Tag Archives: Datenschutzbehörde

betrieblicher Datenschutz – altes Fass oder neuer Wein?

ein Veranstaltungsrückblick

Unter dem Titel „neue Technologien – neuer rechtlicher  Rahmen – neue Lösungen“ fand am 13. März im Bildungszentrum der Arbeiterkammer Wien eine Veranstaltung statt. Über 250 BetriebsrätInnen wollten sich die Ausführungen zu technologischen Veränderungen sowie der Datenschutzgrundverordnung und ihren voraussichtlichen Auswirkungen nicht entgehen lassen.

Rudi Kaske und Dwora Stein eröffneteN

an dem sonnigen Frühlingsnachmittag. Kaske betonte in seiner Rede, dass die Technik zunehmend komplexer werde und somit digitale Kompetenzen bei allen Betroffenen erfordere. Es gehe darum den digitalen Wandel zu gestalten und mitzubestimmen, sodass immer der Mensch die zentrale Figur ist.

Dwora Stein, die Geschäftsführerin der GPA-djp, nahm in ihrem Eingangsstatement vor allem die betriebliche Ebene in den Fokus. Betriebsrätinnen und Betriebsräte sind mit ihrer fachlichen Expertise, ihrer sozialen Kompetenzen und ihre internationalen Vernetzung gefordert um ihre rechtlichen Möglichkeiten auszuschöpfen. Die Gewerkschaft stellt ihnen Hintergrundinformationen und Beratung zur Verfügung und den Einsatz dafür, die rechtlichen Rahmenbedingungen im Sinne der ArbeitnehmerInnen-Mitbestimmung zu gestalten.

Thomas Riesenecker erklärte technischen Wandel

Der Geschäftsführer der Forschungs- und Beratungsstelle Arbeitswelt stellte die wesentlichen Veränderungen der digitalen Arbeitswelt dar und stellte dabei in Frage, ob es sich tatsächlich um eine „Revolution“ handelte und nicht vielmehr um eine Weiterentwicklung auf Basis bereits bestehender Technologien.

Insbesondere die Sensorik habe die Möglichkeiten der Maschinen verändert. Sie könnten nun miteinander (auch ohne direkte Intervention von Menschen) interagieren. Das sogenannte „Internet der Dinge“ (IoT) ist nun in der Robotik, der Fahrzeugtechnik und diversen anderen Anwendungsgebieten Thema.

Martina Chlestil stellte die derzeitige Rechtslage (DSG) und Clara Fritsch die kommende (DSGVO) dar

In einer Doppelkonference wurden die wesentlichen, für betrieblichen Datenschutz relevanten Gesetzesänderungen, die mit dem In-Kraft-treten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 schlagend werden, vorgestellt:

  • das öffentliche Datenverarbeitungsregister wird zu einem innerbetrieblichen Verfahrensverzeichnis
  • der betriebliche Datenschutzbeauftragte wird – für bestimmte Unternehmen – verbindlich
  • die Mitbestimmungsrechte nach dem ArbVG bleiben erhalten

Matthias Schmidl beschrieb die Aufgaben der Datenschutzbehörde

Die Datenschutzbehörde, deren stellvertretender Leiter Matthias Schmidl ist, erhält mit der Datenschutzgrundverordnung (DSGVO) zusätzliche Aufgaben und neue Vorgaben, wie Prozesse abzuwickeln sind.

  • die Behörde wird in Abstimmung mit den anderen europäischen Behörden eine „Blacklist“ und eine „Whitelist“ erstellen, die angibt, welche Datenverwendungen eine Risikofolgenabschätzung benötigen – und welche nicht
  • die Behörde wird Geldbußen  – in Koordination mit den anderen europäischen Datenschutzbehörden – festlegen und verhängen
  • die Behörde wird – wie bisher auch – Ansprechstelle für Beschwerden sein

Nach einer kurzen Stärkung bei Kaffee und Kuchen, nahmen drei Betriebsräte und drei GewerkschaftssekretärInnen auf den roten Sesseln am Podium Platz und erzählten aus ihrem Umgang mit Technik im Betrieb.

