Tag Archives: betriebliche Mitbestimmung

Umsetzung der DSGVO in Betrieb und Betriebsrat

Quelle: Bilderbox

„Wie weit seid ihr mit der DSGVO?“

Die heurige BAT-Klausur  stand unter dem Motto „Willkommen, Datenschutz-Grundverordnung!“. Die BetriebsrätInnen und Mitglieder des BAT zogen Bilanz über den Stand der Umsetzung der DSGVO in ihren Betrieben und ihren Betriebsräten.

Die BetriebsrätInnen sollten sich dabei Gedanken über zwei Fragen machen. Zunächst sollten sie den Stand der Umsetzung der DSGVO innerhalb ihres Unternehmens und ihrer Betriebsratskörperschaft insgesamt einschätzen. In der Folge Sollten sie konkrete Umsetzungsschritte bewerten und analysieren, ob diese bereits erfolgt oder noch ausständig sind.  Es zeigte sich insgesamt ein differenziertes Bild. In einigen Betrieben stecken die datenschutzrechtlichen Angelegenheiten in den „Kinderschuhen“, einige habe die ersten Schritte bereits gewagt und wieder andere zählen sich zu den „Frontrunnern“, die schon seit Jahren an einer Umstellung ihrer Datenschutz-Praxis arbeiten.

Verschiedenes wurde in Sachen DSGVO in Angriff genommen…

Konkrete Umsetzungsschritte wurden in vielen Unternehmen, wo BAT-Mitglieder arbeiten, von ArbeitgeberIn und Betriebsrat bereits erfüllt. So ist beispielsweise bereits in den allermeisten Betrieben einE DatenschutzbeauftragteR bestellt worden. Verarbeitungsverzeichnisse sind in beinahe jedem Unternehmen fertig und vollständig. Damit sind zwei wichtige Neuerungen der DSGVO bereits in den meisten Fällen umgesetzt .

…und was kann der Betriebsrat – gemeinsam mit dem/der ArbeitgeberIn – machen?

In vielen Betrieben wurden – je nach Arbeitsaufgabe gestaltete – Schulungen für die KollegInnen abgehalten, wie mit personenbezogenen Daten umzugehen ist. In vielen Unternehmen hatte man sich bislang wenig Gedanken zu Datenlöschung gemacht. Also wurden Löschkonzepte wurde entweder überarbeitet oder neu eingeführt. Datenweitergaben an Dritte, aber auch innerhalb des Unternehmens, wurden überprüft, ob sie im Sinne der DSGVO stattfinden; das heißt Daten dürfen nur weitergegeben werden, wenn das zweckgebunden, sparsam und mit Information der Betroffenen geschieht. Ebenso ein breites Thema in der Umsetzung waren die Zustimmungen der Beschäftigten zu Datenanwendungen. Viele Arbeitgeber verlangen nun – eher unnötiger Weise – eigene Zustimmungs- und Geheimhaltungserklärungen von den Beschäftigten, um sich abzusichern. Betriebsräte haben diese Vorgehensweise hinterfragt.

Kleine Betriebsratskörperschaften sind mit ihren betriebsrätlichen Datenanwendungen mitunter in die Verarbeitungsverzeichnisse des/der ArbeitgeberIn mit einbezogen. In den meisten Betriebsräten wurde ein konkretes Datenschutz-Prozedere entwickelt und Verantwortliche definiert, die die Einhaltung des Datenschutzrechts im Betriebsratsbüro sicherstellen sollen. Es wurden die Beschäftigten im Intranet/ per Email/ auf einem geschützten Bereich der Homepage über die innerbetrieblichen datenschutzrechtlichen Regelungen informiert und aufgeklärt. Die Berechtigungskonzepte für Datenzugriffe wurden in vielen Betrieben überarbeitet; also die Frage gestellt: wer hat wo und unter welchen Umständen Zugang zu personenbezogenen Daten der MitarbeiterInnen und ist das zweckmäßig? Und last – but not least – wurden bestehende Betriebsvereinbarungen daraufhin überprüft, ob sie mit der DSGVO übereinstimmen und in vielen Fällen adaptiert.

Nicht alle Schritte sind schon abgeschlossen, nicht alle Schritte sind für alle Betriebe relevant und passend, aber es existieren jedenfalls konkrete Lern-Schritte in Richtung eines gelebten Beschäftigtendatenschutzes. BetriebsrätInnen beschäftigen sich also intensiv mit der Umsetzung der Bestimmungen der DSGVO und befinden sich auf einem guten Weg – wir werden sie dabei weiterhin begleiten.

Willkommen Datenschutzgrundverordnung

wie sieht die betriebliche Umsetzung für Betriebsräte aus?

ein Rückblick mit zahlreichen Informationsmaterialien auf eine gelungene Veranstaltung

Fünf Jahre hat es gedauert, bis die Europäische Datenschutzgrundverordnung (DSGVO) fertig war. Zwei Jahre hatte sie Zeit zu reifen bzw. die EU-Länder hatten Zeit, sich auf die DSGVO vorzubereiten. Am 25.5.2018 – also vor knapp zwei Wochen – ist sie nun zum Leben erweckt worden.

Wäre die DSGVO ein Nahrungs- oder Genussmittel, könnte man aufgrund von Werdegang und Reifegrad auf ein sehr hochklassiges Produkt schließen. In punkto Betroffenenrechte und Transparenz kann man ihr dieses hohe Gütesiegel wohl auch zugestehen. In anderen Punkten erzielt sie eher weniger gute Wertungen. Ob sie insgesamt gut verdaulich ist, wird erst die Zukunft weisen.

