Tag Archives: betrieblicher Datenschutz

Hallo Konzernprivileg!

weckerEin böses Erwachen hatten am 18. September all jene, die immer sagten: „Es gibt kein Konzernprivileg!“ Seit einem Monat gibt es doch eines.

Nun können personenbezogene Daten innerhalb von Konzernniederlassungen weltweit umhergeschickt werden, ohne dass das bei der Datenschutzkommission gemeldet werden muss. Die MitarbeiterInnen und BetriebsrätInnen in Konzernen können somit nicht mehr beim Datenverarbeitungsregister nachfragen, ob diese Datentransfers eingetragen sind und somit rechtmäßig erfolgen – sie sind auch ohne Meldung rechtmäßig.

Folgende Verwendungen wurden in der neuen Standardverordnung 033 Datenübermittlung im Konzern“ festgeschrieben:

  • Kontakt- und Termindatenbank – auch die von Volontären, Praktikantinnen, wobei mir beim besten Willen die Phantasie fehlt, warum deren Termine von weiltweiter Bedeutung sind.
  • Karrieredatenbank  – hier dürfen sogar Beratungsunternehmen Zugriff erhalten, wobei die Zustimmung immer „freiwillig“ zu sein hat, was im Arbeitsverhältnis erfahrungsgemäß eher… nun ja…. ähmm… wie soll ichs sagen….
  • Verwaltung von Bonus- und Beteiligungsprogrammen – ermöglicht den Banken Zugriff auch auf Sachleistungen, die es vielleicht zusätzlich zum Gehalt gibt.
  • Technische Unterstützung – das ergibt wenigstens Sinn.

alles in allem aber eher:

AUTSCH!!!

Obwohl die GPA-djp in ihrer Stellungnahme recht deutlich wurde,

Wir sprechen uns dagegen aus, eine Überlastung bei der Datenschutzkommission durch gesetzliche Vorgaben zu beheben, sondern plädieren für eine ausreichende personelle Ausstattung. Insbesondere das Vorhaben, eine Standardverordnung für Datenübermittlung im Konzern einzuführen, muss abgelehnt werden.

ist die Erleichterung des Datentransfers für Konzerne nun in Kraft.

noch mehr Video als Standard

Auch die Videoüberwachung erfreut sich nun einer „administrativenErleichterung“ dadurch, dass sie zusätzlich zu den bereits exisiterenden Standards in weiteren Fällen ohne eigene Meldung an das Datenverarbeitungsregister ermöglicht wurde; und zwar

  • auf Parkgaragen und -plätzen
  • in Rechenzentren
  • in öffentichen Gebäuden 

Wer noch nicht genug hat und einen weiteren Artikel dazu lesen möchte, findet den hier.

Wer dem Ganzen etwas Positives abgewinnen möchte, dem/ der sei versichert: immerhin gibt es in der klare Standardverordnung Rahmenbedingungen unter denen die Daten verwendet werden dürfen.

Und wer dem Ganzen nicht traut, möge weiterhin die Möglichkeiten des Arbeitsverfassungsgesetzes in Anspruch nehmen; hier hat der Betriebsrat / die Betriebsrätin das Recht, eine Betriebsvereinbarung zu diesen Systemen abzuschließen. Denn:

trotz Standardverordnung müssen die Datenverwenungen unter Mitbestimmung der betrieblichen Interessenvertretung eingesetzt werden!

Sozialversicherungsauszug als Bewerbungsschein ?

WGKK

Quelle: wikipedia

Warnung vor zu viel Offenheit

Es wird immer häufiger von BewerberInnen verlangt, einen Versicherungsdatenauszug der Österreichischen Sozialversicherung beizulegen. Dieses Dokument ist einfach zu besorgen und enthält alle bisherigen Versicherungszeiten exakt aufgelistet – folglich wesentlich mehr Information als ein Lebenslauf. Gut für die ArbeitgeberInnen. Gut für die BewerberInnen?

In einem Versicherungsdatenauszug der Sozialversicherung finden sich LÜCKENLOS sämtliche Vordienstzeiten, sämtliche Dienstgeber (auch wenn die für die derzeitige Bewerbung wenig relevant sind), die jeweiligen Jahresbeitragsgrundlagen sowie Zeiten längerer Krankenstände, oder Zeiten der Arbeitslosigkeit. Bekommt der/die ArbeitgeberIn ein solches Dokument, lässt sich damit eine BewerberIn gut durchleuchten.

Sie waren also ein Jahr nicht beschäftigt und im Lebenslauf steht „Sprachaufenthalt in den USA“? Sie waren beim letzten Dienstgeber in Verwendungsgruppe vier eingestuft und hier verlangen sie ein Gehalt, das der Stufe sechs entspricht? Solche und ähnliche Fragen könnten da leicht entstehen.

