Tag Archives: Datenverarbeitungsregister

das Datenverarbeitungsregister ist online

logo_dsk_navbesser spät als nie

Seit 1. September ist das Datenverarbeitungsregister (DVR) nun online. Damit wurde ein Baustein aus der DSG-Novelle von 2010 nun umgesetzt. Wie aus wohlunterrichteten Kreisen zu hören war, mussten vorerst noch einige „Kinderkrankheiten“ bewältigt werden, bevor das Register nun allen offen steht.

Im DVR online werden alle Datenverwendungen von den Auftgraggebern (also z.B. den Arbeitgebern, Vereinen) eingetragen und können von allen, die das interessiert, eingesehen  werden. Es ist nicht mehr erforderlich, bei der Datenschutzkommission Anträge auf einen Auszug aus dem Melderegister zu stellen, wenn man wissen möchte, ob die Meldungen auf dem letzten Stand sind sondern jede Person mit Internetzugang kann sich selbst online ansehen, welche Anwendungen gemeldet wurden – und welche nicht.

Die Datenschutzkommission schreibt in ihrer Information:

DVR-Eintragungen sollten regelmäßig (etwa bei Software-Umstellungen oder Up-dates) auf Aktualität (Vollständigkeit und Richtigkeit) überprüft werden (Meldepflicht gemäß § 17 Abs. 1 Satz 2 DSG 2000). Eine Unterlassung kann strafbar machen (Geldstrafe bis 10.000 Euro gemäß § 52 Abs. 2 Z 1 DSG 2000).

Die Meldepflicht wurde mit dieser Eintragungsmöglichkeit für die Auftraggeber wesentlich erleichtert und somit sollte einer gesetzesgemäßen Meldung aller innerbetrieblichen Datenverwendungen, die keine Standardanwendungen sind, nichts mehr im Wege stehen.

Sommerzeit – Datenschutzzeit

Die Novelle des Datenschutzgesetzes ante portas: Licht und Schatten

 Wie schon vor zwei Jahren,wird wieder im Sommer das Datenschutzgesetz (DSG) geändert. Zum Entwurf der Novelle das Positive vorab: Der/Die Datenschutzbeauftragte (DSB) wird damit zur Realität der österreichischen Arbeitswelt.

„Mit der Einführung des freiwilligen betrieblichen Datenschutzbeauftragten nimmt eine langjährige Forderung der GPA-djp jetzt konkrete Formen an“, so Wolfgang Katzian von der GPA-djp

Da lohnt es sich, genauer hinzusehen. Also weitere Eckpunkte: 

(Die gesamte GPA-djp-Stellungnahme zur DSG-Novelle sowie die parlamentarischen Unterlagen sollen auch nicht verschwiegen werden.)

 1. Die Einrichtung eines/einer Datenschutzbeauftragten 

  • Positiv: Die Funktion eines/einer DSB wird geschaffen.
  • Weniger positiv: Es handelt sich um eine freiwillige Funktion.
  • Wesentliche Neuerung: Ist ein/eine DSB bestellt, entfällt die Meldepflicht beim Datenverarbeitungsregister (DVR). Dies stellt sicher einen Anreiz für seine/ihre Bestellung dar. Anzumerken ist aber, dass eine unabhängige Behörde wie die Datenschutzkommission (DSK) wohl mehr Durchsetzungsrecht als ein/eine innerbetriebliche/r DSB hat.

Die konkrete Ausgestaltung des/der DSB ist großteils durchaus im Sinne der ArbeitnehmerInnen – etwa durch

  • Weisungsungebundenheit,
  • Kündigungsschutz,
  • vorgegebene Mindestaus- und Weiterbildungszeiten,
  • Kundmachungspflicht gegenüber der DSK
  • Mindestfunktionsperiode.

 Ganz klar ist die Ausgestaltung des/der DSB trotzdem noch nicht, ungeklärte Fragen sind etwa folgende:

– Wie viel Zeit wird dem/der DSB für ihre Tätigkeit zur Verfügung stehen – konkret: wird die Funktion auch als Vollbeschäftigung möglich sein?

– Wird die Einsetzung des/der DSB unter verpflichtender Einbeziehung des Betriebsrats erfolgen?

 2. Entfall der Vorab-Kontrolle

 Die Vorab-Kontrolle, d.h. die Genehmigung durch die Datenschutzkommission (DSK), soll in einigen Punkten entfallen.

– Hauptkritikpunkt dabei ist, dass die Vorab-Kontrolle der DSK zur Aufnahme sensibler Daten durch die ausdrückliche Zustimmung der Betroffenen ersetzt werden soll. ArbeitnehmerInnen sollen also individuell und tatsächlich nur scheinbar „freiwillig“ einer Aufnahme ihrer sensiblen Daten ohne vorige Genehmigung zustimmen.

– Der Entfall der Vorab-Kontrolle gilt auch für die Video-Überwachung. In der Folge wäre für diese ohnehin recht beliebte Form der Überwachung ein Wildwuchs zu befürchten.

