Tag Archives: Datenschutzkommission

Auswertung von Gesundheitsdaten durch Krankenkassen

knochen2Datenschutzkommission gibt eindeutige Empfehlungen zur Auswertung von Krankenstandsdaten

Immer wieder möchten Geschäftsführungen und Management von Betrieben wissen, was denn die Krankenstände der Angestellten verursacht. Das macht auch durchaus Sinn, wenn damit den Ursachen entgegengewirkt wird und die Gesundheit der ArbeitnehmerInnen erhalten bleibt. Wer ist schon gerne krank?

Vorsicht: sensibel!

Laut Datenschutzgesetz (DSG) handelt es sich bei Gesundheitsdaten um sensible Daten und die unterliegen einem strengen Schutz. Also wandte sich die Tiroler Ärztekammer an die österreichische Datenschutzkommission (DSK) und verlangte wegen Daten-Weitergabe der Tiroler Gebietskrankenkasse (TGKK) an tiroler Unternehmen eine Klärung. Unter anderem stieß sich die Tiroler Ärztekammer daran:

…dass bspw. das Anführen einer Krankheit der weiblichen Geschlechtsorgane nur in den seltensten Fällen mit betrieblicher Gesundheitsvorsorge in Verbindung zu bringen sei und deren Auswertung daher für den von der TGKK angegebenen Zweck der betrieblichen Gesundheitsförderung nicht
notwendig sei. Auch sei unklar, wer die Auswertungen erhalte Betriebsinhaber,
Betriebsrat, Arbeitsmediziner.

Gesundheitsförderung oder Krankheits-Spionage?

Die meisten Gebietskrankenkassen bieten Krankenstandsauswertungen als Service für Unternehmen mit mehr als 50 Beschäftigten an. Die Oberösterreichische Gebietskrankenkasse verlangt dafür beispielsweise zwischen 158€ und 1.500€ – je nach Größe des Betriebs und gewünschten Detailauswertungen (z.B. Alter, Geschlecht, Abteilung oder Diagnose). In Wien kostet die Krankenstandsauswertung bei der Gebietskrankenkasse zwischen 150€ und 1.500€. Details kosten ebenfalls extra.

Solange das tatsächlich anonym ist, kann das positive Auswirkungen haben. Nehmen stressbedingte Erkrankungen überhand, wäre das ein gutes Argument dem betrieblich gegenzusteuern. Steigen Muskel- und Skeletterkrankungen wäre das ein Anlass für die Gesundheitsfachkräfte einmal genauer auf die Arbeitsplatzgestaltung hinzuschauen. Das ist auch im Sinne der Gesundheitsförderung, wie der Gesetzgeber sie vorsieht (zB §§81 und 82 ASCHG) . Auch zählen Gesundheitsförderung und Prävention zu den Aufgaben der Sozialversicherungen (§§116 und 154b ASVG). Man kann also nicht behaupten, dass sich die Tiroler Gebietskrankenkasse hier in etwas eingemischt hätte, das sie nichts angeht.

Je kleiner die ausgewerteten Einheiten allerdings sind umso kleiner wird die Wahrscheinlichkeit, dass die Daten, sprich die Krankheitsdiagnosen der MitarbeiterInnen, tatsächlich anonym sind. Rückschlüsse auf Einzelpersonen und damit auf deren Krankheiten sind leicht möglich.

Die Datenschutzkommission hat die Krankheitsgruppen-Statistik der Tiroler Gebietskrankenkasse genauer unter die Lupe genommen und ist im Mai zu folgender „Empfehlung“ gekommen:

Die Tiroler Gebietskrankenkasse möge geeignete Maßnahmen ergreifen, um
sicherzustellen, dass aus den übermittelten Daten ein Personenbezug zu einzelnen Mitarbeitern eines Unternehmens nicht möglich ist.

Konkret sagt die DSK

  • Die ausgewerteten Krankheiten müssen mit der Tätigkeit des Unternehmens zu tun haben.
  • Es dürfen keine Rückschlüsse auf Einzelpersonen möglich sein.
  • Gruppen sollen mindestens fünf Personen umfassen.
  • Es müssen folglich für jeden Betrieb individuelle Auswertungen gemacht werden, wobei darauf geachtet werden muss, dass die ausgewerteten Krankhheiten auch etwas mit der Arbeit im Betrieb zu tun haben.