Auf die Frage, warum das verlangt werde, erhält die interessierte Betriebsrätin mitunter die Antwort: „Wenn die Prüfung von der Gebietskrankenkassa kommt, dann müssen wir das vorlegen können.“

Richard Nowatschek, stellvertretender Leiter der Abteilung Beitragsprüfung in der Wiener Gebietskrankenkasse meint dazu:

Wir von der Gebietskrankenkasse benötigen bei Prüfungen die Vorlage des Datenauszuges durch die Dienstgeberin nicht. Wir haben die Daten ja selber. Natürlich schauen wir bei der Beitragsprüfung, ob richtig eingestuft wurde. Der Nachweis durch die BewerberIn ist an keine besondere Form gebunden, infrage kommen dabei insbesondere Schul-, Hochschul- und Dienstzeugnisse.

Er vermutet als Motiv für dieses Begehren der ArbeitgeberInnen, die Angst vor Nachzahlungen. Als vorauseilender Gehorsam werden da offenbar Argumente gebracht, die so nicht halten.

Richard Nowatschek meint zu den Auswirkungen dieser Praxis:

Ich sehe da die Gefahr, dass die Leute vor-analysiert werden und anhand des Überschusswissens durch die Vorlage des Datenauszuges oft nicht genommen werden. Ich kann nur ausdrücklich davor warnen, einen Auszug vorzulegen.

gibt Richard Nowatschek einen Tipp und die Autorin schließt sich ihm an.

Noch schöner wäre es, wenn die Firmen gar nicht erst die Sozialversicherungsauszüge verlangen würden.

 

Konzernprivileg kommt früher als erwartet

neuerlich Änderungen bei den Standardanwendungen geplant

Eine sogenannte Standardanwendung legt fest, welche Daten für welche Zwecke von welchen Personen verwendet werden dürfen, ohne dass diese Datenanwendung im Datenverarbeitungsregister gemeldet werden muss. Sie wird vom Bundeskanzler per Verordnung erlassen. Sie erleichtert damit den Unternehmen die Verwendung bestimmter Daten (z.B. Videoüberwachung beim Juwelier oder Personalverwaltung im privatrechtlichen Unternehmen), weil sie nicht mehr extra gemeldet oder genehmigt werden müssen. Zugleich wird es dadurch für die Betroffenen schwieriger nachzuvollziehen, welche ihrer Daten wozu verarbeitet werden, weil sie ja keinen Zugang mehr über das Melderegister haben.

Erst kürzlich konnten Datenschutz-Interessierte feststellen, dass die Standardanwendung für privatrechtliche Dienstverhältnisse ausgeweitet wurde.

und jetzt is scho wieder was passiert

Es soll eine neue Standardanwendung (SA033 A-D) geschaffen werden, die es konzernintern ermöglicht

  • Kontaktdatenbanken,
  • Termindatenbanken,
  • Karrieredatenbanken,
  • Datenbanken zur Verrechnung von Boni und Beteiligungen sowie
  • die technische Unterstützung

zu betreiben, ohne diese im Datenverarbeitungsregister melden zu müssen und ohne dass die Datenschutzkommission diese Datenbanken genehmigen muss. Das bedeutet die Einführung eines Konzernprivilegs. Bisher konnten wir immer in der Beratung sagen : „Das österreichische Datenschutzgesetz kennt keine Bevorzugung von Konzernen.“

Eigentlich habe wir erst mit In-Kraft-Treten der neuen EU-Verordnung mit diesem Schlag gerechnet und noch Hoffnungen in das EU-Parlament gesetzt, dass das Konzernprivileg abgeschwächt wird. Doch im Bundeskanzleramt ist man schneller als gedacht.

Da drängen sich den ArbeitnehmerInnen-DatenschützerInnen einige Fragen auf:

Wer hat das bestellt? Woher kommt es, dass es allein für die Wirtschaftskammer Österreich 5 (in Worten: fünf) Standardanwendungen gibt und für Gewerkschaften, geschweige denn den Betriebsrat keine einzige? Die Antworten richten sie bitte an Dr. Datenschutz. Die GewinnerInnen werden nicht verständigt und bekommen auch keinen Preis (Datenschutzgründe).

Datenschutzverletzungen in Österreich?

StudienteilnehmerInnen gesucht

Die Studie könnte endlich Auskunft darüber geben, was nur gemutmaßt wird – Datenschutz zählt nicht gerade zu den obersten Prioritäten bei der Rechtsdurchsetzung.

Das Europäische Trainings- und Forschungszentrum für Menschenrechte und Demokratie (ETC) Graz führt im Auftrag der Grundrechteagentur der Europäischen Union ein Forschungsprojekt zum Umgang mit Datenschutzverletzungen in Österreich durch.

