Tag Archives: betrieblicheR DatenschutzbeauftragteR

Das ideale Weihnachtsgeschenk

…unter dem Weihnachtsbaum des Betriebsrats…

…sollte dieses Werk heuer keinesfalls fehlen!

Was die Autorin dieses Blogs so macht, wenn sie gerade keine Blog-Artikel schreibt, nicht zur Datenschutzgrundverordnung (DSGVO) referiert, Betriebsvereinbarungen begutachtet oder zum Beschäftigtendatenschutz berät?

Sie schreibt gemeinsam mit Datenschutz-Experten ( Andreas Krisch und Thomas Riesenecker-Caba) und Kolleg_innen aus den (Länder-)Arbeiterkammern (wie Martina Chlestil und Nina Rothenender) und anderen Fachgewerkschaften (wie Susi Haslinger) Beiträge zu Fachpublikationen wie dieser:

Beschäftigtendatenschutz, Handbuch für die betriebliche Praxis

Von der Grundsatzfrage „Wozu das alles?“ bis hin zu detaillierten rechtlichen Fragen, was denn nun tatsächlich die Aufgaben eines/einer betrieblichen Datenschutzbeauftragten sind, wird in diesem Band auf alles eingegangen, was mit dem Beschäftigtendatenschutz in Zusammenhang steht. Ob es um eine Betriebsvereinbarung, den Datentransfer zur Konzernmutter in einem Nicht-EU-Mitgliedsland oder die Frage der Bußgelder geht, der Ratgeber gibt umfassend darüber Auskunft, was sich durch die neue Rechtslage ändern wird – und was beim Alten bleibt. Einschlägige Rechtsprechung ist ebenso enthalten wie die häufigsten technischen Systeme und deren datenschutzrechtliche Tücken. Am politischen Werdegang der europäischen Gesetzgebung Interessierte kommen ebenso auf ihre Rechnung, wie juristisch ambitionierte oder IT-affine Leser_innen.

Kurzum:

eine Leseempfehlung

für datenschützende Betriebsräte und Betriebsrätinnen, betriebliche Datenschutzbeauftragte und alle, die wissen wollen, was die neue Rechtslage für ArbeitnehmerInnen bringt. Hier geht’s zur Bestellung.

…und manchmal geht es doch

die „innerbetriebliche Datenschutz-Kommission“ stärkt den Beschäftigten den Rücken

Dr. Datenschutz berichtet aus der Praxis

In einem österreichischen Unternehmen, dessen Geschäftszweck Vertrieb, Montage, Wartung und Reparatur von Elektrogeräten ist und dessen Zentrale in Deutschland liegt, besteht seit 2010 eine so genannte „interne Datenschutzkommission“. Zustande gekommen ist diese „iDSK“ im Zuge einer Arbeitsanweisung der deutschen Unternehmenseigentümerin; es galt zu überprüfen, ob alle internen „Compliance-Richtlinien“ eingehalten würden. Alle Töchterunternehmen wurden europaweit zu einer solchen Überprüfung angehalten, bei der die „Compliance-Officer“ an leitender Stelle eingesetzt waren. Um der Papiermengen Herr zu werden, wurde ein Team gebildet, in dem der Betriebsrat und ein Mitglied der Geschäftführung vertreten waren. In der Compliance-Richtlinie stieß das Team auf den Satz „alle nationalen Gesetze sind einzuhalten“.

Compliance gilt auch bei Beschäftigten-Datenschutz

Diese Textstelle wurde unter anderem in Bezug auf das Datenschutzgesetz interpretiert und man kam zu der gemeinsamen Meinung, dass eine interne Datenschutzkommission hilfreich wäre, um der Compliance-Richtlinie gerecht zu werden. Für die Geschäftsführung stand dabei das Interesse im Raum,  an die deutsche Muttergesellschaft nicht alle geforderten unternehmensinternen Daten weiterleiten zu müssen, weil sie befürchtete, dass sich die Eigentümerin dann allzu sehr in die Angelegenheiten der österreichischen Niederlassung einmischen würde. Für die ArbeitnehmerInnen-Interessenvertretung ergab sich so die Gelegenheit, mehr Informationen zu den geplanten Vorhaben der Konzernmutter zu erhalten. .

Gründung der internen Datenschutzkommission: eine Win-win-Situation.