 

Neue Struktur in der österreichischen Datenschutzbehörde

stempel1klarere Regelungen auf dem datenschutzrechtlichen Instanzenweg

Was haben Vergabeamt, Asylbehörde, Datenschutzkommission und ORF-Gesetz gemeinsam? Eine neue Verwaltung!

Die Datenschutzkommission ist nicht ganz so unabhängig, wie sie es sein sollte. Deshalb hat das Parlament im Zuge der Verwaltungsreform auch gleich die Datenschutzbehörde mit reformiert. Wer von der neuen Behörde einen Bescheid erhält, kann mit diesem ab 2014 eine Instanz weiter gehen.

Spätestens mit dem Urteil des Europäischen Gerichtshofs vom 16. Oktober 2012 war klar: die Datenschutzkommission (DSK) muss reformeirt werden, da sie mangelnde Unabhängigkeit aufweist. Dieses Urteil in einem so genannten „Vertragsverletzungsverfahren“ der EU-Kommission gegen Österreich kritiserte die Konstruktion der Datenschutzkommission in drei Punkten:

  • die Geschäftsführung hat Beamtenstatus, ist also weisungsgebunden
  • die DSK ist im Bundeskanzleramt angesiedelt, ist also in ihrer täglichen Arbeitsroutime von den Abläufen im BKA abhängig,
  • der Bundeskanzler hat ein „Unterrichtungsrecht“ und ist gleichzeitig mit einer „Überprüfungsbefugnis“ ausgestattet, was ihm zu einer zweifelhaften Zwitterposition verhilft

Alldem kann mit der Verwaltungsreform abgeholfen werden. Gemeinsam mit dem Asylgerichtshof, der Volksanwaltschaft und noch ein paar anderen unabhängigen Gerichten „übersidelt“ die DSK nun in den Zuständigkeitsbereich der Verwaltungsgerichtsbarkeit.

Die neue Dastenschutzbehörde untersteht mit Jänner 2014 dem Bundesverwaltungsgericht, an das man sich wenden kann, sollte ein Bescheid der Datenschutz-Behörde nicht den Erwartungen entsprechen. Ursprünglich hätte ein sozialpartnerschaftlich besetzter Fachbeirat die Behörde unterstützen sollen. Von der Einrichtung eines Fachbeirat wurde nun abgesehen um die Unabhängigkeit der neuen Behörde zu gewährleisten.  Dafür sind Bescheide der DS-Behörde nun anfechtbar. In zweiter Instanz ist ein „Senat unter Einbindung fachkundiger LaienrichterInnen aus dem Kreis der Arbeitgeber und Arbeitnehmer einzurichten“ so Johann Maier, Vorsitzender des Datenschutzrates im österreichischen Nationalrat.

Der oder die Vorsitzende der Datenschutzbehörde wird in Zukunft vom Bundeskanzler auf Vorschlag der Regierung für fünf Jahre ernannt werden.

Posttipptum: Das war jetzt die (gefühlte) zehnte DSG-Novelle in fünf Jahren – aber das mit dem Datenschutzbeauftragten ist nach wie vor nicht erledigt. Hmpf!

das Datenverarbeitungsregister ist online

logo_dsk_navbesser spät als nie

Seit 1. September ist das Datenverarbeitungsregister (DVR) nun online. Damit wurde ein Baustein aus der DSG-Novelle von 2010 nun umgesetzt. Wie aus wohlunterrichteten Kreisen zu hören war, mussten vorerst noch einige „Kinderkrankheiten“ bewältigt werden, bevor das Register nun allen offen steht.

Im DVR online werden alle Datenverwendungen von den Auftgraggebern (also z.B. den Arbeitgebern, Vereinen) eingetragen und können von allen, die das interessiert, eingesehen  werden. Es ist nicht mehr erforderlich, bei der Datenschutzkommission Anträge auf einen Auszug aus dem Melderegister zu stellen, wenn man wissen möchte, ob die Meldungen auf dem letzten Stand sind sondern jede Person mit Internetzugang kann sich selbst online ansehen, welche Anwendungen gemeldet wurden – und welche nicht.

