein Personalverwaltungsakt) unterliegt der DSGVO (vgl. Art 2 Abs 1). Also müssen auch analog aufbewahrte Daten gemäß den Vorgaben der DSGVO behandelt werden. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen, der Ordner „Privat“ oder die lose Sammlung von Visitenkarten zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.

Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?

Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln oder „nur“ das Verhalten von Menschen in der EU beobachten, müssen sie die Grundprinzipien einhalten und die Grundrechte der Menschen wahren, egal ob sie im EU-Raum über eine reale Niederlassung verfügen oder nicht (siehe Art 3 und EG 22-25). Dieses neue Prinzip ist auch unter dem Titel „Marktortprinzip“ bekannt.

Gibt es in der DSGVO ein Privileg für Konzerne, damit diese Datentransfers einfacher durchführen können?

JEIN, es wurden mit der DSGVO mehrere Möglichkeiten innerhalb des Konzerns geschaffen, die den internationalen Datentransfer erleichtern sollen. Es gibt aber keine generelle „Freigabe“ für Konzerne, damit diese die personenbezogenen Daten der ArbeitnehmerInnen ohne Schranken durch die „Weltgeschichte“ schicken dürfen.

Wie ist das mit Datenverarbeitungen im Betriebsratsbüro?

Wer jetzt neugierig geworden ist und Betriebsrat oder Betriebsrätin ist und sich auf der Homepage der GPA-djp einloggt, kann zusätzlich Antworten zur Datenverarbeitung im Betriebsratsbüro bekommen.

Die Datenschutzgrundverordnung aus Sicht der Arbeitnehmer_innen

Die Europäische Datenschutzgrundverordnung aus Sicht der ArbeitnehmerInnen

Broschüre der GPA-djp völlig neu  überarbeitet

Nach einer vierjährigen Diskussionsphase in den EU-Gremien und einer Vorbereitungsphase von zwei Jahren für die EU-Mitgliedsstaaten ist ab Mai 2018 die Datenschutzgrundverordnung (DSGVO) gültig. Mit 25.5. geht’s also los – dann gibt es für alle EU-Mitgliedsländer ein – weitgehend – einheitliches Datenschutzregime.

Die tägliche Beratungsarbeit der Abteilung Arbeit & Technik der GPA-djp zeigt, dass der Schutz der Privatsphäre ein immer wichtigeres Gut der Arbeitnehmer und Arbeitnehmerinnen wird. Betriebsrätinnen und Betriebsräte sind zunehmend darum bemüht, dieses Gut effektiv am Arbeitsplatz zu schützen. Damit man sie hat wenn man sie braucht, wurde daher in der vorliegenden Broschüre zusammengefasst, was an der DSGVO innerbetrieblich von Belang ist. Wer wissen möchte, was es mit dem neuen Gesetz auf sich hat und was das für die betriebliche Praxis bedeutet, für diese Leserinnen eignet sich die Broschüre. Es sind kurz und knapp die wichtigsten Inhalte der DSGVO dargestellt, die häufigsten Fragen aus Sicht von Betriebsrätinnen und Betriebsräten beantwortet und praktischer Weise ist im Anhang der Gesetzestext widergegeben, sodass man ihn immer als Hilfs- und „Beweismittel“ zur Hand hat.

Einige Elemente in der DSGVO sind tatsächlich neu, einige sind adaptiert und aktualisiert worden und Einiges ist beim Alten geblieben. Was man im Betriebsratsgremium beachten sollte, was es mit dem neuen „Marktortprinzip“ auf sich hat, wie die technischen Aspekte berücksichtigt werden sollten, wie die Betroffenenrechte aussehen, das Alles und noch viel mehr verrät die Broschüre.

Soviel sei schon gespoilert:

  • auch Firmen außerhalb der EU sind nicht ganz aus dem Schneider, wenn sie innerhalb der EU ihre Software/ Apps unter die Leute bringen wollen;
  • die technischen Einstellungen bei Software/ Apps/ Personalverwaltung müssen den Schutz der Privatsphäre für die Nutzer_innen ermöglichen
  • die Betroffenen müssen Auskunft erhalten (das ist nichts Neues) und ihre Daten auch zu anderen Plattformen mitnehmen können (das ist neu)

Wer Mitglied ist und mehr wissen will, erhält die Broschüre hier zum Download oder bestellt sie im Servicecenter der GPA-djp.