Die GPA-djp hat sich in Kooperation mit der AK Wien und der vida, am 30.5.2018 angesehen, wie die DSGVO in der betrieblichen Praxis umgesetzt wird. Wer sich die Fotos zur Veranstaltung ansehen möchte, klickt hier.

Eröffnung und Keynotes

Nachdem Renate Blauensteiner (Vizepräsidentin der Arbeiterkammer Wien) die zahlreich Gekommenen begrüßt und auf die Digitalisierung als neue Herausforderung eingegangen war, eröffnete Agnes Streissler-Führer (Geschäftsführungsmitglied der GPA-djp) die Veranstaltung. Eine Metapher von ihr begleitete uns durch den Tag: „Die DSGVO ist die Straßenverkehrsordnung der digitalen Welt. Es geht darum, gemeinsam Verkehrsregeln weiterzuentwickeln, damit es nicht zu Unfällen kommt und der Verkehr flüssig bleibt. “ Immer wieder kam man auf diese Metapher zurück: „wenn sich nur einer an die Verkehrsregeln hält und alle anderen nicht, kann es nicht funktionieren“ oder „man muss die Regeln von Zeit zu Zeit anpassen“ waren Statements, die in den Pausen zu hören waren.

Andreas Krisch (Geschäftsführer der Datenschutzagentur , ausgebildeter Datenschutzbeauftragter und Kenner der internationalen Datenschutz- & Privacy-Szene) beschrieb in seiner Keynote die technischen Aspekte der DSGVO und ihre jeweiligen Wirkungen betriebsintern und nach außen.

Thomas Riesenecker-Caba (Geschäftsführer der FORBA, mit Sicherheit einer der erfahrensten Berater zum Thema Beschäftigtendatenschutz in Österreich) gab einen Einblick in die DSGVO-gemäße Datenverarbeitung im Betriebsratsbüro.

Nachmittags Gab’s die Gelegenheit, sich in acht verschiedenen Workshops mit einzelnen Themen näher auseinanderzusetzen

Die Workshops wurden intensiv als Informations- und Diskussionsforen genutzt. Nachdem eine Person aber bekanntlich „mit einem Hintern nicht auf zwei Kirtagen tanzen kann“ und somit sieben Workshops verpasst hat, fassen wir einige Eindrücke zusammen, geben euch hier die verwendeten Unterlagen (so sie zur Verfügung gestellt wurden) und hoffen, damit Neugierde und Wissensdurst ein wenig zu stillen.

Workshop rot: Recht haben Recht bekommen

Markus Schapler (Rechtsschützer in der GPA-djp) gab Auskunft darüber, wie BetriebsrätInnen ihre Mitbestimmungs-, Informations- und Beratungsrechte gegenüber der Unternehmensführung durchsetzen können.

Workshop lila: Datenschutz und Demokratie

Werner Reiter und Andreas Czak (von epicenter.works) informierten hoch kompetent und engagiert rund um das Thema „digitale Selbstverteidigung„. Ihre Präsentationen zeigen wie die digitale Welt funktioniert und wie sich der/die Einzelne darin zurechtfinden kann. Wie schütze ich mich im Alltag vor zu großer Überwachung durch Internet-Riesen und wie schütze ich mein Kind vor dem sozialen Druck, „datenklauenden“ Apps zu benutzen? Walter Peissl führte das perfekte Protokoll vom Workshop epicenterworks.

Workshop grün: Datenschutzmanagement, Erfahrungen bei IBM

Tom Gödel (Betriebsrat bei IBM) gewährte einen Insider-Blick hinter die Kulissen des großen IT-Konzerns und seine Vobereitung auf die DSGVO – auch im Betriebsratsgremium selbst. Die wunderbaren Protokollnotizen zu diesem Workshop verfasste Irene Krenn.

Workshop türkis: der betriebliche Datenschutzbeauftragte

Sebastian Klocker (Datenschutzagentur) erklärte die Aufgaben und Befugnisse von betrieblichen Datenschutzbeauftragten, wie die DSGVO das vorsieht. Michael Gogola fasste die Inhalte sehr informativ zusammen.

Workshop blau: die Rahmen-Betriebsvereinbarung zur DSGVO

Eva Angerler (Abteilung Arbeit & Technik) wartete mit einer speziell auf die DSGVO abgestimmten Rahmenbetriebsvereinbarung und einer dazu passenden Checkliste für Betriebsvereinbarungen nach der DSGVO auf. Wozu kann sie eingesetzt werden? Was wird mit der Rahmen-BV abgedeckt? Welche Formulierungen sind hilfreich und wichtig?

Workshop orange: sag mir wo die Daten sind

Karin Koller (Rechtsschützerin in der GPA-djp) unternahm einen detektivischen Streifzug durch die unendlichen Weiten der personenbezogenen Daten in einem Unternehmen und gab Tipps, wo man die Daten suchen und finden könnte.

Workshop gelb: das Verarbeitungsverzeichnis des Betriebsrats

Thomas Riesenecker-Caba (FORBA) und Martina Chlestil (AK Wien) stellten umfangreiche juristische Informationen und das Verarbeitungsverzeichnis für Betriebsräte zur Verfügung und gaben konkrete Hilfestellung, wie das Dokument gemäß DSGVO auszufüllen ist.