Dazu suchen wir Personen, die mindestens 18 Jahre alt sind und in den letzten drei Jahren rechtliche Schritte gegen Datenschutzverletzungen unternommen haben oder überlegt haben, das zu tun. Von Interesse sind alle Arten von Datenschutzverletzungen, beispielsweise in den Bereichen (betriebliche oder polizeiliche) Überwachung, netzbasierte Aktivitäten (Social Networks am Arbeitsplatz) oder auch Strafverfolgung .

Wir würden uns freuen, wenn Sie sich Zeit für ein Gespräch (telefonisch oder persönlich) nehmen, um über Ihre Erfahrungen zu sprechen. Alle Angaben werden selbstverständlich streng vertraulich behandelt und nur anonymisiert verwendet.

Zur Vereinbarung eines Termins oder Beantwortung offener Fragen wenden Sie sich bitte an:

Mag.a Eva Bravc (Tel.: 0316/380 1535, Mail: eva.bravc@uni-graz.at)

Dr.in Isabella Meier (Tel.: 0316/380 1531, Mail: isabella.meier@uni-graz.at)

 

Die Nachlese zum Datenschutz-Brunch

großer Wurf oder Mogelpackung?

 Am 24.4.2012 um 10:00 begrüßte  Ilse Fetik, stellvertretende Vorsitzende der GPA-djp, die etwa 120 Gäste und stellte die drei wesentlichen Forderungen der GPA-djp vor:

  • eineN betrieblicheN DatenschutzbeauftragteN in Unternehmen ab 25 MitarbeiterInnen,
  • betriebliche Datenschutzbeauftragte an allen Standorten und damit eine Abschaffung des geplanten Konzernprivilegs,
  • eine klare Zuständigkeit der ArbeitnehmerInnen-Interessenvertretung bei der gerichtlichen Vertretung von ArbeitnehmerInnen in Datenschutz-Angelegenheiten. 

Evelyn Regner, Abgeordnete zum europäischen Parlament, kritisierte die geplante Bevorzugung von Klein- und Mittelbetrieben (KMU) durch die Verordnung und gab auch eine Erklärung dafür: die 2007 von der Kommission installierte nach ihrem Vorsitzenden sogenannte „Stoiber-Gruppe“ (offizielle Bezeichnung: Gruppe unabhängiger Interessenträger im Bereich Verwaltungslasten), deren Ziel die Beseitigung von „Hemmnissen“ für KMU ist.

Kerstin Jerchel,  Juristin und Datenschutzexpertin bei ver.di, war wenig begeistert von der in der Verordnung geplanten Bevorzugung der Binnenmarktfreiheiten gegenüber dem Grundrecht auf Datenschutz – in Deutschland „Recht auf informationelle Selbstbestimmung“ genannt und in zahlreichen Urteilen festgeschrieben und ausgebaut. Auch die 250-MitarbeiterInnen-Grenze für betriebliche Datenschutzbeauftragte (DSB) hätte in Deutschland nicht abzusehende negative Folgen, wo derzeit ab 9 bzw. 20 MitarbeiterInnen ein DSB bestellt werden muss. Um gegen diese Verschlechterungen aufzutreten, fordert ver.di, dass die geplante Rechtsform der EU-Verordnung wieder in eine EU-Richtlinie zurückgeführt werden muss. Näheres findet sich in der Präsentation: Die neue europäische Datenschutzverordnung.

Gerda Heilegger stellte die Folgen für den österreichischen ArbeitnehmerInnen-Datenschutz dar:

  • der quasi Wegfall der Meldepflicht für KMU führe zu einem großen Verlust für die Publizität der Datenverwendungen,
  • die hohe Grenze für betriebliche DSB sei indiskutabel,
  • die Vertretungsbefugnisse für die Interessenvertretungen wieder nicht berücksichtigt und
  • die geplante unternehmensinterne Folgenabschätzung sei zwar nett gemeint, aber

…da wird der Bock zum Gärtner gemacht, wenn jedes Unternehmen auf freiwilliger Basis selbst beurteilen kann, ob seine Datenanwendungen risikoreich sind oder nicht – Halleluja!

Bei der Podiumsdiskussion

stellten neben den Referentinnen noch weitere DatenschutzexpertInnen ihre Sicht der Dinge dar.

 

Die Rechtsanwaltsanwärterin Renate Riedl aus der Kanzlei Preslmayr und Partner stellte fest, dass sie selten so eine große Diskrepanz zwischen der Theorie „das Thema ist mir total wichtig“ und der Praxis „ich stelle sämtliche meiner Daten im Internet zur Verfügung“ wie im Datenschutz erlebe. Beim Lesen der Verordnung habe sie den Eindruck gehabt:

Es ist alles noch viel zu unklar. Damit kann man keine klare Rechtsauskunft geben.

Helmut Wolff, Betriebsratsvorsitzender bei Siemens Communications Enterprise erzählte aus der betriebsrätlichen Erfahrung, welchen Hürdenlauf es bedeutet, auch nur annähernd die richtigen Informationen über seitens der Konzernzentrale geplante Datenverarbeitungen zu erhalten und diese dann auch wahrheitsgemäß bei der Datenschutzkommission angegeben zu finden.