Die Datenschutzkommission schreibt in ihrer Information:

DVR-Eintragungen sollten regelmäßig (etwa bei Software-Umstellungen oder Up-dates) auf Aktualität (Vollständigkeit und Richtigkeit) überprüft werden (Meldepflicht gemäß § 17 Abs. 1 Satz 2 DSG 2000). Eine Unterlassung kann strafbar machen (Geldstrafe bis 10.000 Euro gemäß § 52 Abs. 2 Z 1 DSG 2000).

Die Meldepflicht wurde mit dieser Eintragungsmöglichkeit für die Auftraggeber wesentlich erleichtert und somit sollte einer gesetzesgemäßen Meldung aller innerbetrieblichen Datenverwendungen, die keine Standardanwendungen sind, nichts mehr im Wege stehen.

you can hear the whistle blow…

pfeiferlinnerbetriebliches Whistle-Blowing, wollen wir das?

Das (Ver-)Pfeifen ist gelernten ÖsterreicherInnen nicht allzu fremd. Neu ist, dass es Überlegungen dazu gibt, dieses Melden von unangebrachtem Verhalten in gesetzliche Formen zu gießen.

Fangen wir am Anfang an: Es war einmal in einem Land weit weit weg (weil bei uns würde so etwas nie passieren) ein riesengroßer Energiekonzern und der hieß Enron. Über viele Jahre hinweg wurde der Konzern von gemeinen Leuten bestohlen.  Diese Diebe, das waren die eigenen Manager – und ihre Berater – die alle Dokumente fälschten und so taten, als sei alles in Ordnung. Viele Angestellte hatten jahrelang gewusst, dass das nicht rechtens war, doch wollte keiner etwas davon nach außen dringen lassen, um die Arbeit nicht zu verlieren. So wurde alles nur noch schlimmer und die Diebe nahmen das Geld aus der Kasse, bis schließlich keines mehr da war, der Konzern aufgelöst wurde und viele Menschen ihre Arbeit verloren.

Märchenstunde? Nein, das ist das echte Leben.

Damit so ein Finanzbetrug nicht noch einmal vorkommen sollte, wurde ein Gesetz erlassen. Der vom amerikanischen Kongress 2002 verabschiedete Sarbanes-Oxley-Act (aka SOX) legt fest, dass Unternehmen, deren Wertpapiere an US-amerikanischen Börsen notieren oder gehandelt werden, eine betriebsinterne Stelle haben müssen, bei der anonyme Hinweisgeber Informationen über wirtschaftlich nicht korrektes Verhalten geben können – die Whistle-Blowing-Hotline. Großbritannien folgte diesem Beispiel alsbald. Nun überlegt auch der österreichische Datenschutzrat, ob es nicht ratsam wäre, diese Hotlines in Form eines Gesetzes zu regeln.

Über internationale Konzerne ist das Thema schon länger in die hiesigen Betriebe getragen worden. Das Rechtsverständnis der Datenschutzkommission dazu ist, dass der mit dem Whistle-Blowing  einhergehende Datentransfer in die USA nur dann genehmigt wird, wenn es sich um Vergehen von Vorgesetzten handelt, sollten MitarbeiterInnen angezeigt werden, bleibt der Datensatz bei nationalen Gerichten – immerhin.