Workshop rosa: Social Media, Arbeitsrecht, Urheberrecht und Datenschutz

Robert Steier (Leiter der Rechtsabteilung bei vida) gab umfassende Auskunft über die Rechtslage wenn der Betriebsrat das Internet nutzt. Paul Hösch hat fleißig protokolliert und viel Wertvolles rund um Bilder, Fotos und Homepages der Betriebsräte festgehalten.

Robert Steier kam zu der Conclusio: „Viele verschiedene Rechtmaterien spielen in der digitalen Welt mit. Manches davon wird nun unter der DSGVO verhandelt, obwohl es eigentlich nur sehr am Rande damit zu tun hat. Da wird mit einem Gesetzestext viel mittransportiert, das eigentlich ganz normale Betriebsratsarbeit ist.“

In diesem Sinne hoffen wir, einigen Teilnehmenden einige Unsicherheiten genommen zu haben und freuen uns auf weitere Zusammenarbeit, denn:

eine/r alleine kann seine/ ihre Privatsphäre nicht schützen, dazu braucht es viele

Das ideale Weihnachtsgeschenk

…unter dem Weihnachtsbaum des Betriebsrats…

…sollte dieses Werk heuer keinesfalls fehlen!

Was die Autorin dieses Blogs so macht, wenn sie gerade keine Blog-Artikel schreibt, nicht zur Datenschutzgrundverordnung (DSGVO) referiert, Betriebsvereinbarungen begutachtet oder zum Beschäftigtendatenschutz berät?

Sie schreibt gemeinsam mit Datenschutz-Experten ( Andreas Krisch und Thomas Riesenecker-Caba) und Kolleg_innen aus den (Länder-)Arbeiterkammern (wie Martina Chlestil und Nina Rothenender) und anderen Fachgewerkschaften (wie Susi Haslinger) Beiträge zu Fachpublikationen wie dieser:

Beschäftigtendatenschutz, Handbuch für die betriebliche Praxis

Von der Grundsatzfrage „Wozu das alles?“ bis hin zu detaillierten rechtlichen Fragen, was denn nun tatsächlich die Aufgaben eines/einer betrieblichen Datenschutzbeauftragten sind, wird in diesem Band auf alles eingegangen, was mit dem Beschäftigtendatenschutz in Zusammenhang steht. Ob es um eine Betriebsvereinbarung, den Datentransfer zur Konzernmutter in einem Nicht-EU-Mitgliedsland oder die Frage der Bußgelder geht, der Ratgeber gibt umfassend darüber Auskunft, was sich durch die neue Rechtslage ändern wird – und was beim Alten bleibt. Einschlägige Rechtsprechung ist ebenso enthalten wie die häufigsten technischen Systeme und deren datenschutzrechtliche Tücken. Am politischen Werdegang der europäischen Gesetzgebung Interessierte kommen ebenso auf ihre Rechnung, wie juristisch ambitionierte oder IT-affine Leser_innen.

Kurzum:

eine Leseempfehlung

für datenschützende Betriebsräte und Betriebsrätinnen, betriebliche Datenschutzbeauftragte und alle, die wissen wollen, was die neue Rechtslage für ArbeitnehmerInnen bringt. Hier geht’s zur Bestellung.

darf ein Keylogger am Arbeitsplatz installiert werden?

das deutsche Bundesarbeitsgericht sagt: NEIN!

Ein Arbeitnehmer hatte binnen vier Monaten drei Stunden damit verbracht (hauptsächlich in den Pausen) ein Computerspiel zu programmieren und kleine Verwaltungsarbeiten für eine andere Firma zu erledigen. Zugegeben, eine Pflichtverletzung, aber eine, die die sofortige Kündigung rechtfertigt?

Der Gekündigte ging vor Gericht. Das Ar­beits­ge­richt in Her­ne gab dem Kläger recht (Ur­teil vom 14.10.2015, 6 Ca 1789/15). Der Arbeitgeber ging zur nächsten Instanz. Das Landesarbeitsgericht in Hamm war zwar der Meinung, dass durch das Verhalten des Arbeitnehmers die Arbeitspflicht verletzt worden sei, nicht jedoch eine Kündigung gerechtfertigt. Der Arbeitgeber ging zur nächste Instanz. Am Bundesarbeitsgericht in Erfurt wurde im Juli 2017 der Fall abermals verhandelt. (Hier ein genauer Bericht.)

Stein des Anstoßes war vor allem die Art und Weise wie die „Beweise“ erhoben worden waren: Auf dem Rechner der Mitarbeiter war ein Überwachungsinstrument, ein so genannter „Keylogger“, installiert worden. Die Software konnte sämtliche Tätigkeiten des Arbeitnehmers mit protokollieren(zB wurden Tastaturanschläge ausgewertet und Screenshots gemacht). Mitgeteilt wurde das den Arbeitnehmern nur ganz allgemein ohne dass konkrete Verdachtsmomente vorgelegen hätten. Der Arbeitnehmer wurde für sein Verhalten auch nicht abgemahnt. Die Überwachung wurde dazu verwendet, den Programmierer zu beschuldigen, sich in der Arbeitszeit mit privaten Angelegenheiten auf dem Computer des Arbeitgebers zu betätigen und ihn daraufhin zu kündigen.

Das Bundesarbeitsgericht sah das so:

„Jeder soll selbst über die Preisgabe persönlicher Daten entscheiden können. Dieses Recht gilt natürlich auch im Betrieb“

Zwar könne es Situationen geben, in denen Keylogger ausnahmsweise eingesetzt werden dürften (zB bei konkretem Verdacht auf schwerwiegende Dienstpflichverletzungen bei vorheriger Information), aber nicht flächendeckend und ohne Begründung.