Die sind dort zwar alle wirklich nett und hilfsbereit, aber heillos unterbesetzt.

stellt der Betriebsrat fest. Ihn beunruhigen an der neuen Verordnung vor allem die Konzernprivilegien, wonach nur mehr der Hauptsitz über die Datenverwendungen bestimmt.

Ob Verordnung oder Richtlinie ist mir persönlich egal – es kommt drauf an, was drinnen steht.

Joe Weidenholzer, Abgeordneter zum EU-Parlament und in dem Ausschuss Mitglied, der die Datenschutz-Verordnung federführend behandelt (Ausschuss für Justiz und bürgerliche Freiheiten, LIBE), erklärte, dass der vorgelegte Entwurf eindeutig die Handschrift der EU-Kommission trage; diese kümmere sich nun einmal vorrangig um die Freizügigkeiten im Binnen- und damit auch Datenverkehr.

Zu den vielen „delegierten Rechtsakten„, bei denen sich die Kommission vorbehalten hat, konkretere Rechte noch auszuformulieren, fällt Weidenholzer das Wort „Glühbirnen-Verordnung“ ein.

Einig war man sich am Podium dass dem Entwurf mit vereinten Kräften gegenzusteuern sei. Angesichts des Erfolgs im EU-Parlament, das gerade dabei ist, ACTA  im Nachhinein zu kippen , sind Regner und Weidenholzer optimistisch, dass es auch der geplanten Verordnung ähnlich ergehen könnte. Hoffen lasse auch das Abstimmungsergebnis zum Berichterstatter im LIBE; Jan Phillip Albrecht wurde – knapp aber doch – gewählt und dieser ist mit Datenschutz-Agenden vertraut.

Evelyn Regner und Joe Weidenholzer haben anlässlich der Tagung eine Presseaussendung herausgegeben.

Wer bedeuerlicher Weise aufgrund wichtiger unaufschiebbarer Termine keine Zeit hatte an der Veranstaltung teilzunehmen, kann sich die Unterlagen demnächst auf der AK-Homepage downloaden

… und sich schon mal provisorisch für die nächste Veranstatlung freinehmen – Termin wird in diesem Blog bekannt gegeben.

Kündigung wegen Eintrag auf Facebook

Eine Kellnerin aus dem Wiener Seminarhotel Strudlhof bekam eine saftige Rechnung serviert. Sie wurde wegen eines facebook-Eintrags gekündigt – den sie wohl gemerkt nicht einmal selbst verfasst hatte. In dem Eintrag forderte ein Kollege den Geschäftsführer namentlich auf: „ihr könnt mich mal“.

Wie der Kurier berichtete, war die Kellnerin der Geschäftsführung schon länger nicht genehm. Wer einen Entlassungsgrund suchet, der findet – am schnellsten offenbar in sozialen Netzwerken. Dass dieser Entlassungsgrund hält, ist allerdings mehr als fraglich, da die Entlassene zum Zeitpunkt des Postings nicht einmal online war. (Vielleicht werden ArbeitnehmerInnen ja demnächst verpflichtet, regelmäßig während der Arbeit ihre sozialen Netzwerke zu checken, ob dort nix Schlechtes über den Chef oder die Firma gepostet wird…)

Dass der Entlassungsgrund für den Verfasser des Eintrags hält, ist allerdings schon wahrscheinlicher, weil er darin a) namentlich die Geschäftsführung nennt  und das b) in einem beleidigenden Ton. Und das ist niemals ratsam – schon gar nicht, wenn man das eine „befreundete“ Person lesen lässt, die es dem Vorgesetzten brühwarm weitererzählt.

(Kurze Bemerkung am Rande: das Seminarhotel befindet sich nicht mehr im Besitz des ÖGB, auch wenn der und die Teilgewerkschaften nach wie vor ganz gerne Seminarräume dort buchen. Wie im Standard nachzulesen ist, besitzt eine österreichisch-russische Eigentümergemeinschaft seit 2010 den Betrieb.)

Wie bereits in diesem Blog erwähnt, ist es also nicht ratsam Vorgesetzte zu beleidigen – und es sollte für ArbeitgeberInnen nicht ratsam sein, Angestellte wegen derartigen Vorwürfen zu entlassen! 

Prost! Mahlzeit!