Kollege Magnus von der Sucht- und Drogenkoordination der Stadt Wien stellte dar, wie ein Dokumentationssystem legal, aber trotzdem zum Nachteil der KollegInnen verwendet werden kann, indem daraus errechnet wird, wie viele Prozent der eingeladenen KlientInnen tatsächlich kommen. Auf dieser Basis werden mehr KlientInnen eingeladen, als Termine zur Verfügung stehen (Überbuchung), was aufgrund des gesteigerten Arbeitsdrucks zu Konflikten zwischen den verschiedenen Berufsgruppen führt. Gemeinsam mit der zuständigen Fachgewerkschaft GPA-djp arbeitet man nun an einer Betriebsvereinbarung zu dem System. Eva Angerler strich in ihrem Statement heraus, dass es bei Technik im Unternehmen immer um drei Säulen geht

  • einen rechtlichen Rahmen zu schaffen mittels Betriebsvereinbarung
  • einen Datenschutz durch Technik zu gewährleisten
  • und eine Betriebskultur, die Datenschutz-Bewusstsein im täglichen Miteinander lebbar macht.

Kollege Szalay beschrieb wie Wien Energie versuchte, ein elektronisches Fahrtenbuch einzuführen und auf Initiative der Betriebsrates ein solches mehrere Jahre nicht der Fall war – so lange bis es eine den Wünschen der ArbeitnehmerInnen entsprechende Betriebsvereinbarung dazu gab. Andreas Schlitzer aus der Pro-Ge hat dabei die rechtliche Beratungsarbeit geleistet.

Auch bei den ÖBB-BCC stellt die Digitalisierung ein wesentliches Thema dar. Ein so wesentliches, dass man gemeinsam mit dem Ministerium, der Forba und der Gewerkschaft vida ein eigenes Projekt dazu auf die Beine gestellt hat. „Und ihr werdet es nicht glauben“ sagte der Betriebsrat Josef Brenner „was das geändert hat, dass wir einmal nicht den Entwicklungen hinten nach gelaufen sind, sondern als Betriebsrat aktiv begonnen haben, ein eigenes Projekt dazu aufzusetzen.“

Alle Präsentationen und Handouts zur Veranstaltung finden sich hier.

Alles kann natürlich in einem Nachmittag nicht besprochen, diskutiert und gelöst werden. Wenn nun Interesse entstanden sein soll, freuen sich Arbeiterkammer und Fachgewerkschaften; zu Wirkungen und Nebenwirkungen der Digitalisierung und der neuen Gesetzeslage wenden sie sich vertrauensvoll an ihre Interessenvertretung oder ihre Fachgewerkschaft.

betrieblicher Datenschutz made by Behörde

Akten_Ordner1Entscheidungen und Empfehlungen der österreichischen Datenschutzbehörde (formaly known as „Datenschutzkommission“) zu Arbeitsplatz-relevanten Themen

… und was wir daraus lernen können

Die österreichische Datenschutzbehörde wird immer wieder von Betroffenen kontaktiert, die sich sorgen, ob ihre personenbezogenen Daten auch richtig verwendet werden, ob nicht zu viel von ihrer Privatsphäre kontrolliert wird, ob ihre Daten nicht an zu viele Empfänger weitergegeben werden, etc. In einigen Fällen, trifft die Behörde dann Entscheidungen oder spricht Empfehlungen aus zum Schutz der Betroffenen. Einige Entscheidungen, die für das Arbeitsverhältnis getroffen wurden, sind im Folgenden kurz dargestellt.

Anmerkung: eine „Empfehlung“ der Behörde ist nicht direkt rechtswirksam. Sollte aber der Empfehlung innerhalb der vorgegebenen Frist nicht nachgekommen werden, würden weitere Schritte folgen – zum Beispiel in Form von Strafanzeige, einer gerichtlichen Klage oder sollte es sich um eine gefährliche Datenanwendung handeln, kann auch eine Anordnung ausgesprochen werden, selbige zu unterlassen.

Fieberthermometerder Krankenstand und seine Auswertungen

Einige Gebietskrankenkassen bieten eine Auswertung der Krankenstände der MitarbeiterInnen im Sinne der betrieblichen Gesundheitsförderung an – so auch die Tirolerische. Die Tiroler Ärztekammer war darüber „not amused“. In den Statistiken wurde nämlich neben der Angabe des Geschlechtes auch eine Diagnose der Krankheiten aufgelistet, sodass die Anonymität nicht mehr gewährleistet sei, argumentierte die Tiroler Ärztekammer:

Es könne daher ein direkter Personenbezug hergestellt werden. Auch von der Dauer eines Krankenstandes, etwa im Fall einer Depression, die mit langen Krankenständen verbunden sei, könne auf eine Diagnose und damit auf bestimmte Mitarbeiter geschlossen werden.