Nachdem die deutsche Betriebsverfassung und die österreichische Arbeitsverfassung in weiten Teilen sehr ähnlich sind, ist anzunehmen, dass das Urteile auch in Österreich so ausfallen würde.

Jedenfalls aber ist das Urteil des Europäischen Gerichtshofs für Menschenrechte gültig, das besagt, das heimliche umfassende Überwachung mittels Keylogger eine Verletzung der Menschenwürde ist. (Näheres in diesem Beitrag)

Service, Strategie und „Superkräfte“

wie betrieblicher Datenschutz in der Praxis funktioniert

aus dem Alltag eines datenschützenden Betriebsrats

Helmut Wolff, ehemaliger Europa-Betriebsrat bei unify, im Interview

Fritsch Clara: Du hast in deiner Tätigkeit als BR immer wieder das Thema Beschäftigtendatenschutz aufs Tapet gebracht. Wie bist du vorgegangen?

Helmut Wolff: Das kommt drauf an, in welcher Rolle man selbst sich gerade befindet. Bei Verhandlungen zur Betriebsvereinbarung haben wir Betriebsräte immer verlangt, dass genau, also taxativ, aufgezählt wird, welche personenbezogenen Daten wofür verwendet werden. Auf internationaler Ebene habe ich zum Beispiel versucht, Verbündete in den anderen Niederlassungen zu finden – bis auf Deutschland muss ich ehrlicher Weise sagen, ist das aber auf wenig Interesse gestoßen. Da darf man sich nicht zu viel erwarten. Aber immerhin konnten wir das Datenschutz-Thema innerhalb des Europäischen Betriebsrates zu einem der wichtigsten machen.

Wenn was zum Datenschutz in der Zeitung gestanden ist, hab ich schon mal den Artikel mitgenommen und dem zuständigen HR-Chef auf den Schreibtisch gelegt. Als Kollege konnte ich ihn so auf Veränderungen in der Gesetzeslage aufmerksam machen.

FC: Was konntest du mit deinem Einsatz erreichen?

HW: Als bei uns eine konzernweite Skill-Datenbank eingeführt wurde, die die Bildung von internationalen Teams je nach Qualifikation der Beschäftigten erleichtern sollte, da konnten wir verhindern, dass eine zentrale, für alle sichtbare Beurteilung kommt. Wir haben durchgesetzt, dass ausschließlich der disziplinäre Vorgesetzte den oder die Mitarbeiter_in beurteilen darf. Außerdem können auch nur direkte Vorgesetzte sehen, wenn sie Mitarbeiter_innen für ein neues Projekt suchen, wer welche Qualifikationen hat. Diese Führungskräfte entscheiden dann, ob die Leute in ihrer Abteilung überhaupt Zeit für Extra-Projekte haben oder sie wissen ohnehin, dass die aus privaten Gründen gar nicht interessiert sind. Und damit ist verhindert worden, dass irgendwelche Projektleiter nur wegen „schönen Profilen“, die Kolleginnen und Kollegen kontaktieren.

Wir haben Log-Ins für uns als Betriebsräte in ein neues Performancemanagement System eingefordert, das zur Berechnung der variablen Einkommen und zur Leistungsbeurteilung dienen soll. Nachdem uns dies zuerst seitens der Geschäftsführung verweigert wurde, haben wir in der Betriebsvereinbarung einfach keine weiteren Module mehr frei gegeben. Das Grundmodul konnten wir natürlich nicht mehr rückgängig machen, aber ohne betriebsrätliche Kontrollmöglichkeiten wollten wir nicht riskieren, dass Leistungen erhoben, international ausgewertet und wofür auch immer verwendet werden – wobei „international“ in unserem Fall eben auch die USA einschließt. Wichtig war auch, dass wir festgehalten hatten, dass für neue Module die Betriebsvereinbarung erweitert werden muss, sodass eine „schleichende“ Einführung weiterer Module explizit ausgeschlossen wurde.

Sehr hilfreich war unsere Abmachung, den betrieblichen Datenschutz einmal im Jahr ganz allgemein anzuschauen. Durch diese regelmäßige Evaluierung sind wir immer am Ball geblieben und konnten der Geschäftsführung „auf die Finger schauen“.

Wir haben auch eingeführt, dass es eine Ansprechperson innerhalb des Betriebsrates gibt, die sich mit Datenschutz auskennt. Denn auch wir mussten einsehen, dass das ein Spezialthema ist, das man nicht „nebenbei“ erledigen kann.

FC: Gab’s irgendwo besondere Schwierigkeiten?

WH: Weil  wir ein internationaler Konzern mit Matrixstrukturen sind, war es nicht immer leicht, Ansprechpartner und Verantwortliche für unsere jeweiligen Anliegen zu finden. Da muss man wirklich hartnäckig bleiben. Durch unsere US-amerikanischen Eigentümer war es auch so, dass die sich vor gerichtlichen Auseinandersetzungen nicht gefürchtet haben – das hat für die zum Geschäft dazu gehört.

Zentrale Vorgaben waren auch ein großes Problem in Sachen Zeitdruck. Da wurde europaweit zentral bestimmt wer wann welches System einführen sollte, ohne auf irgendwelche nationalen Besonderheiten einzugehen. Wir mussten da als Betriebsrat oft auf der Bremse stehen und mit dem Image der „Verhinderer“ kämpfen.