Von der „Ethik-Hotline“ bis zur „Vernaderer-Nummer“ 

reichen die Bezeichnungen für die betriebsinternen Ansprechstellen im Falle von nicht-erwünschten Verhalten.  Damit es bei den Ansprechstellen tatsächlich um die Vorbeugung von Finanz-Skandalen geht und nicht darum, unliebsame KollegInnen loszuwerden, weil sie sich vielleicht nicht an die sogenannten „Compliance-Richtlinien“ halten, wären folgende Maßstäbe anzulegen:

  • Beschränkung der Melde-Möglichkeit auf Themen, die tatsächlich etwas mit den Finanzen des Unternehmens zu tun haben und über Bagatellbeträge hinausgehen
  • Whistle-Blowing muss auf freiwilliger Basis erfolgen und darf nicht zu einer Anzeigepflicht mutieren
  • Whistle-Blowing-Hotlines müssen immer mit einer Betriebsvereinbarung geregelt werden
  • der Personenkreis, der angezeigt werden kann, muss eingeschränkt werden auf jene, die tatsächlich Zugang zu finanzrelevanten Informationen haben und die Möglichkeit, sich illegal aus der Unternehmenskasse zu bedienen; zwischen gleichgestellten mittleren und einfachen Angestellten darf es kein Whistle-Blowing geben
  • das Prozedere, wie mit den Informationen zu verfahren ist und welche Folgen eine Meldung bei der Hotline hat, ist im Vorhinein festzulegen, insbesondere die Löschung der Daten muss sichergetellt werden, nachdem sie sich entweder als unrichtig herausgestellt haben oder an die zuständigen Gerichte übermittelt wurden
  • Verpflichtung der Ansprechstelle zur Verschwiegenheit und dazu, die Informationen nur unter bestimmten Bedingungen und nur an die tatsächlich Beteiligten bzw. allfällig zuständige Gerichte weiterzugeben, sowie eine Garantie ihrer Unabhängigkeit
  • ein Schutz der Whistle-Blower (also der HinweisgeberInnen) vor Benachteiligung durch die gegebenen Informationen, Bossing, Verletzung oder gar Entlassung
  • nur in Ausnahmefällen dürfen die Hinweise anonym erfolgen

Wenn das alles passt, dann spricht wenig gegen eine Hotline, bei der die Beschäftigten illegales Verhalten ihrer Vorgesetzten melden können.

Datenschutz auf Hamburgisch

hamburgwie die Hamburger Aufsichtsbehörde für Datenschutz bei der Privatwirtschaft agiert

 

Im Mai dieses Jahres wurde von der der Datenschutzbehörde in Hamburg die Vorgehensweise festgelegt, wie man den Datenschutz generell und am Arbeitsplatz im Besonderen fördern könnte. Dazu zählte auch vermehrtes Hinweisen auf Datenschutzvorschriften bei Privatbetrieben. Gesagt getan, brieflich wurde angefragt, ob man denn schon  Datenschutzbeauftragte bestellt habe – wie es rechtlich erforderlich ist, sobald eine bestimmte Betriebsgröße erreicht wurde.

Johannes Caspar, der Leiter der Hamburger Datenschutzbehörde, spricht in einem Artikel in der „Welt-online“ über die Folgen dieses Vorgehens (DIE WELT am Sonntag; 5.6.2011) :

Nicht zu unterschätzen ist dabei auch das psychologische Moment. Unternehmen, die direkt von der Aufsichtsbehörde angeschrieben werden, erkennen, dass das Thema (…) konkret vorangetrieben wird und etwas ist, was sie selbst betrifft.

Auch finanziell sind die deutschen Datenschutzbehörden unabhängiger von der Regierung, als das in Österreich derzeit der Fall ist. Die Behörden haben die Möglichkeit, eigenständig Bußgelder zu verhängen. Die Hamburger Sparkasse wurde im Dezember 2010  beipsielsweise mit 200.000 EUR zur Kasse gebeten, weil sie KundInnendaten an freie MitarbeiterInnen zugänglich gemacht hatte. (Mittlerweile wurde einige der selbständigen MitarbeiterInnen angestellt – so hatte der Skandal im Nachspiel auch noch für einige sichere Arbeitsplätze gesorgt.)

Der Hamburgische „Beauftragte für Datenschutz und Informationsfreiheit “  – wie diese Funktion in Deutschland genannt wird –  Johannes Caspar, sorgt nicht nur mit seiner offensiven Vorgehensweise bei Privatfirmen für mediales Aufsehen. Er hat wegen der Trackings auf dem Internet-Auftritt seiner eigenen Behörde diese Seite kurzerhand stilllegen lassen und auf eine andere – ungetrackte – Domain gestellt. („Der Golem“ hat berichtet.)