 

die Qual der Betriebsratswahl

urneDr. Datenschutz berichtet aus der Praxis

die Beschwerde:

In einem Unternehmen stehen Betriebsratswahlen vor der Türe. Die Anspannung im Haus ist eher größer als kleiner. Der Wahlvorstand steht in der Auslage und wird genau beobachtet. Laut Wahlordnung müssen Wählerlisten Namen und Geburtsdatum beinhalten (§20 BRWO) – so weit alles in Ordnung. Die rechtliche Vorgabe, dass die Listen zur Einsicht zur Verfügung stehen müssen, (§21 BRWO), wurde in dem Unternehmen so interpretiert, dass die Wählerlisten ins Internet gestellt wurden. Eine kandidierende Person war mit dieser Lösung nicht glücklich.

das Symptomatische:

Soll ein (neuer) Betriebsrat gewählt werden, gehen die Wogen öfters hoch und es wird nach Schwachstellen gesucht, wo auch immer sie zu finden sein könnten. Die Phase zwischen Veröffentlichung der Wählerlisten und Wahltermin ist besonders kritisch.

die Behandlung:

Es ist nicht zu leugnen, dass die Kandidatur für Betriebsrats- oder Personalvertretungswahlen – insbesondere die auf den vorderen Plätzen – die KandidatInnen auch zu  „Personen von öffentlichem Interesse“ macht. Insbesondere wenn die KandidatInnen im Internet bereits ihre Fraktion kundgetan haben, wie im Fall eines Personalvertreters bei der Polizei, in dem die Datenschutzkommission entschied:

Diese Beschränkung des Geheimhaltungsrechts liegt nicht zuletzt in der Rolle des Beschwerdeführers als Personalvertreter begründet, da schon die Bewerbung um ein öffentliches Amt oder auch nur um die Wahl in ein gesetzlich vorgesehenes Arbeitnehmerorgan ein öffentliches In-Erscheinung-Treten des Betroffenen bedingt, das im Fall der Kandidatur auf einem bestimmten politisch ausgerichteten Wahlvorschlag regelmäßig mit einer Deklaration der politischen Überzeugung des Bewerbers verbunden ist. Dies ist wiederum zwingend mit einem gewissen Maß an Verzicht auf Privatsphäre verbunden

Den WählerInnen sollte die Gelegenheit gegeben werden, sich über die zu Wählenden und deren Fraktionszugehörigkeit zu informieren.

Das Internet ist jedoch nicht zwangsläufig der Ort, den der Gesetzgeber gemeint hat, als er die Möglichkeit zur Einischtnahme in Wählerlisten beschlossen hat. Eine Möglichkeit ist es beispielsweise, die Wählerlisten im Büro des Wahlvorstandes (zu bestimmten Zeiten) für Interessierte zur Einsicht aufzulegen.

eine ähnliche Beschwerde:

Auch bei der Briefwahl kann es zu Unstimmigkeiten kommen, wenn die Beschäftigten zu viele Angaben auf den Rücksende-Kuverts machen müssen. Ein Brief ist in der Regel mit einem Absender und einer Adresse ausgestattet, aus der hervorgeht, wohin der Brief soll und von wem er kommt. Einige MitarbeiterInnen wollten aber nicht, dass auf dem Wahlkuvert a) der Arbeitgeber und b) ihre Wohnadresse ersichtlich ist und nahmen nicht an der Wahl teil.

Nun möchte der Betriebsrat einerseits einen einfachen Ablauf der Briefwahl garantieren, um die Wahlbeteiligung hoch zu halten – wogegen das neutrale Kuvert im adressierten Kuvert spricht – und gleichzeitig soll die geheime Wahl garantiert sein.

Es empfiehlt sich die Postkartenvariante: ein Abschnitt des Briefes zur Betriebsratswahl wird an die Firma zurückgesandt (Porto zahlt Empfänger). Auf diesem Abschnitt (der kann zur Sicherheit mit einer selbst ausgesuchten vierstelligen Nummer der MitarbeiterIn gekennzeichnet werden, um Doppelwahlen zu verunmöglichen) ist durch ein Kreuzchen die gewählte Liste ersichtlich –  und es wird kein Absender angegeben. Das ist völlig ausreichend und nicht zurückverfolgbar.

Einer geheimen und administrativ schaffbaren Betriebsratswahl steht somit nichts mehr im Wege – auf gehts!

 

Mitbestimmung und Datenschutz in der Arbeitswelt

 

spidbandendlich ist sie da – die Studie zum betrieblichen Datenschutz in Österreich

 

Im Sommer veröffentlichte die Arbeiterkammmer Wien einen Forschungsbericht zu Datenschutz und Mitbestimmung am Arbeitsplatz unter dem Titel „Verwendung personenbezogener Daten und Grenzen betrieblicher Mitbestimmung: Datenschutz in der Arbeitswelt.“ (PDF).