FC: wie lange würdest du sagen hat es gebraucht, bis du die Geschäftsführung und die Kollegen und Kolleginnen auf die Bedeutung des Themas aufmerksam machen konntest?

WH: Bis dieses Thema als wichtig akzeptiert wurde, hat es tatsächlich ein paar Jahre gebraucht. Aber jetzt habe ich den Eindruck, dass – nicht zuletzt durch die Datenschutzgrundverordnung – das Bewusstsein gewachsen ist und wir hier mittlerweile ganz gut aufgestellt sind.

FC: Was sind die drei wichtigsten Botschaften, die du anderen Betriebsräten und Betriebsrätinnen, die vielleicht noch am Anfang des Weges stehen, mitgeben möchtest?

  • Stelle fest, wer bei einem Thema welche Interessen hat und suche Verbündete. In internationalen Konzernen, kann die lokale Geschäftsführung ähnliche Interessen wie der Betriebsrat haben – zumindest manchmal.
  • Bleib am Ball. Was einmal eingeführt und passiert ist, kann praktisch nicht mehr „eingefangen“ werden. Das ist leider auch mir passiert.
  • Informiere dich und ziehe rechtzeitig Expertinnen und Experten hinzu.
  • Fürchte dich nicht vor einer gerichtlichen Auseinandersetzung.

Das waren jetzt vier. Das Thema verlangt offenbar nach MEHR.

Datenschutzanpassungsgesetz wurde beschlossen

Vor- und Nachteile des Datenschutzanpassungsgesetzes (DSAG)

Entgegen den Befürchtungen, dass in dieser Legislaturperiode kein Datenschutzgesetz mehr zustande kommen wird, hat der Nationalrat am Donnerstag 29.6.2017 die Anpassung an die Datenschutzgrundverordnung der EU beschlossen.

Viele Regelungen sind in der Europäischen Datenschutzgrundverordnung ohnehin festgelegt und können von den einzelnen Mitgliedsstaaten nicht mehr abgeändert werden. Sogenannte „Öffnungsklauseln“ ermöglichen aber spezielle Regelungen auf nationaler Ebene. Einige Öffnungsklauseln wurden nun vom österreichischen Gesetzgeber genutzt, andere nicht.

Die gute Nachricht:

Die betriebsrätliche Mitbestimmung (das Arbeitsverfassungsgesetz) ist abgesichert. Damit gilt in  Sachen Beschäftigtendatenschutz das Arbeitsverfassungsgesetz 1:1.

Die Videoüberwachung zum Zweck der MitarbeiterInnenkontrolle ist weiterhin untersagt.

Die schlechte Nachricht:

Es wird kein Verbandsklagerecht geben, wie es zB im Konsumentenschutz besteht. Zwar haben Vereine und NGOs aufgrund der Europäischen Grundverordnung das Recht im Namen von einzelnen Betroffenen eine Klage einzureichen, ohne die Bereitschaft von Einzelnen ihre Datenschutzrechte einzuklagen ist dies jedoch nicht möglich. Das heißt, Arbeiterkammern oder Gewerkschaften können nicht – wie beispielsweise im Konsumentenschutz – von sich aus gegen einen Missstand klagen, sondern immer nur im Namen von direkt Betroffenen.

Es wurde verabsäumt, zusätzlich zum Arbeitsverfassungsgesetz spezifische Regelungen zum Beschäftigtendatenschutz einzuführen oder die Bestellung des betrieblichen Datenschutzbeauftragten genauer zu regeln.

Dass der Gesetzgebungsprozess letztendlich überhastet abgelaufen ist und die zahlreichen Stellungnahmen aufgrund des kurzfristigen Beschlusses von Abänderungsanträgen im zuständigen Verfassungsausschuss nicht mehr genau durchgearbeitet werden konnten, soll nicht verschwiegen werden. Allerdings ist die Anpassung nun seit über einem Jahr fällig und eine weitere Verzögerung hätte vermutlich nicht unbedingt zu Verbesserungen geführt.

österreichischer Gesetzesentwurf zur europäischen Grundverordnung liegt vor

aber wann wird das Datenschutz-Anpassungsgesetz tatsächlich verabschiedet?

Der Entwurf aus dem Bundeskanzleramt zum Datenschutz-Anpassungsgesetz liegt im Parlament. Nach einem Jahr voll Abwägung, Abwarten und Anpassen gibt es nun einen Gesetzesentwurf zum Datenschutz. Fraglich ist ob das „freie Spiel der Kräfte“ noch diese Legislaturperiode das Spiel beenden wird können.

Die europäische Datenschutzgrundverordnung steht vor der Tür; am 25. Mai 2018 wird sie in Kraft treten. Sie enthält neben einer Vereinheitlichung im EU-Raum auch einiges an nationalen Gestaltungsmöglichkeiten für die Mitgliedsstaaten, so genannte „Öffnungsklauseln“. Für ArbeitnehmerInnen interessant sind dabei vor allem die Öffnungsklauseln zum Datenschutz im Beschäftigungskontext, zur Verbandsklage und zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Mitbestimmung bleibt

Erfreulich ist, dass im Gesetzesentwurf ausdrücklich festgehalten ist, dass die betriebsrätlichen Rechte aus dem Arbeitsverfassungsrecht unbestritten sind. Diese Feststellung besteht seit dem ersten österreichischen Datenschutzgesetz, das 1978 das Licht der Welt erblickte. Diese Bestimmung illegalisiert die leider weit verbreitete Praxis, den BetriebsrätInnen zustehende Informationen mit Hinweis auf den „Datenschutz“ vorzuenthalten.