Die iDSK wurde mittels Betriebsvereinbarung rechtlich abgesichert. Einer der ersten Arbeitsschritte war es, ein Formular zu entwickeln auf dem jede Datenanwendung ausführlich eingetragen werden musste. Inhaltlich lehnt sich das Dokument an die Meldeformulare der österreichischen Datenschutzkommission an. In dem Betrieb wurden jegliche Datenanwendungen, in denen personenbezogene Daten Bestandteil der Verwendung sind, in ein solches Formular eingetragen. Das ging vom Verschicken von Briefen an die Beschäftigten über neue Leistungserfassungstools bis hin zu Navigationssystemen. Das Formular diente als Grundlage für die Entscheidung, ob eine Betriebsvereinbarungspflicht vorliegt oder nicht.

Zwei Jahre nach Bestand der iDSK wünscht sich die Geschäftsführung nun eine Abwandlung dieses Genehmigungsformulars weil es zu bürokratisch und zeitaufwendig erscheint. Der Betriebsrat möchte die bestehende, umfangreiche Form beibehalten. Um die Angst vor der Komplexität zu nehmen, möchte der Betriebsrat statt dessen ein einfaches Informationsblatt an die Beschäftigten austeilen, das die komplexen Inhalte und Entscheidungsprozesse der internen Datenschutzkommission verständlicher macht. Das Informationsblatt wird die Entscheidungspfade in Form eines Baumes wiedergeben und einfache Wenn-Dann-Beziehungen aufzeigen (z.B. eine Datenverwendung enthält Daten, die eindeutig einer Mitarbeiterin / einem Mitarbeiter zuordenbar sind –> Abschluss einer Betriebsvereinbarung). Somit erfüllt die Kommission gleichzeitig auch die Aufgabe der Bewusstseinsbildung für die Belegschaft.

Seit Einführung der internen Datenschutzkommission hat sich die Datenschutz-Kultur im Betrieb geändert. Sowohl bei der Geschäftsführung als auch bei den ArbeitnehmerInnen ist ein Bewusstsein entstanden, dass Vorsicht geboten ist im Umgang mit personenbezogenen Daten. Der Betriebsrat beschreibt es mit den Worten:

Es kann nicht mehr alles einfach gemacht werden, wie sich das jemand gerade einbildet.

 

Sommerzeit – Datenschutzzeit

Die Novelle des Datenschutzgesetzes ante portas: Licht und Schatten

 Wie schon vor zwei Jahren,wird wieder im Sommer das Datenschutzgesetz (DSG) geändert. Zum Entwurf der Novelle das Positive vorab: Der/Die Datenschutzbeauftragte (DSB) wird damit zur Realität der österreichischen Arbeitswelt.

„Mit der Einführung des freiwilligen betrieblichen Datenschutzbeauftragten nimmt eine langjährige Forderung der GPA-djp jetzt konkrete Formen an“, so Wolfgang Katzian von der GPA-djp

Da lohnt es sich, genauer hinzusehen. Also weitere Eckpunkte: 

(Die gesamte GPA-djp-Stellungnahme zur DSG-Novelle sowie die parlamentarischen Unterlagen sollen auch nicht verschwiegen werden.)

 1. Die Einrichtung eines/einer Datenschutzbeauftragten 

  • Positiv: Die Funktion eines/einer DSB wird geschaffen.
  • Weniger positiv: Es handelt sich um eine freiwillige Funktion.
  • Wesentliche Neuerung: Ist ein/eine DSB bestellt, entfällt die Meldepflicht beim Datenverarbeitungsregister (DVR). Dies stellt sicher einen Anreiz für seine/ihre Bestellung dar. Anzumerken ist aber, dass eine unabhängige Behörde wie die Datenschutzkommission (DSK) wohl mehr Durchsetzungsrecht als ein/eine innerbetriebliche/r DSB hat.

Die konkrete Ausgestaltung des/der DSB ist großteils durchaus im Sinne der ArbeitnehmerInnen – etwa durch

  • Weisungsungebundenheit,
  • Kündigungsschutz,
  • vorgegebene Mindestaus- und Weiterbildungszeiten,
  • Kundmachungspflicht gegenüber der DSK
  • Mindestfunktionsperiode.

 Ganz klar ist die Ausgestaltung des/der DSB trotzdem noch nicht, ungeklärte Fragen sind etwa folgende:

– Wie viel Zeit wird dem/der DSB für ihre Tätigkeit zur Verfügung stehen – konkret: wird die Funktion auch als Vollbeschäftigung möglich sein?

– Wird die Einsetzung des/der DSB unter verpflichtender Einbeziehung des Betriebsrats erfolgen?