Internationale Komplikationen im betrieblichen Datenschutz

Ich lasse mich nicht hetzen

aus dem Alltag einer datenschützenden Betriebsrätin

die Betriebsrätin Didem Strebinger von der Austrian Airlines AG im Interview

Fritsch Clara: In eurem internationalen Unternehmen mit einer Mutter in Deutschland und einer Tochter in Frankreich konntet ihr kürzlich einen unerwünschten Datentransfer erfolgreich stoppen. Wie ist es dazu gekommen?

Didem Strebinger: Das war so: es sollte ein neues Programm ausgerollt werden. Wir wurden allgemein informiert über dieses „PROFILE“-Programm. Die HR teilte uns mit, dass dafür die Zustimmung des Betriebsrates in Österreich rechtlich nicht notwendig sei, da die Zustimmung der Personalvertretung bereits aus Frankreich vorliege. Wir haben erwidert, dass ohne Betriebsvereinbarung in Österreich diese Vorgehensweise nicht zulässig ist. Und dann wurden unsere personenbezogenen Daten an die Konzernmutter in Deutschland übermittelt. Wir sind da ganz zufällig draufgekommen.

FC: Wie habt ihr darauf reagiert?

DS: Zuerst einmal haben wir genauere Informationen verlangt. Da kam dann ein – naja sagen wir mal – „einigermaßen aussagekräftiges“ Email aus der HR, in dem dargestellt wurde, um welche Daten es sich überhaupt handelt, wer die Daten sieht, woher die Daten stammen, und so weiter. Wozu das Ganze Programm eigentlich gut ist, ging daraus nicht genau hervor. Unter den personenbezogenen Daten waren Angaben dabei zu Joberfahrung, über zusätzliche Ausbildungen, Sprachkenntnisse, und „Mobilität“ – was auch immer das bedeuten sollte. Der Betriebsrat wurde überhaupt nicht gefragt, ob er dieser Datenverarbeitung zustimmt.

In dem Email von der HR wurde auch geschrieben: „Daten werden zur Zeit nicht im Stellenbesetzungsprozess verwendet“. Das ist mir zu wenig Auskunft. Wozu werden sie dann verwendet? Was ist in Zukunft? Also haben wir den Datentransfer gestoppt und eine Betriebsvereinbarung für alle betroffenen Unternehmensteile verlangt. Das hat die HR natürlich nicht gefreut. Aber es sind ja mehrere Konzerngesellschaften von dem Datentransfer betroffen.

FC: Ich möchte kurz dein Antwort-Email zitieren, weil es – wie ich finde sehr treffend – ein grundlegendes Problem anspricht: nämlich wer die Verantwortung trägt: „Wenn das Unternehmen ohne entsprechende Regelungen hinsichtlich personenbezogenen Daten Filestransfers anstösst, dann sollte das im Interesse des Unternehmens liegen, diese ab Bekanntwerden sofort zu stoppen. (… Es…) liegt die Verantwortung bei Ihnen und so auch, die Entscheidung, wie Sie bzw. Ihr Bereich damit umgehen möchte.“

DS: Ja, wir Betriebsräte lassen uns oft viel zu schnell unter Druck setzten. Sei es Termindruck oder Druck zu einer Unterschrift oder Druck, einer Aktion des Managements zuzustimmen. Das muss nicht sein. Es ist die Unternehmensleitung zuständig, dass die Rahmenbedingungen eingehalten werden (also eine Betriebsvereinbarung mit uns verhandelt wird) und wenn sie das nicht tun, dürfen sie die Daten nicht weiterleiten. So einfach ist es in Wirklichkeit.

FC: Wie ist derzeit der Stand der Dinge in der Angelegenheit?

DS: Nun ja, die ersten allgemeinen Gespräche zu der Software gab es im April. Unser Stop kam im Oktober. Das Management hat uns im November einen BV-Entwurf vorgelegt und den prüfen wir jetzt gerade – mit Hilfe der GPA-djp.

FC: Kannst du drei Tipps geben, wie man es im Betrieb schafft, die Privatsphäre der ArbeitnehmerInnen zu schützen?

DS: Erstens; Sei aufmerksam, was sich im Unternehmen tut.

Zweitens; Koordiniere dich mit den BetriebsrätInnen aus den anderen Unternehmensteilen, die in einer ähnlichen Situation sind

Und drittens; Lass dich nicht hetzen!

FC: Das sind gute Tipps fürs neue Jahr. Danke für das Interview.

digitale Grundrechte

wo gibt’s denn so was?

in der EU – vielleicht, hoffentlich bald

Warum geht’s hier in letzter Zeit eigentlich ständig um Europa?