Die Studie wurde von der „Forschungs- und Beratungsstelle Arbeitswelt“ (kurz: FORBA) im Auftrag der AK Wien durchgeführt. Die Gewerkschaft der Privatangestellten, Druck, Journalismus, Papier war sowohl bei der Konzeption der Studie mit der Abteilung Arbeit & Technik als auch beim Ausfüllen der online-Umfrage seitens der Angestellten und ihrer BetriebsrätInnen an der Entstehung der Studie beteiligt.

riesenecker

Interview mit dem Studienautor Thomas Riesenecker von der Forschungs- und Beratungsstelle Arbeitswelt

Bislang gab es ja zu Thema Datenschutz in Österreich die Eurobarometer-Erhebungen sowie eine GPA-djp-Umfrage des IFES aus dem Jahre 2007. Im heurigen Sommer wurde nun die Studie zu Mitbestimmung und Datenschutz in der Arbeitswelt veröffentlicht. Was wissen wir jetzt mehr als zuvor?

Die zwei Studien, die du angesprochen hast, beleuchten das Thema Datenschutz im Betrieb nur anhand ein paar allgemeiner Fragen. Die vorliegende Studie, die dankenswerter Weise von der Wiener Arbeiterkammer finanziert wurde, bot die Möglichkeit, eine umfassende online-Befragung von BetriebsrätInnen und PersonalvertreterInnen durchzuführen und zusätzlich wurden mit ExpertInnen und betroffenen BetriebsrätInnen Interviews geführt. Somit ergibt sich doch ein ganz anderes und vor allem umfassenderes Bild des betrieblichen Datenschutzes. Wir haben im Rahmen dieser Studie auch im Detail nachgefragt, welche Systeme im Einsatz sind und ob diese in einer Betriebsvereinbarung geregelt sind, welche Rolle ArbeitgeberInnen bei der Regelung dieser Systeme spielen und inwieweit der Betriebsrat dieses doch recht komplexe Thema angeht.

Ist der ArbeitnehmerInnen-Datenschutz in Österreich ein wichtiges Thema – aus Sicht der Beschäftigten und ihrer Interessensvertretung?

In Zeit von Wirtschaftskrise und Angst um den eigenen Arbeitsplatz ist der Datenschutz nur ein nachrangiges Thema, so ehrlich muss man sein. Aber technische und organisatorische Entwicklungen bringen das Thema Datenschutz doch immer wieder auf die Tagesordnung. Gerade die Verwendung sozialer Medien wie Facebook wird ja gerade nicht nur auf der betrieblichen Ebene heiß diskutiert. Darüber hinaus wird die Datenverarbeitung immer internationaler: Konzerne besitzen große zentrale Sammlungen an Daten unterschiedlicher Standorte, Betriebe verlagern einzelne Informationen in die „Cloud“ oder Dienstleister betreuen Aufgabengebiete mehrerer Firmenstandorte. Daneben wirft auch der technische Fortschritt immer wieder neue Themen auf. Eines ist zum Beispiel, wie der massive Einsatz von Smartphones nicht nur das Arbeiten verändert, sondern auch die Datensicherheit, weil plötzlich auch über diese Medien Viren in das Unternehmen eingeschleppt werden können oder Beschäftigte eine ganze Reihe an Daten mit sich herumtragen.

Wie würdest du in einer Zeile das Klima in den österreichischen Betrieben zum Thema Datenschutz zusammenfassen?

Da der Datenschutz im Hinblick auf MitarbeiterInnendaten kein zentrales Thema ist, weder eines des Managements noch der betrieblichen Interessenvertretung, kann dies wohl am besten so zusammengefasst werden: Halbwissen verbunden mit großem Respekt vor der Komplexität des Themas. Beim Thema Datenschutz treffen ja zwei verschiedene Aufgabengebiete zusammen: Zum einen die Einhaltung gesetzlicher Verpflichtungen aus der Arbeitsverfassung und dem Datenschutzgesetz, zum anderen möchten Betriebe natürlich gute funktionierende technische Lösungen mit einer ausreichenden Funktionalität anbieten. Und da kann sich jede/r ja nur mal die/den LeiterIn der eigenen IT im Gespräch mit der/dem LeiterIn der Rechtabteilung vorstellen. Bis diese zwei Stellen eine gemeinsame Sprache finden, dauert es doch etwas. Und das dürfte wohl auch eine der großen betrieblicher Herausforderungen sein, eine gemeinsame Sprache zu finden, um das Thema Datenschutz gesamtheitlich anzugehen.

Was würdest du Interessenvertretungen empfehlen, die sich dem Thema innerbetrieblicher Datenschutz erstmals annähern wollen?

Ich denke mal, dass es auf der einen Seite wichtig ist, betriebsinterne ExpertInnen mit ins Boot zu holen, um mal einen Überblick zu erhalten, vor welchen betrieblichen Fragestellungen man eigentlich steht. Und andererseits macht es immer Sinn, auch auf Seite der ArbeitgeberInnen nach Verbündeten zu suchen, denn Datenschutz betrifft ja Schutz der Daten von MitarbeiterInnen und KundInnen.

Was sind die größten Hindernisse bei der korrekten Verwendung von ArbeitnehmerInnen-Daten im Betrieb? Worauf müsste sich also ein Betriebsrat / eine Personalvertretung gefasst machen?