 2. Entfall der Vorab-Kontrolle

 Die Vorab-Kontrolle, d.h. die Genehmigung durch die Datenschutzkommission (DSK), soll in einigen Punkten entfallen.

– Hauptkritikpunkt dabei ist, dass die Vorab-Kontrolle der DSK zur Aufnahme sensibler Daten durch die ausdrückliche Zustimmung der Betroffenen ersetzt werden soll. ArbeitnehmerInnen sollen also individuell und tatsächlich nur scheinbar „freiwillig“ einer Aufnahme ihrer sensiblen Daten ohne vorige Genehmigung zustimmen.

– Der Entfall der Vorab-Kontrolle gilt auch für die Video-Überwachung. In der Folge wäre für diese ohnehin recht beliebte Form der Überwachung ein Wildwuchs zu befürchten.

– Auch im Fall von strafrechtlich relevanten Daten ist geplant, die Vorab-Kontrolle aufzuheben. Das ist ebenfalls äußerst kritisch zu betrachten, da der rechtmäßige Zweck von Datenermittlungen oft nicht ersichtlich ist und daher nicht auch noch (zusätzlich) erleichtert werden soll. 

 3. Ausweitung der Standardanwendungen 

Ferner ist eine Ausweitung der Standardanwendungen geplant. Mit der damit einhergehenden Meldefreiheit wird ein/eine DSB natürlich überflüssig. Standardanwendungen sollten daher tunlichst nicht ausgedehnt werden, was insbesondere für Datenübermittlung in Konzernen gilt. 

FAZIT

ein lachendes und ein weinendes Auge

EU-Datenschutz-Doppelpack

heftige Diskussion im EU-Parlament und

Kritische Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (EWSA)

Beim Datenschutzworkshop des „Ausschuss für bürgerliche Freiheiten“ (LIBE)  im EU- Parlament am 29. Mai artikulierten europäische Gewerkschaften klar die Interessen der Beschäftigten. Dabei prallten – wie nicht anders zu erwarten – die unterschiedlichen Interessen aufeinander. Überraschend viele Unternehmens-Lobbyisten bangten um die Wettbewerbsfähigkeit, StakeholdervertreterInnen brachten ihre Anliegen zum Schutz der Privatsphäre ein.

Wie Unternhemen mit den sensiblen Daten ihrer Beschäftigten umgehen, blieb vorerst nur ein Randthema der Diskussion mit den EU- Abgeordneten. Dabei sieht der neue EU- Datenschutzrahmen einige Regelungen vor , die eine Verschlechterung für ArbeitnehmerInnen bedeuten würden. So soll einE betrieblicheR DatenschutzbeauftragteR erst in Unternehmen ab 250 MitarbeiterInnen eingerichtet werden, in multinationalen Konzernen soll dieser überhaupt nur am Unternehmenshauptsitz vorgesehen sein.

Es wird sich – wie Brüssel-Insiderinnen hören lassen – auch der „Ausschuss für Beschäftigung und soziale Angelegenheiten“ (EMPL) als zusätzlicher Berichterstatter in die EU-Agenda hinein reklamieren, um deutlich zu machen, dass dieses Thema massiv mit Arbeitsverhältnissen zu tun hat und nicht nur mit „Binnenmarkt- und bürgerlichen Freiheiten“.

Auch der EWSA ist in der Sache aktiv geworden – und das ist weitgehend auf Betreiben der GPA-djp und der ver.di zurückzuführen. Der EWSA spricht sich in seiner Stellungnahme vom 23. Mai 2012 gegen die hohe Schwelle für betriebliche Datenschutzbeauftragte aus! Gegen den Widerstand der Arbeitgebervertretungen im EWSA wurde – mit knapper Mehrheit – der hohe Schwellenwert für betriebliche Datenschutzbeauftragte zurückgewiesen. Ginge es nämlich nach dem Verordnungsentwurf der Kommisssion , so müssten Betriebe erst ab einer MitarbeiterInnenzahl von 250 einen betrieblichen Datenschutzbeauftragten installieren. Das würde bedeuten, dass 60 % der Beschäftigten datenschutzrechtlich durch die Finger schauen müssten….

Der EWSA forderte, dass ein/e betriebliche/r Datenschutzbeauftragte/r in jedem Betrieb zu errichten ist, in dem auch ein Betriebsrat zu wählen ist ( in Österreich in allen Betrieben ab fünf Arbeitnehmer/innen).