keine Videoüberwachung der Beschäftigten zur Kontrolle

Erfreulich ist auch, dass im Gesetzesentwurf des Bundeskanzleramtes eine Video- und akustische Überwachung zur Mitarbeiterkontrolle verboten ist. Diese Bestimmung findet sich seit der Novelle 2010 im österreichischen Datenschutzgesetz. Diese Klarstellung wurde wohl erforderlich weil derartiges immer öfter praktiziert wurde.

kollektive Klage möglich

Erfreulich ist außerdem, dass Betroffene sich nun von Vereinen/ Organisation gemeinsam vertreten lassen können, wenn sie ihre Datenschutzrechte verletzt sehen. Diese Verbandsklagerecht gibt es zB im Konsumentenschutz schon seit langem.

Leider wurden ArbeitnehmerInnenvertretungen nicht per se als datenschutzrelevante Vereine definiert (was im Zuge einer Öffnungsklausel aber möglich gewesen wäre) und haben auch nicht das Recht erhalten von sich aus – also ohne Initiative von Betroffenen – gerichtlich aktiv zu werden. Die GPA-djp fordert daher im Sinne der fairen Arbeitsverhältnisse, dass überbetriebliche Interessenvertretungen ihre Mitglieder (mit oder ohne aktiven Auftrag) in Datenschutzangelegenheiten vertreten dürfen.

Es darf vermutet, werden dass das Datenschutz-Anpassungsgesetz ohne den Einsatz von Kammern und Gewerkschaften weitaus weniger günstige Regelungen zum Schutz der ArbeitnehmerInnen enthalten würde.

Die wichtigsten Forderungen zum ArbeitnehmerInnen-Datenschutz sind enthalten

Dass zahlreiche Öffnungsklauseln – darunter die zur Bestellung des/ der betrieblichen Datenschutzbeauftragten –  in der nationalen Gesetzgebung nicht näher festgelegt wurden, erklärt man in den Erläuterungen damit, dass diese nicht dem allgemeinen Datenschutz zuzurechnen sein, sondern es sich dabei um spezielle Themen handelt. Diese müsse man allenfalls in den jeweils entsprechenden „Materiengesetzen“ (wie sie in der Juristerei genannt werden)  festlegen. Sprich: der Datenschutz für die ArbeitnehmerInnen müsste demnach ins Arbeitsrecht fallen.

Ob sich eine Verabschiedung des Datenschutz-Anpassungsgesetztes noch diese – aufgrund der bevorstehenden Neu-Wahlen nicht mehr sehr langen – Legislaturperiode ausgeht, bleibt abzuwarten.

Am 23. Juni endet die Begutachtungsfrist. Bis dahin können noch Stellungnahmen abgegeben werden. Genutzt wurde diese Gelegenheit bislang von Unternehmen wie A1 und ÖBB, Organisationen wie dem Städtebund, dem Verband der Markt- und Meinungsforscher und der Rechtsanwaltskammer und auch Einzelpersonen wie dem renommierten Datenschützer Prof. Dietmar Jahnel.

Fragen zum betrieblichen Datenschutz und Digitalisierung

jetzt wollen’s alle wissen

Was ist der Schlüssel zu Schutz der Privatsphäre am Arbeitsplatz?

Wer bewacht welchen Schlüssel?

Wie wird im Betrieb, im Betriebsratsbüro und in der Gewerkschaft mit digitalen Themen umgegangen?

Das interessiert immer mehr Menschen. Immer mehr Institutionen wollen daher wissen wie es in der betrieblichen und gewerkschaftlichen Praxis aussieht und starten Projekte zu dem Themenbereich.

Was wäre ein gutes Projekt ohne vorherige Befragung der Betroffenen? Schließlich möchte man ja den Ist-Stand erfassen und so ist der erste Schritt meist eine Umfrage.

Bitte beteiligt euch möglichst zahlreich

Je größer die Beteiligung an den Umfragen, desto besser können Gewerkschaften auch auf die betrieblichen und betriebsrätlichen Anliegen eingehen.

Arbeiterkammer Wien befragt zum Datenschutz im Betriebsratsbüro

Um Erfahrungen aus der Arbeit in Betriebsrat und Personalvertretung zum Thema Datenschutz zu erhalten, führen die GPA-djp und andere Fachgewerkschaften gemeinsam mit der Arbeiterkammer Wien eine online-Befragung von Betriebsratsmitgliedern durch.

Es geht um die betriebsrätliche Praxis im Umgang mit den Daten der Beschäftigten. Welche Daten erhält der Betriebsrat überhaupt vom Arbeitgeber? Wer steht im Betrieb unterstützend zur Seite wenn es Fragen zum Datenschutz gibt? Diese und viele andere Fragen sollen geklärt werden.

Durchgeführt wird die Befragung durch die Forschungs- und Beratungsstelle Arbeitswelt (FORBA). Die Befragung ist anonym, FORBA hat sich auch vertraglich zur Einhaltung der Bestimmungen des Datenschutzes verpflichtet und einen datenschutzrechtlich einwandfreien Anbieter für die online-Befragung ausgewählt.

Der Zeitaufwand beträgt etwa 10 bis 15 Minuten und die Umfrage wird noch bis Ende Juli online sein. Die online-Befragung findet sich hier.