Die Studienergebnisse haben gezeigt, dass BetriebsrätInnen mit einer Vielzahl an verschiedenen Informations- und Kommunikationssystemen konfrontiert sind und da ist eine klare Planung des Abarbeitens der verschiedenen Themen nicht immer leicht. Vor allem auch deshalb, und da möchte ich vielen ArbeitgeberInnen keine Absicht unterstellen, deren Informationspolitik gegenüber dem Betriebsrat, ich sag mal, ausbaufähig ist und somit die Beschaffung von aussagekräftiger Information schon mal Zeit braucht. Denn oft wissen auch ArbeitgeberInnen nicht, welche technischen Beschreibungen im Unternehmen aufliegen.

Es braucht jedenfalls einen langen Atem, Überzeugungskraft und, was ich für besonders wichtig erachte, das Schaffung von betrieblichem Fachwissens innerhalb des Betriebsrates. Hier können Gewerkschaften und Arbeiterkammer über das Angebot von spezifischen Weiterbildungen, das Veröffentlichen von Broschüren zum Thema oder Beratung eine gute Unterstützung für Betriebsräte sein.

Welche Rolle kann denn eine Interessensvertretung im Datenschutz überhaupt spielen? Ich meine, macht es einen Unterschied, ob’s im Betrieb einen Betriebsrat / eine Betriebsrätin gibt oder nicht?

Betriebe ohne Betriebsrat haben es generell schwerer, denn wer kann dort das „mahnende Gewissen“ sein, und gerade die Verhandlung von Betriebsvereinbarungen wirft doch gerade die zentralen Fragen auf, welche Daten erfasst, welche Auswertungen stattfinden oder wer Zugriff auf Daten hat. Ohne Vereinbarung bleibt das ja oft im Dunkeln.

 Gab es ein Ergebnis, das dich persönlich überrascht hat?

Es gab wirklich einen Punkt, der mich überrascht hat. Wie schon angeführt, haben wir nachgefragt, welche konkreten Systeme nach Wissen der BetriebsrätInnen im Einsatz sind und wo es Betriebsvereinbarungen gibt. Was in diesem Zusammenhang doch erstaunlich war, ist, dass selbst in knapp einem Fünftel der Betriebe mit mehr als 500 Beschäftigten keine einzige Betriebsvereinbarung zur Verwendung personenbezogener Daten vorzufinden war. Und das dürfte wohl nicht daran liegen, dass es nichts zu kritisieren und somit zu regeln gäbe.

Ich danke für das Interview – und für die Studie, die ja doch „Licht ins Dunkel“ der innerbetrieblichen Datenschutz-(Un-)Kultur bringt.

der neue Entwurf der EU-Verordnung zum Datenschutz

himmelquo vadis EU-Datenschutz?

 

Ein Loch im Datenschutz!

Doch fangen wir am Anfang an: Ende November wurden bei einem Treffen in Brüssel die Eckpunkte der bevorstehenden Novelle zum Datenschutz aus ArbeitnehmerInnen-Perspektive beleuchtet. Es trafen sich GewerkschafterInnen von der deutschen Dienstleistergewerkschaft ver.di , die ÖGB-Verterterin in Brüssel,  ein Vertreter des Europäischen Wirtschafts- und Sozialausschuss (EAWS) und eine Gewerkschaftssekretärin der GPA-djp in Brüssel mit den Juristen, die für die neue Fassung der Datenschutz-Richtlinie zuständig sind. Kürzlich wurde das damals im Zentrum der Diskussion stehende Dokument  – offensichtlich durch ein Leck in der EU – für die Öffentlichkeit  einsehbar.

Bei dem Treffen in Brüssel wurden in einem durchaus offenen Gesprächsklima folgende Themen auf den Tisch gelegt:

  • Die Richtlinie wird durch eine Verordnung ersetzt, d.h. dass für alle Mitgliedsstaaten dasselbe gilt.
  • Die Einwilligung zur Datenverwendung im Arbeitsverhältnissoll keine legale Grundlage mehr sein, personenbezogene Daten von ArbeitnehmerInnen verarbeiten zu dürfen.
  • Die unabhängigen Datenschutz-Behörden (in Österreich die Datenschutzkommission) sollen wesentlich gestärkt werden – sowohl in ihren Ressourcen als auch in ihren rechtlichen Durchsetzungsmöglichkeiten.
  • Es soll eine innerbetriebliche Behörde etabliert werden, die für den Datenschutz verantwortlich ist; sprich der/die innerbetriebliche Datenschutzbeauftragte könnte in dieser Verordnung Realität werden. Die betriebsrätliche Mitbestimmung bei deren Bestellung war ein heiß diskutiertes Thema bei dem Treffen und findet vielleicht noch Aufnahme in den Entwurf.
  • Die Sanktionen sollen empfindlich erhöht werden.
  • Ein Verbandsklagsrecht wird angedacht, um die Rechtsdurchsetzung für den/die EinzelneN zu erleichtern. Hier könnte man dann auch auf betrieblicher Ebene einhaken und als Betriebsrat das Verbandsklagsrecht nutzen und auf diesem Weg die Vertretungsbefugnis für die ArbeitnehmerInnen im Datenschutz erhalten.