Klar ist, dass die von GPA-djp und verdi initiierten Bemühungen, sich lautstark in den (parlamentarischen) Meinungsbildungsprozess einzumischen, dringend einer Fortsetzung bedürfen, um den Interessen der ArbeitnehmerInnen gebührendes Gehör zu verschaffen.

 

Praxishandbuch Datenschutzrecht

 

zum Wochenausklang fehlt nur noch eine…

Buchrezension

Basierend auf der Erfahrung von zigtausend Beratungsstunden schrieb der Rechtsanwalt Dr. Rainer Knyrim eine Neuauflage (Erstauflage 2003):

Datenschutzrecht, Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen Outsourcen, Werben uvm

Das Buch enthält eine umfassende Darstellung der betrieblichen Herausforderungen im Datenschutz. Der Autor schafft es, diese Herausforderungen auch für EinsteigerInnen verständlich zu formulieren. Durch seine praxisnahe Schreibweise, die weder zu juristisch noch formalistisch daher kommt, wird der betriebliche Datenschutz ein spannendes und kein abschreckendes Thema.

 Zum Themenkomplex „betrieblicher Datenschutz“  beantwortet dieses Buch zahlreiche Fragen, wobei auch auf die im österreichischen Datenschutzgesetz (DSG 2000) lauernden Fallgruben deutlich aufmerksam gemacht wird.

  • Wie funktioniert das mit der Meldung bei der Datenschutzkommission?
  • Welche Rechte haben die ArbeitnehmerInnen?
  • Informationsrecht und Informationspflicht – wann gilt was?

All das und auch über die reinen juristischen Gegebenheiten hinausgehende Informationen (z.B. zum betrieblichen Datenschutzbeauftragten) bietet die Lektüre. 

Mündigere Mitarbeiter, bestens geschulte Betriebsräte und aufmerksame Kunden sowie erwachte Medien zwingen Betriebe heute, sich mit Datenschutz zu befassen.

schreibt der Autor und beschreibt damit auch gleich die Zielgruppe, an die sich sein Buch richtet.

Was bei dieser Neuaflage des Praxishandbuchs allerdings (neuerlich) nur in Spurenelementen vorhanden ist, ist eine Erwähnung der von ArbeitnehmerInnen-Interessenvertretungen (Arbeiterkammern und Gewerkschaften) zur Verfügung gestellten Informations-Literatur, Weiterbildungsangebote, Ansprechstellen, Beratungsangebote etc. Diese Informationen finden sich (unter anderem) in diesem Blog.

Bestellungen bei Manz oder im ÖGB-Verlag.

 

Die Nachlese zum Datenschutz-Brunch

großer Wurf oder Mogelpackung?

 Am 24.4.2012 um 10:00 begrüßte  Ilse Fetik, stellvertretende Vorsitzende der GPA-djp, die etwa 120 Gäste und stellte die drei wesentlichen Forderungen der GPA-djp vor:

  • eineN betrieblicheN DatenschutzbeauftragteN in Unternehmen ab 25 MitarbeiterInnen,
  • betriebliche Datenschutzbeauftragte an allen Standorten und damit eine Abschaffung des geplanten Konzernprivilegs,
  • eine klare Zuständigkeit der ArbeitnehmerInnen-Interessenvertretung bei der gerichtlichen Vertretung von ArbeitnehmerInnen in Datenschutz-Angelegenheiten. 

Evelyn Regner, Abgeordnete zum europäischen Parlament, kritisierte die geplante Bevorzugung von Klein- und Mittelbetrieben (KMU) durch die Verordnung und gab auch eine Erklärung dafür: die 2007 von der Kommission installierte nach ihrem Vorsitzenden sogenannte „Stoiber-Gruppe“ (offizielle Bezeichnung: Gruppe unabhängiger Interessenträger im Bereich Verwaltungslasten), deren Ziel die Beseitigung von „Hemmnissen“ für KMU ist.

Kerstin Jerchel,  Juristin und Datenschutzexpertin bei ver.di, war wenig begeistert von der in der Verordnung geplanten Bevorzugung der Binnenmarktfreiheiten gegenüber dem Grundrecht auf Datenschutz – in Deutschland „Recht auf informationelle Selbstbestimmung“ genannt und in zahlreichen Urteilen festgeschrieben und ausgebaut. Auch die 250-MitarbeiterInnen-Grenze für betriebliche Datenschutzbeauftragte (DSB) hätte in Deutschland nicht abzusehende negative Folgen, wo derzeit ab 9 bzw. 20 MitarbeiterInnen ein DSB bestellt werden muss. Um gegen diese Verschlechterungen aufzutreten, fordert ver.di, dass die geplante Rechtsform der EU-Verordnung wieder in eine EU-Richtlinie zurückgeführt werden muss. Näheres findet sich in der Präsentation: Die neue europäische Datenschutzverordnung.