Weil Daten grenzüberschreitend unterwegs sind, weil mit europaweit einheitlichen Grundsätzen und Regelungen Datenverwendungen einfacher rechtlich zu beurteilen und damit einzuschränken sind und weil ein einheitlicher Wirtschaftsraum auch einen einheitlichen Sozial- und Schutzraum verlangt.

Einige EU-BürgerInnen haben sich daher in den letzten Monaten mit Menschenrechten im digitalen Zeitalter auseinandergesetzt und stellten am 30. November die Charta der digitalen Grundrechte der Öffentlichkeit vor. Die Charta beinhaltet Grundsätze, wie im Zeitalter von Big Data, Robotik, künstlicher Intelligenz und Massenüberwachung das Menschenrecht auf Datenschutz zu erhalten ist. Hier ein kleiner Auszug:

  •  Die Verwendung von automatisierten Verfahren darf nicht dazu führen, dass Menschen vom Zugang zu Gütern, Dienstleistungen oder von der Teilhabe am gesellschaftlichen Leben ausgeschlossen werden. Dies gilt insbesondere im Bereich Gesundheit, Schutz vor elementaren Lebensrisiken, Recht auf Arbeit, Recht auf Wohnen, Recht auf Bewegungsfreiheit und bei Justiz und Polizei.
  • Eine anlasslose Massenüberwachung findet nicht statt.
  • Eine Zensur findet nicht statt.
  • Profiling durch staatliche Stellen oder Private ist nur auf gesetzlicher Grundlage zulässig.
  • Die Kriterien automatisierter Entscheidungen sind offenzulegen.
  • Ethisch-normative Entscheidungen können nur von Menschen getroffen werden.
  • Jeder hat das Recht, über seine Daten selbst zu bestimmen.
  • Jeder hat ein Recht auf Verschlüsselung seiner Daten.
  • Das Recht, an Wahlen und Abstimmungen teilzunehmen, darf nicht an den Zugang zu digitalen Medien gebunden werden.
  • Jeder hat das Recht auf eine nicht-personalisierte Nutzung digitaler Angebote.

Die Charta verdient sich viele viele Unterzeichnerinnen – auch wenn das Kapitel zum ThemaArbeitausbaufähig ist. Hier würde ein explizites Verbot heimlicher Überwachung ebenso wie ein Verbot bezüglich dem Erstellen „Schwarzer Listen“ oder der übermäßigen Leistungs- und Verhaltenskontrolle die digitale Grundrechte-Charta noch wesentlich aufwerten.

Ein wenig schräg ist auch, dass gerade eine Stiftung der Zeitung „die Zeit“ hier federführend an der Erarbeitung der Charta beteiligt ist, wo doch auf ihrer online-Variante fleißig weitergeleitet wird (siehe AK: „kommerzielle digitale Überwachung im Alltag„, S. 64.).

Mitmachen Dennoch erwünscht

Beteiligen an der Forderung, die Charta der digitalen Grundrechte in EU-Recht aufzunehmen, kann sich jeder und jede ab jetzt und hier.

Einige der Formulieren finden sich bereits in der Europäischen Datenschutzgrundverordnung , die ja im Mai 2018 in Kraft tritt; damit werden europaweit einheitliche Regeln geschaffen (zB muss eine Einwilligung zur Datenverwendung eindeutig erfolgen und die Betroffenen müssen informiert werden).

Datenschutz am Arbeitsplatz kann man regeln – muss aber nicht

Für den Beschäftigten-Datenschutz kann sich jedes EU-Land eigene, spezielle gesetzliche Vorgaben schaffen (sog. Öffnungsklausel). Kollektivverträge und Betriebsvereinbarungen bleiben gültig und können auch den Beschäftigten-Datenschutz regeln.

Die deutsche Bundesministerin für Arbeit und Soziales, Andrea Nahles, kündigt im „Weißbuch Arbeit 4.0“ einige Vorhaben zum Beschäftigtendatenschutz an:

  • Erhalt der Regelungen zum betrieblichen Datenschutz,
  • Datenschutz-Index für Betriebe
  • interdisziplinärer ExpertInnen-Beirat aus ArbeitsrechtlerInnen, ArbeitsmedizinerInnen, ITlerInnen, betrieblichen Praktikerinnen und SozialpartnerInnen, der den Bestand betrieblicher DS-Regelungen aufnimmt, regelmäßig evaluiert und an die technologischen Entwicklungen anpasst.

Sobald sich etwas Konkretes in Österreich dazu tun, wird in diesem Blog berichtet; versprochen!