Der Europäische Gewerkschaftsbund befragt zu den Auswirkungen der Digitalisierung

In der Befragung des EGB geht es um die Beteiligung von Arbeitnehmer/-innen und Gewerkschaften bei der Gestaltung der Digitalisierung. In der Beteiligung liegt nämlich der Schlüssel zu FAIRer Digitalisierung, ist der EGB überzeugt und sammelt daher BestPractise-Beispiele aus allen Ländern, Branchen und Unternehmen. (Es besteht auch die Möglichkeit zur telefonischen Kontaktaufnahmen auf deutsch, falls man die Best-Practise- und andere Erfahrungen nicht in die Tastatur tippen möchte!)

Die internationale Projektgruppe hat im Jänner dazu ihr Feedback gegeben und nun ist die Befragung online.

Der Zeitaufwand ist in etwa 20 Minuten und die Befragung geht noch bis 20. Juni. Hier geht’s zur Umfrage online.

betrieblicher Datenschutz – altes Fass oder neuer Wein?

ein Veranstaltungsrückblick

Unter dem Titel „neue Technologien – neuer rechtlicher  Rahmen – neue Lösungen“ fand am 13. März im Bildungszentrum der Arbeiterkammer Wien eine Veranstaltung statt. Über 250 BetriebsrätInnen wollten sich die Ausführungen zu technologischen Veränderungen sowie der Datenschutzgrundverordnung und ihren voraussichtlichen Auswirkungen nicht entgehen lassen.

Rudi Kaske und Dwora Stein eröffneteN

an dem sonnigen Frühlingsnachmittag. Kaske betonte in seiner Rede, dass die Technik zunehmend komplexer werde und somit digitale Kompetenzen bei allen Betroffenen erfordere. Es gehe darum den digitalen Wandel zu gestalten und mitzubestimmen, sodass immer der Mensch die zentrale Figur ist.

Dwora Stein, die Geschäftsführerin der GPA-djp, nahm in ihrem Eingangsstatement vor allem die betriebliche Ebene in den Fokus. Betriebsrätinnen und Betriebsräte sind mit ihrer fachlichen Expertise, ihrer sozialen Kompetenzen und ihre internationalen Vernetzung gefordert um ihre rechtlichen Möglichkeiten auszuschöpfen. Die Gewerkschaft stellt ihnen Hintergrundinformationen und Beratung zur Verfügung und den Einsatz dafür, die rechtlichen Rahmenbedingungen im Sinne der ArbeitnehmerInnen-Mitbestimmung zu gestalten.

Thomas Riesenecker erklärte technischen Wandel

Der Geschäftsführer der Forschungs- und Beratungsstelle Arbeitswelt stellte die wesentlichen Veränderungen der digitalen Arbeitswelt dar und stellte dabei in Frage, ob es sich tatsächlich um eine „Revolution“ handelte und nicht vielmehr um eine Weiterentwicklung auf Basis bereits bestehender Technologien.

Insbesondere die Sensorik habe die Möglichkeiten der Maschinen verändert. Sie könnten nun miteinander (auch ohne direkte Intervention von Menschen) interagieren. Das sogenannte „Internet der Dinge“ (IoT) ist nun in der Robotik, der Fahrzeugtechnik und diversen anderen Anwendungsgebieten Thema.

Martina Chlestil stellte die derzeitige Rechtslage (DSG) und Clara Fritsch die kommende (DSGVO) dar

In einer Doppelkonference wurden die wesentlichen, für betrieblichen Datenschutz relevanten Gesetzesänderungen, die mit dem In-Kraft-treten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 schlagend werden, vorgestellt:

  • das öffentliche Datenverarbeitungsregister wird zu einem innerbetrieblichen Verfahrensverzeichnis
  • der betriebliche Datenschutzbeauftragte wird – für bestimmte Unternehmen – verbindlich
  • die Mitbestimmungsrechte nach dem ArbVG bleiben erhalten

Matthias Schmidl beschrieb die Aufgaben der Datenschutzbehörde

Die Datenschutzbehörde, deren stellvertretender Leiter Matthias Schmidl ist, erhält mit der Datenschutzgrundverordnung (DSGVO) zusätzliche Aufgaben und neue Vorgaben, wie Prozesse abzuwickeln sind.

  • die Behörde wird in Abstimmung mit den anderen europäischen Behörden eine „Blacklist“ und eine „Whitelist“ erstellen, die angibt, welche Datenverwendungen eine Risikofolgenabschätzung benötigen – und welche nicht
  • die Behörde wird Geldbußen  – in Koordination mit den anderen europäischen Datenschutzbehörden – festlegen und verhängen
  • die Behörde wird – wie bisher auch – Ansprechstelle für Beschwerden sein

Nach einer kurzen Stärkung bei Kaffee und Kuchen, nahmen drei Betriebsräte und drei GewerkschaftssekretärInnen auf den roten Sesseln am Podium Platz und erzählten aus ihrem Umgang mit Technik im Betrieb.