Gerda Heilegger stellte die Folgen für den österreichischen ArbeitnehmerInnen-Datenschutz dar:

  • der quasi Wegfall der Meldepflicht für KMU führe zu einem großen Verlust für die Publizität der Datenverwendungen,
  • die hohe Grenze für betriebliche DSB sei indiskutabel,
  • die Vertretungsbefugnisse für die Interessenvertretungen wieder nicht berücksichtigt und
  • die geplante unternehmensinterne Folgenabschätzung sei zwar nett gemeint, aber

…da wird der Bock zum Gärtner gemacht, wenn jedes Unternehmen auf freiwilliger Basis selbst beurteilen kann, ob seine Datenanwendungen risikoreich sind oder nicht – Halleluja!

Bei der Podiumsdiskussion

stellten neben den Referentinnen noch weitere DatenschutzexpertInnen ihre Sicht der Dinge dar.

 

Die Rechtsanwaltsanwärterin Renate Riedl aus der Kanzlei Preslmayr und Partner stellte fest, dass sie selten so eine große Diskrepanz zwischen der Theorie „das Thema ist mir total wichtig“ und der Praxis „ich stelle sämtliche meiner Daten im Internet zur Verfügung“ wie im Datenschutz erlebe. Beim Lesen der Verordnung habe sie den Eindruck gehabt:

Es ist alles noch viel zu unklar. Damit kann man keine klare Rechtsauskunft geben.

Helmut Wolff, Betriebsratsvorsitzender bei Siemens Communications Enterprise erzählte aus der betriebsrätlichen Erfahrung, welchen Hürdenlauf es bedeutet, auch nur annähernd die richtigen Informationen über seitens der Konzernzentrale geplante Datenverarbeitungen zu erhalten und diese dann auch wahrheitsgemäß bei der Datenschutzkommission angegeben zu finden.

Die sind dort zwar alle wirklich nett und hilfsbereit, aber heillos unterbesetzt.

stellt der Betriebsrat fest. Ihn beunruhigen an der neuen Verordnung vor allem die Konzernprivilegien, wonach nur mehr der Hauptsitz über die Datenverwendungen bestimmt.

Ob Verordnung oder Richtlinie ist mir persönlich egal – es kommt drauf an, was drinnen steht.

Joe Weidenholzer, Abgeordneter zum EU-Parlament und in dem Ausschuss Mitglied, der die Datenschutz-Verordnung federführend behandelt (Ausschuss für Justiz und bürgerliche Freiheiten, LIBE), erklärte, dass der vorgelegte Entwurf eindeutig die Handschrift der EU-Kommission trage; diese kümmere sich nun einmal vorrangig um die Freizügigkeiten im Binnen- und damit auch Datenverkehr.

Zu den vielen „delegierten Rechtsakten„, bei denen sich die Kommission vorbehalten hat, konkretere Rechte noch auszuformulieren, fällt Weidenholzer das Wort „Glühbirnen-Verordnung“ ein.

Einig war man sich am Podium dass dem Entwurf mit vereinten Kräften gegenzusteuern sei. Angesichts des Erfolgs im EU-Parlament, das gerade dabei ist, ACTA  im Nachhinein zu kippen , sind Regner und Weidenholzer optimistisch, dass es auch der geplanten Verordnung ähnlich ergehen könnte. Hoffen lasse auch das Abstimmungsergebnis zum Berichterstatter im LIBE; Jan Phillip Albrecht wurde – knapp aber doch – gewählt und dieser ist mit Datenschutz-Agenden vertraut.

Evelyn Regner und Joe Weidenholzer haben anlässlich der Tagung eine Presseaussendung herausgegeben.

Wer bedeuerlicher Weise aufgrund wichtiger unaufschiebbarer Termine keine Zeit hatte an der Veranstaltung teilzunehmen, kann sich die Unterlagen demnächst auf der AK-Homepage downloaden

… und sich schon mal provisorisch für die nächste Veranstatlung freinehmen – Termin wird in diesem Blog bekannt gegeben.