Eine Aufsichtsbehörde, die mit den passenden Rechten ausgestattet ist und die mit der erforderlichen Durchsetzungskraft agiert, kann doch einiges bewegen. Das beweist die Hamburger Datenschutzbehörde.

Die Forderung der GPA-djp nach einem betrieblichen Datenschutzbeauftragten und einer besseren Ausstattung der Datenschutzbehörde ist also nach wie vor höchst sinnvoll und ihre Umsetzung würde sicherlich zu mehr Datenschutz am Arbeitsplatz führen.

Neue Chance auf einen betrieblichen Datenschutzbeauftragten?

 

Quelle: Bilderbox

Quelle: Bilderbox

Die Europäische Kommission möchte die Datenschutzrichtlinie von 1995 an die in den letzten 15 Jahren doch etwas veränderten technischen und gesellschaftlichen Bedingungen anpassen. Dazu hat die Kommission ein Dokument erarbeitet und zur EU-weiten Begutachtung frei gegeben.

Von 4. November bis 15. Jänner lädt die Kommission ein, zu ihrem Konzept  Stellung zu nehmen. Eingeladen zur Konsultation sind sowohl Privatpersonen als auch Organisationen und Behörden.

In dem Konzept  ist vom ArbeitnehmerInnen-Datenschutz weit und breit nichts zu lesen. Zwar soll der Datenverkehr – insbesondere für multinationale Unternehmen – vereinfacht werden,  doch sind deren Angestellte kein Thema. Diverse weitere Personengruppen sind angeführt (z.B. Sicherheitsbehörden, Datenschutzbehörden, Kinder, Verbraucherschutzorganisationen, Unternehmerverbände), doch von Beschäftigten ist nicht direkt die Rede.

Es gibt jedoch einige Vorschläge der Kommission, die für den Beschäftigtendatenschutz durchaus ausbaufähig wären. So wurde beispielsweise festgehalten, dass die Sache mit dem Datenschutz wenig sanktioniert wird und die Datenschutzbehörden eher zahnlos sind – Österreich ist da ein hervorragendes Beispiel. Daher wird eine Stärkung und mehr Befugnisse der Datenschutzbehörden in Erwägung gezogen – auf EU-Sprech: „ein verstärkter institutioneller Rahemn für eine wirksame Durchsetzung der Datenschutzvorschriften“.

Zwei Punkte ließen das Herz der ArbeitnehmerInnen-Datenschützerin besonders höher schlagen:

1., Man fasst die Möglichkeit ins Auge, dass

die Befugnis zur Klage bei nationalen Gerichten auch auf Datenschutzbehörden und Verbände der Zivilgesellschaft sowie andere Verbände, die die Interessen von Betroffenen vertreten, ausgedehnt werden kann

sprich: der Betriebsrat / die Betriebsrätin hätte endlich auch ein Vertretungsrecht gegenüber den Gerichten. Das wär schon von Vorteil, weil in einem aufrechten Arbeitsverhältnis geht kaum jemand zum Richter ohne Kündigungsschutz – getreu dem inoffiziellen Grundsatz: „Wenn du zum Richter gehst, nimm deinen Kündigungsschutz mit.“ Egal ob wegen missbräuchlicher Datenverwendung oder etwas anderem.

2., Man lese und staune:

verpflichtende Benennung eines unabhängigen Datenschutzbeauftragten und Harmonisierung der Bestimmungen über dessen Aufgaben und Zuständigkeiten

Bei diesem Vorhaben wollen wir doch die Kommission kräftigst unterstützen!

Außerdem spielt die Kommission mit dem Gedanken, eine Frist einzuführen für die Beantwortung von Anfragen der Betroffenen, welche Daten über sie gespeichert werden, sowie diese Auskunft gratis einzuführen.

Summa summarum also einige gute Vorschläge, einige weniger gute (z.B. Datenschutz-Zertifizierungen für Unternehmen und Binding Corporate Rules) und hoffentlich eine Umsetzung von den guten. Je mehr Organisationen und Personen sich zum Thema Beschäftigten-Datenschutz bei der EU einbringen, desto größer sind die Chancen, dass dieser Aspekt des Datenschutzes mehr beachtet wird. Wir arbeiten an einer umfassenden Stellungnahme zum EU-Vorschlag – demnächst unter dieser Adresse zu lesen.