Kollege Magnus von der Sucht- und Drogenkoordination der Stadt Wien stellte dar, wie ein Dokumentationssystem legal, aber trotzdem zum Nachteil der KollegInnen verwendet werden kann, indem daraus errechnet wird, wie viele Prozent der eingeladenen KlientInnen tatsächlich kommen. Auf dieser Basis werden mehr KlientInnen eingeladen, als Termine zur Verfügung stehen (Überbuchung), was aufgrund des gesteigerten Arbeitsdrucks zu Konflikten zwischen den verschiedenen Berufsgruppen führt. Gemeinsam mit der zuständigen Fachgewerkschaft GPA-djp arbeitet man nun an einer Betriebsvereinbarung zu dem System. Eva Angerler strich in ihrem Statement heraus, dass es bei Technik im Unternehmen immer um drei Säulen geht

  • einen rechtlichen Rahmen zu schaffen mittels Betriebsvereinbarung
  • einen Datenschutz durch Technik zu gewährleisten
  • und eine Betriebskultur, die Datenschutz-Bewusstsein im täglichen Miteinander lebbar macht.

Kollege Szalay beschrieb wie Wien Energie versuchte, ein elektronisches Fahrtenbuch einzuführen und auf Initiative der Betriebsrates ein solches mehrere Jahre nicht der Fall war – so lange bis es eine den Wünschen der ArbeitnehmerInnen entsprechende Betriebsvereinbarung dazu gab. Andreas Schlitzer aus der Pro-Ge hat dabei die rechtliche Beratungsarbeit geleistet.

Auch bei den ÖBB-BCC stellt die Digitalisierung ein wesentliches Thema dar. Ein so wesentliches, dass man gemeinsam mit dem Ministerium, der Forba und der Gewerkschaft vida ein eigenes Projekt dazu auf die Beine gestellt hat. „Und ihr werdet es nicht glauben“ sagte der Betriebsrat Josef Brenner „was das geändert hat, dass wir einmal nicht den Entwicklungen hinten nach gelaufen sind, sondern als Betriebsrat aktiv begonnen haben, ein eigenes Projekt dazu aufzusetzen.“

Alle Präsentationen und Handouts zur Veranstaltung finden sich hier.

Alles kann natürlich in einem Nachmittag nicht besprochen, diskutiert und gelöst werden. Wenn nun Interesse entstanden sein soll, freuen sich Arbeiterkammer und Fachgewerkschaften; zu Wirkungen und Nebenwirkungen der Digitalisierung und der neuen Gesetzeslage wenden sie sich vertrauensvoll an ihre Interessenvertretung oder ihre Fachgewerkschaft.

drum prüfe, wer was auf facebook postet

der Betriebsrat redet bei Social-Media mit –
bestimmt!

Die Beteiligung von ArbeitnehmerInnen in Kommunikationsforen des Unternehmens ist mit einer Betriebsvereinbarung zu regeln – so das Urteil des deutschen Bundesarbeitsgerichts vom 13.12.2016. Die erste und zweite Instanz waren 2013 bis 2015 noch zu dem Schluss gekommen, dass hier keine Mitwirkungsrechte des Betriebsrates bestünden. Der Jubel der zuständigen Rechtsanwaltskanzlei währte nur kurz. Im Dezember 2016 entschied das Bundesarbeitsgericht Erfurt, dass hier sehr wohl Mitbestimmungsrecht gegeben ist.

Nachdem hierzulande eine ähnliche Gesetzgebung herrscht, ist davon auszugehen, dass es sich mit der betrieblichen Mitbestimmung nicht anders verhält. (Zum Glück, sonst hätten wir von der Abteilung Arbeit & Technik unsere Beratungspraxis schwer überdenken müssen.)

deutsches Bundesarbeitsgericht bestätigt: Betriebsrat hat auch bei Facebook Mitbestimmungsrecht

Immer wieder geraten ArbeitnehmerInnen wegen ihrer „Meinungsäußerungen“ auf Facebook und anderen Foren in die Bredouille. Eine beleidigende Bemerkung über den Chef, ein Statement über die langweilige Arbeit, eine flapsige Bemerkung über die letzte Kundin. Die Äußerungen sind vielfältig, die Folgen oft schwerwiegend. Im schlimmsten Fall kann eine Entlassung drohen – wie in diesem Blog berichtet. In manchen Fällen geht diese auch durch – wie in diesem Blog berichtet.

Der Wahn ist kurz, die Reu‘ ist lang

dichtete weiland Friedrich Schiller in „die Glocke“.

Damit die ArbeitnehmerInnen mit ihren halbprivaten Postings nicht alleine dastehen und sich außer auf ihren Menschenverstand auch noch auf ihre Interessenvertretung verlassen können, sollten Betriebsvereinbarungen die Sache regeln. Die die GPA-djp rät seit Langem, die betriebliche Verwendung von Social Media in einer BV zu regeln.

Wichtige Punkte, die der Betriebsrat/ die Betriebsrätin bei einer BV mitgestalten kann:

  • freiwillige Beteiligung der Beschäftigten
  • Posting-Zeit = Arbeitszeit
  • vorherige Einschulung (auch zum Abschluss der BV, also darüber wozu der Social-Media-Auftritt verwendet werden kann/ soll/ darf)
  • keine personenbezogenen Auswertungen der Beiträge (zB wer besonders häufig schreibt, wer besonders lobend schreibt, wer besonders viele andere zum Mit-Diskutieren bringt, etc.)

Es soll an dieser Stelle nicht verschwiegen werden, dass in dem eingangs erwähnten Fall aus dem deutschen Blutspendedienst des Roten Kreuzes, der Betriebsrat jegliches Kommentieren untersagte. Das ist nun nach Meinung der Autorin doch etwas zu weit gegriffen. Dass auch auf SocialMedia Mitwirkungspflichten bestehen, ist hingegen ganz naheliegend.

Zu Risiken und Nebenwirkungen berät sie gerne ihre für sie zuständige RegionalsekretärIn.