– Auch im Fall von strafrechtlich relevanten Daten ist geplant, die Vorab-Kontrolle aufzuheben. Das ist ebenfalls äußerst kritisch zu betrachten, da der rechtmäßige Zweck von Datenermittlungen oft nicht ersichtlich ist und daher nicht auch noch (zusätzlich) erleichtert werden soll. 

 3. Ausweitung der Standardanwendungen 

Ferner ist eine Ausweitung der Standardanwendungen geplant. Mit der damit einhergehenden Meldefreiheit wird ein/eine DSB natürlich überflüssig. Standardanwendungen sollten daher tunlichst nicht ausgedehnt werden, was insbesondere für Datenübermittlung in Konzernen gilt. 

FAZIT

ein lachendes und ein weinendes Auge

Test bestanden – Bewerber abgelehnt?

neue Datenanwendungen und Empfängerkreise in Standardanwendungen entdeckt

Es gibt in Österreich die Pflicht, jede Verwendung personenbezogener Daten zu melden, in besonderen Fällen auch vorab prüfen zu lassen. Die Datenverwendungen werden dann ins Datenverarbeitungsregister (DVR) eingetragen. Damit nicht jede Kleinigkeit gemeldet werden muss, gibt es bestimmte Verwendungen, die mit bestimmten Daten gemacht werden dürfen, ohne vorher zu melden. Welche das sind, sind in den „Standard- und Musteranwendungen“ festgehalten.

Eine dieser Standardanwendungen bestimmt beispielsweise, was Vereine mit ihren Mitgliederdaten machen dürfen, ohne dass das extra gemeldet werden muss. In einer anderen ist festgelegt, welche personenbezogenen Daten zur Personalverwaltung in der Privatwirtschaft verwendet werden dürfen – das ist die so genannte SA 002.

Die Standardanwendungen werden immer wieder „aktualisiert“, das heißt in der Praxis: ausgeweitet, sodass mehr Daten ohne Meldung verwendet werden dürfen (wie in diesem Blog bereits berichtet wurde), weil immer wieder neue Datenbegehrlichkeiten von verschiedenen Seiten – mitunter auch seitens der UnternehmerInnen – geäußert werden.

Und jetzt is scho wieder was passiert….

Diesmal betrifft es die BewerberInnendaten. Die darf der/die ArbeitgeberIn jetzt auch ohne weitere Meldeverfahren sammeln. Alles unter der Prämisse, dass die BewerberInnen diese Daten auch „freiwillig“ zur Verfügung stellen – wobei es angesichts des Machtgleichgewichtes bei einem Bewerbungsgespräch sicherlich gut vorstellbar ist, dass BewerberInnen Fotos, Testergebnisse und dergleichen ihrem/ihrer zukünftigen ArbeitgeberIn vorenthalten.

Diese Daten der potentiellen Mitarbeiterinnen dürfen nun ohne Meldung beim DVR festgehalten werden:

  • Ordnungszahl(en)
  • Name
  • Geburtsdatum
  • Staatsbürgerschaft
  • Geschlecht
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Lichtbild
  • Ausbildungsdaten
  • Berufserfahrung und Lebenslauf
  • Angestrebte Beschäftigung
  • Beginn der angestrebten Beschäftigung
  • Sprachkenntnisse
  • Spezielle Berufserfordernisse
  • Testergebnisse

Einen Pluspunkt hat die Sache: Diese BewerberInnen-Daten dürfen nicht weitergegeben werden – das müsste dann wiederum extra gemeldet werden und bräuchte somit einen guten Grund.

Dass einige dieser Daten erforderlich sind für Bewerbungen, steht außer Streit, es geht darum, dass insbesondere die beiden letzten Punkte wenig konkret sind und somit Tür und Tor für unsinnige Abfragen öffnen.

Die Angabe „spezielle Berufserfordernisse“ könnte sehr weitreichend interpretiert werden, da es auch ja offenbar nicht um die allgemeinen Voraussetzungen für die offene Stelle handelt, sondern eben um „spezielle“. Eine nähere Erläuterung, was darunter zu verstehen ist, täte der Standardanwendung sicherlich gut. 

Und die Angabe „Testergebnisse“ ist höchst problematisch, weil nicht festgelegt ist, ob es sich um Wissenstests, psychologische Eignungstest oder gar medizinische Tests handelt. Reine Wissensabfragen, die Bezug nehmen auf die voraussichtlichen Arbeitsaufgaben, mögen noch sinnvoll erscheinen. Psychologische Tests stellen sich schon problematischer dar, weil sie entweder „no-na-ned-Ergebnisse“ produzieren („geraten sie rasch in Wut?“ „Ja, und dann brülle ich meine Vorgesetzten an“) oder unklare Fragen stellen, die die Befragten in die Irre führen („Könnten sie sich vorstellen, in fünf Jahren das Unternehmen zu verlassen“ „jein“). Gesundheitstest wiederum fallen in die Kategorie „sensible Daten“, sind folglich genehmigungspflichtig (außerdem bezüglich Gen-Tests sowieso völlig verboten, § 67 Gentechnikgesetz) und ihre Ergebnisse unterliegen einer ärztlichen Schweigepflicht. Sie sind nur in den wenigsten Fällen tatsächlich zur Berufsausübung notwendig.