Wie lange schläft Dornröschen noch?

Quelle: Bilderbox

Quelle: Bilderbox

ArbeitnehmerInnen-Daten stammen meist aus Kontrollmaßnahmen, sind viel unterwegs, überschreiten mühelos Grenzen und haben noch nicht mal einen Pass. Die EU-Richtlinie zum Datenverkehr schränkt diese grenzenlose Freiheit zwar ein, doch die Praxis sieht leider anders aus, wie an anderer Stelle in diesem Blog bereits erörtert. Daher hat die GPA-djp am 4. und 5. Oktober 2010 ein internationales Austauschtreffen von Gewerkschaften zum Thema europäischer ArbeitnehmerInnen-Datenschutz organisiert. Diskutiert wurde über die praktische Umsetzung der EU-Datenschutzrichtlinie auf nationaler Ebene und die Forderungen zum Datenschutz auf EU-Ebene.

Teilgenommen haben DatenschützerInnen aus Deutschland, Finnland, Belgien und Schweden, EurobetriebsrätInnen internationaler Konzerne, eine Vertreterin der Europäischen Angestelltengewerkschaft UNI sowie die ehemalige Leiterin der Datenschutzkommission und Mitglied der EU-Datenschutzgruppe. So konnten wir Informationen aus Ländern erhalten, wo die rechtlichen Regelungen zum ArbeitnehmerInnen-Datenschutz höchst unterschiedlich aussehen.

In Finnland beispielsweise gibt es ein eigenes Gesetz zum Schutz der Privatsphäre am Arbeitsplatz. Die Kontrollbehörde für den Datenschutz ist mit denen für Sicherheit und Gesundheit am Arbeitsplatz gekoppelt und somit gibt es wesentlich größere Ressourcen.

In Schweden haben Betriebsräte das Recht, Datenschutzangelegenheiten für ihre Beschäftigten vor den Datenschutzkontrollbehörden einzuklagen. Das erleichtert den Zugang zum Recht, weil einzelne Betroffene sich dann nicht mehr „in die Auslage“ stellen müssen.

In Belgien sind Datenschutzangelegenheiten explizit in Kollektivverträgen zu regeln.

In Deutschland gibt es die betrieblichen Datenschutzbeauftragten und ein eigenes Gesetz zum ArbeitnehmerInnen-Datenschutz wird derzeit diskutiert, wie in einem anderen Artikel auf diesem Blog näher erwähnt wird.

Gemeinsam ist allen Staaten, dass Verstöße gegen das Datenschutzgesetz kaum sanktioniert werden (Ausnahme: Deutschland), dass der Datenschutz am Arbeitsplatz kaum explizit vom allgemeinen Datenschutz unterschieden wird (Ausnahme: Finnland) und dass die Sensibilität für mehr Privatsphäre und weniger Kontrolle bei allen Beteiligten eher schwach ausgeprägt ist.

Es wird einige Anstrengung kosten, um Dörnröschen doch noch zu erwecken. Eine davon ist es, bei der Novelle der EU-Datenschutz-Richtlinie von 1995, die derzeit auf EU-Ebene angedacht wird, kräftig mitzumischen.

Videoüberwachung wird zum Standard!

Eine neue Standardverordnung des Bundeskanzlers macht Videoüberwachung in bestimmten Bereichen zum Standard. Das heißt, die Videoanlagen müssen nicht mehr bei der Datenschutzkommission gemeldet werden, sondern können ohne größeren Aufwand – husch – in Betrieb genommen werden.

Auf einmal war sie da

Ohne den Entwurf zuvor den ArbeitnehmerInnen-Interessenvertretungen vorzulegen, wurde die Verordnung für Banken, Tankstellen, Trafiken und Juweliere (inkl. Antiquitäten- und Kunsthandel, Gold- und Silberschmiede) beschlossen.