Dieser Logik folgte die Datenschutzbehörde und empfahl der Gebietskrankenkasse folgendes

  • lediglich jene Krankheitsdaten in die Statistik miteinzubeziehen, die mit der Tätigkeit dieses Betriebes typischerweise verbunden sind (sämtliche Erkrankungen der Belegschaft in der Statistik anzuführen ist nämlich überschießend im Sinne der betrieblichen Gesundheitsvorsorge)
  • Gruppen erst dann statistisch auszuweisen, wenn sie mehr als fünf Personen umfassen (nur so ist ein ausreichendes Ausmaß an Anonymität garantiert)

Auch für die Evaluierung psychischer Erkrankungen nach dem ArbeitnehmerInnenschutzgesetz ist es erforderlich, wie eben beschrieben vorzugehen (Empfehlung vom 30.3.2015). Außerdem wird festgehalten, dass auch nicht ersichtlich sein darf, WER an einer anonymen Umfrage teilgenommen hat  – und wer nicht.

baustelle1die illegale Beschäftigung und ihre Kontrolle

Es soll vorkommen, dass ArbeitnehmerInnen nicht rechtmäßig beschäftigt werden – sprich nicht der Sozialversicherung gemeldet werden. Um diesem illegalen Vorgehen entgegenzuwirken hat die Tiroler Wirtschaftskammer eigenständige Personenkontrollen an Baustellen durchgeführt – und hat dadurch selbst die Grenze zur Illegalität nicht ganz eingehalten. Es fällt nämlich nicht in die Befugnis der Wirtschaftskammer, Fotos zu erstellen, Personalien sämtlicher Anwesender aufzunehmen oder Grundstücke zu betreten – das ist eine Kompetenz der Finanzbehörden.

Die Datenschutzbehörde empfahl daher der Tiroler Wirtschaftskammer am 9.Mai 2016 aufgrund der fehlenden gesetzlichen Grundlage (Ermächtigung) für ihr überschießendes Vorgehen:

  • derartiges Vorgehen zukünftig zu unterlassen
  • die ermittelten Daten zu löschen
  • und zwar ohne Fristsetzung

die PatientInnen und ihre Daten

Eine diplomierte Krankenschwester hatte sich in dem Krankenhaus, in dem sie selbst angestellt war, einer Operation unterzogen. Ihre Patientinnendaten waren für über 1.000 KollegInnen einsichtig.

Die Behörde formuliert ihre Empfehlung so; „Das Krankenhaus…

  • möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben
  • möge die Zugriffsberechtigung auf die Patientendokumentation so gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind
  • möge durch Zugriffs-Kontrollen sicherstellen, dass besonders schützenswerte Personengruppen (wie eigene Bedienstete oder deren Angehörige bzw. öffentlich bekannte Personen), die sich einer Behandlung unterziehen (müssen), vor unberechtigten Zugriffen geschützt sind
  • Die Bediensteten mögen darüber nachweislich in Kenntnis gesetzt werden
  • Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.

schülerschilddie Garderoben der SchülerInnen und deren Videoüberwachung

Immer wieder wird in Schulen versucht, Videokameras als Maßnahme zum „Eigentumsschutz“ anzubringen. Während die Behörde diese außerhalb des Schulgebäudes (zB bei Fahrradabstellplätzen) grundsätzlich genehmigt, tut sie dies nicht im Garderoben- und Gangbereich. Dort herrsche nämlich ohnehin Aufsichtspflicht und wenn diese durchgeführt werden, ist ja eine Kamera nicht gerechtfertigt.

  • was die Kamera filmt, darf nur den unumgänglich notwendigen Bereich erfassen, aber nicht an das Schulgelände angrenzende Straßen und Gehsteige
  • Auswertungen dürfen nur vom Direktor und nur in Beisein eines Lehrervertreters vorgenommen werden
  • Auswertungsergebnisse müssen vertraulich behandelt werden
  • Zufallsfunde sind zu löschen
  • Auswertungen sind zu protokollieren
  • nachdem das Beweismaterial sichergestellt wurde, sind die Aufnahmen zu löschen – ohnehin ist die Speicherdauer mit 72 Stunden beschränkt

Zu diesen und noch mehr Angelegenheiten nimmt die Datenschutzbehörde Stellung. Auch zu Whistleblowing (zur Thematik Whistleblowing gibt es in diesem Blog einen ausführlichen Artikel) oder globalen Personalbesetzungssystemen gibt es für die ArbeitnehmerInnen-Vertretung hilfreiche Empfehlungen. Oftmals ist es effektiver in der Argumentation gegenüber ArbeitgeberInnen, wenn eine Behörde eine Empfehlung abgibt, als wenn dies die Gewerkschaft tut – bisweilen sind sich diese beiden aber in der datenschutzrechtlichen Beurteilung gar nicht so uneins.