Und ganz nebenbei wurde noch ein neuer Empfängerkreis eingefügt: die „Kunden und Interessenten des Auftraggebers“. Denen dürfen nun alle betrieblichen Kontaktdaten (Fon, Fax, Mobile, Mail, etc.) sowie die organisatorische Zuordnung der MitarbeiterInnen bekannt gegeben werden. Brauchen die das? (eine Anfrage an Radio Jerewan…)

Kurzinfo: Videoüberwachung im Betrieb

Videoüberwachung
Ist in einem Unternehmen die Einführung einer Videoüberwachung geplant, so handelt es sich um eine Kontrollmaßnahme, die die Menschenwürde berührt und daher gemäß § 96 Abs 1 Z 3 ArbVG nur mit Zustimmung des Betriebsrates eingesetzt werden darf. Der Betriebsrat hat hier also ein starkes Mitbestimmungsrecht. In Betrieben, in denen es keinen Betriebsrat gibt, muss der/die ArbeitgeberIn von jeder/jedem einzelnen MitarbeiterIn die Zustimmung zu dieser Maßnahme einholen.
Darüber hinaus muss für die Videoüberwachung die Genehmigung der Datenschutzkommission (nach § 16 Abs 2 DSG) sowie die Registrierung im Datenverarbeitungsregister eingeholt werden.
Diese grundlegenden Voraussetzungen müssen erfüllt sein, bevor eine Videoüberwachung im Betrieb aufgenommen werden darf.

"Whistle Blowing" – Aktuelles zum Thema: MitarbeiterInnen "verpfeifen"

Im Rahmen der Einführung von betrieblichen Verhaltenskodizes (auch bekannt unter „Privacy Statements“, „Codes of Conduct“, „Binding Corporate Rules“), durch die konzernweite Verhaltensregeln aufgestellt werden, kommt es häufig zum Aufbau von so genannten Whistle Blowing-Systemen mit „Ethik-Hotlines“, über die MitarbeiterInnen ihre KollegInnen „verpfeifen“ können. Das dahinter stehende Prinzip ist klar: Anstatt MitarbeiterInnenüberwachung (nur) in einem „Top-Down“-Prozess zu gestalten, sollen sich die MitarbeiterInnen gegenseitig kontrollieren. Dafür werden Anreize gesetzt, die dazu ermutigen, beobachtete Verstöße gegen die Regelungen des Verhaltenskodex bei einer unternehmensinternen Hotline zu melden.

„In den USA wurde im Zuge von Bilanzfälschungsskandalen (Enron) ein Gesetz verabschiedet, das von börsennotierten Unternehmen die Einrichtung interner Kontrollmaßnahmen verlangt. US-amerikanische Konzerne sind somit gezwungen, auch bei ihren europäischen Tochtergesellschaften Whistle Blowing-Hotlines einzurrichten […].
In Europa wirft dies allerdings sowohl arbeits- als auch datenschutzrechtlich jede Menge Probleme auf. Whistle Blowing und Ethik-Hotlines sind in Österreich nicht ohne weiteres zulässig. Der Arbeitgeber ist jedenfalls verpflichtet, dasWhistle-Blowing-System beim Datenverarbeitungsregister zu melden bzw. um eine Vorabgenehmigung durch die Datenschutzkommission anzusuchen.“ (GPA-djp [Hg.] [2007]: Fahren Sie nach Indien! Ihre Daten sind schon dort! Wien: GPA-djp, Seite 44.)

Wie aus dem aktuellen Newsletter (KW 07/2009) der ARGE DATEN Privacy Service hervorgeht, hat die Datenschutzkommission (DSK) nun entgegen der Empfehlung der EU-Datenschutzgruppe (Art. 29-Gruppe) die Weitergabe von Whistle Blowing-Daten in die USA genehmigt.
Fazit:

„Positiv am DSK-Bescheid ist, dass keine uneingeschränkte Übermittlung an die Konzernmutter genehmigt wurde. Ein US-Callcenter für die Meldung kleinerer Missstände die innerhalb eines österreichischen Unternehmens auftreten, zu genehmigen widerspricht jedoch den EU-Datenschutzempfehlungen und zeigt, dass die DSK nicht bereit ist, aus dem SWIFT-Desaster Konsequenzen zu ziehen. Wie bekannt wurden europäische Banktransferdaten von SWIFT an einen US-Dienstleister ausgelagert. Um anschließend – unter zu Hifenahme gehöriger Erpressung – bei US-Behörden zu landen.“ (ARGE DATEN Privacy Service)

Nähere Informationen zur aktuellen Entscheidung der Datenschutzkommission:
ARGE DATEN Privacy Service: DSK genehmigt Weitergabe von „whistle blowing“-Daten in die USA (11.02.2009)