Damit erschwert sich der Zugang der BetriebsrätInnen in diesen Geschäften zu den Video-Aufzeichnungen. Das Verhandeln von Betriebsvereinbarungen wird dadurch auch nicht gerade erleichtert.

Außerdem besteht die Gefahr, dass sich andere Bereiche dem anschließen möchten.

Einen Vorteil hat die Geschichte: die Videoerfassung  ist jetzt klar geregelt, die Aufzeichnungen müssen verschlüsselt werden, die Bilder dürfen nur im konkreten Anlassfall angesehen werden und wer die Daten bekommen darf (Polizei, Gerichte u.ä.), ist beschränkt.

Kurzinfo: Videoüberwachung im Betrieb

Videoüberwachung
Ist in einem Unternehmen die Einführung einer Videoüberwachung geplant, so handelt es sich um eine Kontrollmaßnahme, die die Menschenwürde berührt und daher gemäß § 96 Abs 1 Z 3 ArbVG nur mit Zustimmung des Betriebsrates eingesetzt werden darf. Der Betriebsrat hat hier also ein starkes Mitbestimmungsrecht. In Betrieben, in denen es keinen Betriebsrat gibt, muss der/die ArbeitgeberIn von jeder/jedem einzelnen MitarbeiterIn die Zustimmung zu dieser Maßnahme einholen.
Darüber hinaus muss für die Videoüberwachung die Genehmigung der Datenschutzkommission (nach § 16 Abs 2 DSG) sowie die Registrierung im Datenverarbeitungsregister eingeholt werden.
Diese grundlegenden Voraussetzungen müssen erfüllt sein, bevor eine Videoüberwachung im Betrieb aufgenommen werden darf.

Datenschutzkommission: Regelungen für Facebook & Co.

Wie Ö1 am Freitag (05.06.2009) berichtete, nimmt sich die Datenschutzkommission (DSK) des Themas Web 2.0 bzw. Soziale Netzwerke an. „Für den Rechtsschutz im Internet bräuchte man zusätzliche neue Regelungen“, so Waltraut Kotschy von der DSK.

Die Forderung nach solchen Regelungen bleibt zwar noch vage, weshalb eine mögliche Umsetzung noch unter vielen Fragezeichen steht. Wie aber aus dem Bericht ersichtlich wird, sind in jedem Fall bereits eine Reihe von Problemfeldern erkennbar, in denen Handlungsbedarf besteht. Dies wird durch bisherige Berichte über tendenzielle Risiken für den Privatsphärenschutz bzw. den Schutz personenbezogener Daten im Zusammenhang mit der Nutzung von „Sozialen Medien“ bestätigt. Besonderes Augenmerk gilt dabei aus Arbeit&Technik-Sicht den Regelungen in Bezug auf die Web 2.0-Anwendungen im betrieblichen Kontext bzw. im Kontext von Arbeitsverhältnissen allgemein (Link: Privatsphäre bei Facebook).

Das Thema nur durch (noch so augeklügelte) Regelungen anzugehen, wäre allerdings nicht zielführend. Begleitend gilt es, Informationsarbeit zu betreiben und Bewusstsein zu schaffen. In dieser Hinsicht ist nicht nur die Aufmerksamkeit, die die DSK dem Thema widmet, erfreulich, sondern insbesondere auch die Aufklärungskampagne, die die DSK ab Herbst 2009 in den Schulen plant. Nähere Informationen dazu von DSK-Seite sind jedoch spärlich gesät. Über welche Kanäle auch immer: es wäre wünschenswert, wenn Institutionen wie die DSK sich um die Bereitsstellung von aktuellen Informationen in leicht abrufbarer Weise bemühen könnten. Beispielsweise könnten auch die Möglichkeiten des Web 2.0 genutzt werden, ein Schritt, mit dem man sich auf den informationstechnischen Status Quo begeben würde. Gerade Einrichtungen, die sich mit Datenschutz beschäftigen, verfügen grundsätzlich über gute Voraussetzungen, technische Anwendungen beispielgebend – im Stile eines sowohl transparenten als auch bewussten Umgangs mit Informationen und Daten – einzusetzen.