Nun ist bekannt, wie das Dokument konkret aussieht, über das diskutiert wurde – es ist geleakt worden.

 

Der Entwurf zur europäischen Datenschutzverordnung sieht vor, dass

Datenschutzbeauftragte ab einer Größe von 250 MitarbeiterInnen eingesetzt werden müssen,

die Sanktionen empfindlich erhöht werden bis zu 5% des jährlichen weltweiten Jahresumsatzes

aber leider auch eine Art Konzernprivileg eingeführt werden soll, das die Zentrale als Datenverantwortliche festschreibt und ihnen damit die Hoheit über die Daten der MitarbeiterInnen überlässt.

Am 25. Jänner 2012 wird das Dokument dem EU-Parlament vorgelegt. Bis dahin wird die GPA-djp den Fokus auf zwei Aufgaben legen:

  1. weitere europäische Gewerkschaften davon überzeugen, dass es auf europäischer Ebene zu intervenieren gilt
  2. EU-ParlamentarierInnen davon überzeugen, dass es bei dem Entwurf noch „Optimierungspotential“ gibt.

Und es geht weiter…

how to manage Social Media am Arbeitsplatz

 sbsm1

was am sbsm-Camp geschah

Ein Workshop des Camps „Soziale Bewegungen Soziale Medien“ setzte sich mit der Nutzung von Social Media im Arbeitsverhältnis auseinander. Gemeinsam haben Betriebsrätinnen, Betriebsräte und Interessierte erarbeitet, welche Regelungen hier sinnvoll wären. Wertvolle Tipps aus der Praxis von IT-Verantwortlichen, Angestellten in Rechts-oder in PR-Abteilungen haben zu einem bereichernden Austausch beigetragen.

Nachdem geteiltes Wissen über die wesentlichen Rechtsgrundlagen und die dazu gesprochenen Gerichtsurteile hergestellt  war, wendeten wir uns dem spannenden Thema zu, wie Regelungen zur Social Media-Verwendung in Unternehmen nun tatsächlich aussehen könnten.

Viele BetriebsrätInnen berichteten, dass bestimmte Social Media Anwendungen häufig gesperrt werden. Die Privatnutzung ist zwar bei fast allen Anwesenden erlaubt, der Zugang zu beispielsweise Facebook ist in einigen Betrieben allerdings nicht uneingeschränkt möglich, sondern nur in bestimmten Abteilungen (z.B. Personalabteilung) vorhanden.

Eine Arbeitsgruppe kam zu dem Schluss, dass (unter anderem) folgende Themen in einer Social-Media-Vereinbarung geregelt werden müssten:sbsm3

  • Umfang und Ziel der Nutzung
  • Freiwilligkeit, wenn Social Media von der Geschäftsführung forciert wird
  • Umfang der Auswertungen, keine Leistungs- und Verhaltenskontrollen
  • Zugriffsmöglichkeiten, wer darf was sehen und auswerten?
  • Vertretungsregelungen, es kann immer mal sein, dass jemand unvorhergesehen ausfällt und wer darf dann Einsicht nehmen?
  • Schulungen für die MitarbeiterInnen und Sensibilisierung im Umgang mit privaten und beruflichen Informationen

Damit das auch tatsächlich passiert, muss sich der Betriebsrat/die Betriebsrätin mit seinen/ihren Mitbestimmungsrechten einbringen. Nur allzuoft werden die Regelungen einseitig von der Unternehmensleitung (die weit weit weg in den USA sitzen kann) gestaltet und die betriebliche Mitbestimmung wird außer Acht gelassen.

Abschließend möchte ich das Zitat einer Teilnehmerin aus dem Gedächtnis wiedergeben, da es meines Erachtens die Situation sehr treffend zusammenfasst:

Social-Media-Regelungen sollen den Beschäftigten Sicherheit im Umgang mit Social Media geben. Diese Sicherheit kann nur dann entstehen, wenn Konsistenz und Konsequenz im Handeln vorliegt.

 In diesem Sinne wäre es angesagt, sich in Konsistenz und Konsequenz zu üben, Regelungen nicht permanent umzuwerfen, neu zu definieren und auszulegen, einmal dies und einmal das damit zu meinen und so zu einer allgemeinen Verunsicherung beizutragen und stattdessen Social Media als das zu nehmen, was es ist:

eine Möglichkeit, miteinander zu kommunizieren, so wie viele andere auch.