Datenschutzbrunch am 24.April 2012

Die neue europäische Datenschutzverordnung

großer Wurf oder Mogelpackung? Was bringt´s für die Arbeitswelt?

Anlässlich der aktuellen Diskussionen um eine neue Datenschutz-Verordnung, laden GPA-djp und AK Wien zu einer gemeinsamen Veranstaltung.

In den frühen Vormittagsstunden des 24. April 2012 können sich die p.t. TeilnehmerInnen bei Referaten aus Brüssel, Berlin und Wien informieren. Im Anschluss an die Kaffeepause wird es Gelegenheit geben, sich mit den ReferentInnen und weiteren Gästen im Rahmen einer Podiumsdiskussion  mit den Für und Wider der neuen Verordnung auseinanderzusetzen.

wir proudly begrüßen:

  • die Abgeeordnete zum Europäischen Parlament, Evelyn Regner, die darüber berichten wird, wie die neue Verordnung im Parlament diskutiert wird
  • die Juristin und Datenschutz-Expertin Kerstin Jerchel von ver.di, die uns den Diskussionsstand in Deutschland näher bringen wird,
  • die Juristin und Datenschutz-Expertin Gerda Heilegger von der AK Wien, die die Auswirkungen des Verordnung auf ArbeitnehmerInnen in Österreich beleuchten wird,
  • den Abgeordneten im Europäischen Parlement, Joe Weidenholzer, der gleichzeitig auch Mitglied in dem EU-Ausschuss ist, dem die neue Verordnung zugewiesen wurde (LIBE),
  • den Betriebsratsvorsitzenden Helmut Wolff von Siemens Enterprise Communications, der die betriebliche Praxis beleuchten wird,
  • die Rechtsanwältin Renate Riedl aus der Anwaltskanzlei Preslmayr, die Erfahrungswerte aus Perspektive der Geschäftsführung in die Diskussion einbringt, 
  • und als Eröffnungsredner Wolfgang Katzian, den Vorsitzenden der GPA-djp.

wann?     Dienstag, 24. April 2012, 10.00 bis 13.00 Uhr
wo?     AK Bildungszentrum, Großer Saal, Theresianumgasse 16-18, 1040 Wien

Anmeldung bitte per E-Mail: andreas.stoeger@akwien.at oder per good old Telefon unter der Nummer: 01/501 65 – 2421

(bitte bis 16. April anmelden – der Saal hat eine beschränkte Anzahl an Sitzplätzen und die am Podium sind auch schon alle besetzt)

Auf dein Kommen freut sich die Autorin dieses Beitrags und Moderatorin der Podiumsdiskussion (aka Dr. Datenschutz).

 

EU-Datenschutzverordnung reloaded

Letzte Woche hat der ÖGB eine Stellungnahme zur geplanten EU-Verordnung zum Datenschutz verfasst und an das Bundeskanzleramt, wo die österreichischen Datenschutz-Agenden zusammenlaufen, geschickt. 

Die Eckpunkte der Stellungnahme des ÖGB kurz zusammengefasst:

  • Eine einheitliche EU-weite Rechtsvorschrift wird begrüßt.
  • Datenschutzbeauftragte sollen bereits in Firmen ab 25 MitarbeiterInnen bestellt werden und mit mehr Ressourcen ausgestattet werden (z.B. Mindest-Arbeitszeit, Haftungsausschluss,…).
  • Das im Entwurf erwähnte „profiling“, also der automatisierte Datenabgleich aus verschiedenen Quellen, soll im Zusammenhang mit dem Beschäftigungsverhältnis, insbesondere bei der Leistungsbeurteilung, unbedingt verboten werden.
  • Das „one-stop-shop-Prinzip“, wonach einzig und allein die Hauptniederlassung von Konzernen für Bestimmungen zum Transfer von Daten zuständig sein soll, wird abgelehnt.
  • Ebenso kann der ÖGB einer „Datenübermittlung auf Basis verbindlicher unternehmensinterner Vorschriften“ wenig abgewinnen.

Beim Treffen der EU-Ratsarbeitsgruppe äußerten die Delegierten auch dort Bedenken zum vorliegenden Entwurf. Es wurde über einen ersten Teil sowie allgemeine Punkte der Verordnung beraten. Dabei wurde von vielen Mitgliedsländern kritisiert, dass es zu viele „delegierte Rechtsakte in dem Verordnungs-Entwurf gibt. Die Kommission hat sich nämlich zu 38 (!) Punkten vorbehalten, noch nährere Ausführungen zu formulieren, wodurch die Staaten eine Einmischung in ihre nationalen Bestimmungen befürchten. Einige Länder waren mit der Konstruktion der betrieblichen Datenschutzbeauftragten (DSB) wenig glücklich. Als Alternativvorschlag zum Kommissionsvorschlag, demnach DSB erst in Betrieben mit 250 und mehr MitarbeiterInnen vorgesehen sind, meinte der Delegierte aus Deutschland, dass man auch auf die Qualität der Datenverarbeitung abzielen könnte – also wer risikoreiche Datenverwendungen betreibt (über „Risiko“ lässt sich sicher noch gut streiten), braucht auch einen DSB. Die Delegierten aus Deutschland, den Niederlanden und Österreich finden eine solche Konstruktion durchaus überlegenswert.  Frankreich, Italien und Deutschland wiederum übten Kritik an dem „one-stop-Prinzip“ und wären damit in diesem Punkt wichtige Verbündeter bei der Vertretung von ArbeitnehmerInnen-Interessen.

 

Was die geplante EU-Verordnung zum Datenschutz für österreichische ArbeitnehmerInnen bedeutet

IMG_1556 ein Interview mit Gerda Heilegger

Die geplante  Novellierung im EU-Datenschutz wird auch in Österreich weit reichende Konsequenzen haben. Zu den Auswirkungen auf die Gesetzeslage in Österreich wurde deshalb die Juristin Gerda Heilegger aus der Arbeiterkammer Wien befragt.

Dass der internationale Datentransfer ein heißes Thema ist, wurde bereits des Öfteren – auch in diesem Blog – thematisiert. Zuletzt wieder in dem Artikel „Einblick unerwünscht“ in der Kompetenz.

In der geplanten EU-Verordnung soll der Datentransfer innerhalb der EU weitere Freiheiten erfahren und zugleich der Missbrauch von personenbezogenen Daten stärker sanktioniert werden. Was die Verordnung insgesamt für die derzeitige Gesetzgebung bedeutet, verrät Gerda Heilegger.

Was sind die wesentlichen Änderungen der geplanten EU-Verordnung im Vergleich zum derzeitigen Stand im ArbeitnehmerInnen-Datenschutz?

Man kann schon sagen, dass die Verordnung einige Verbesserungen bringt.

Dass es jetzt Mindeststrafen geben soll, ist sehr begrüßenswert. In Österreich gibt’s derzeit nur Höchststrafen und die werden kaum je ausgesprochen – Strafverfahren zum Datenschutzgesetz sind momentan eher scheintot. 

Es ist schön, dass es einen Datenschutzbeauftragten geben soll, auch wenn die Rahmenbedingungen nicht wirklich zufriedenstellend sind. Da fehlt noch die rechtliche Absicherung für diese Funktion, die Mitsprache des Betriebsrates und die Anzahl der Beschäftigten, ab der ein Datenschutzbeauftragter einzurichten ist, ist zu hoch.

Ja und was sehr gut ist, ist die Informationspflicht für die Betroffenen, falls es zu einem Daten-Leck kommt. Das ist jetzt in der Verordnung genau festgeschrieben, was dann zu passieren hat, in welcher Frist informiert werden muss – nämlich 24 Stunden – und worüber konkret informiert werden muss – nämlich welche Daten in die falschen Hände geraten sind und wo das Sicherheitsleck ist.

Leider gibt es nach wie vor kaum einen expliziten Bezug zum Arbeitsverhältnis – zwar ist in Artikel 82 das „data proceeding in the employment context“ abgehandelt, aber das gibt inhaltlich nicht viel her.

Welche Auswirkungen hat die geplante Verordnung auf unser derzeitiges Datenschutzgesetz?

Die Verordnung steht rechtlich über dem DSG. Die Verordnung ist in Österreich unmittelbar anzuwenden, enthält allerdings noch einige Lücken, wie das konkret umgesetzt werden soll, weshalb ich annehme, dass die EU-Staaten sowieso einiges noch näher ausführen müssen. Tritt die Verordnung in Kraft, müssen die Mitgliedsstaaten prüfen, ob ihre Gesetzgebung der EU-Verordnung entspricht – zum Beispiel bei den Sanktionen entspricht die derzeitige Gesetzeslage in Österreich nicht der Verordnung und das müsste dann nachgebessert werden. Oder der Gesetzgeber setzt das DSG außer Kraft. Oder er macht gar nichts und handelt sich eine Vertragsverletzungsklage ein.

Was wäre aus Sicht der ArbeitnehmerInnenvertretung noch unbedingt zu ergänzen in dem Entwurf der EU-Kommission?

Ich würde mir wünschen, dass die Verordnung ganz klar regelt, in welchen Bereichen die EU-Staaten eigene nationalstaatliche Regelungen zur Besserstellung gegenüber der Verordnung schaffen können. Insbesondere beim Datenschutzbeauftragten wäre das wichtig – den muss es auch für Firmen mit weniger als 250 Mitarbeitergeben und sie brauchen einen Kündigungsschutz und ein Benachteiligungsverbot.

Dann bleibt zu hoffen, dass das EU-Parlament hier noch nachbessert. Danke für das Interview.

Danke ebenfalls.

der neue Entwurf der EU-Verordnung zum Datenschutz

himmelquo vadis EU-Datenschutz?

 

Ein Loch im Datenschutz!

Doch fangen wir am Anfang an: Ende November wurden bei einem Treffen in Brüssel die Eckpunkte der bevorstehenden Novelle zum Datenschutz aus ArbeitnehmerInnen-Perspektive beleuchtet. Es trafen sich GewerkschafterInnen von der deutschen Dienstleistergewerkschaft ver.di , die ÖGB-Verterterin in Brüssel,  ein Vertreter des Europäischen Wirtschafts- und Sozialausschuss (EAWS) und eine Gewerkschaftssekretärin der GPA-djp in Brüssel mit den Juristen, die für die neue Fassung der Datenschutz-Richtlinie zuständig sind. Kürzlich wurde das damals im Zentrum der Diskussion stehende Dokument  – offensichtlich durch ein Leck in der EU – für die Öffentlichkeit  einsehbar.

Bei dem Treffen in Brüssel wurden in einem durchaus offenen Gesprächsklima folgende Themen auf den Tisch gelegt:

  • Die Richtlinie wird durch eine Verordnung ersetzt, d.h. dass für alle Mitgliedsstaaten dasselbe gilt.
  • Die Einwilligung zur Datenverwendung im Arbeitsverhältnissoll keine legale Grundlage mehr sein, personenbezogene Daten von ArbeitnehmerInnen verarbeiten zu dürfen.
  • Die unabhängigen Datenschutz-Behörden (in Österreich die Datenschutzkommission) sollen wesentlich gestärkt werden – sowohl in ihren Ressourcen als auch in ihren rechtlichen Durchsetzungsmöglichkeiten.
  • Es soll eine innerbetriebliche Behörde etabliert werden, die für den Datenschutz verantwortlich ist; sprich der/die innerbetriebliche Datenschutzbeauftragte könnte in dieser Verordnung Realität werden. Die betriebsrätliche Mitbestimmung bei deren Bestellung war ein heiß diskutiertes Thema bei dem Treffen und findet vielleicht noch Aufnahme in den Entwurf.
  • Die Sanktionen sollen empfindlich erhöht werden.
  • Ein Verbandsklagsrecht wird angedacht, um die Rechtsdurchsetzung für den/die EinzelneN zu erleichtern. Hier könnte man dann auch auf betrieblicher Ebene einhaken und als Betriebsrat das Verbandsklagsrecht nutzen und auf diesem Weg die Vertretungsbefugnis für die ArbeitnehmerInnen im Datenschutz erhalten.

Nun ist bekannt, wie das Dokument konkret aussieht, über das diskutiert wurde – es ist geleakt worden.

 

Der Entwurf zur europäischen Datenschutzverordnung sieht vor, dass

Datenschutzbeauftragte ab einer Größe von 250 MitarbeiterInnen eingesetzt werden müssen,

die Sanktionen empfindlich erhöht werden bis zu 5% des jährlichen weltweiten Jahresumsatzes

aber leider auch eine Art Konzernprivileg eingeführt werden soll, das die Zentrale als Datenverantwortliche festschreibt und ihnen damit die Hoheit über die Daten der MitarbeiterInnen überlässt.

Am 25. Jänner 2012 wird das Dokument dem EU-Parlament vorgelegt. Bis dahin wird die GPA-djp den Fokus auf zwei Aufgaben legen:

  1. weitere europäische Gewerkschaften davon überzeugen, dass es auf europäischer Ebene zu intervenieren gilt
  2. EU-ParlamentarierInnen davon überzeugen, dass es bei dem Entwurf noch „Optimierungspotential“ gibt.

Und es geht weiter…