Tag Archives: Europäische Union

der neue Entwurf der EU-Verordnung zum Datenschutz

himmelquo vadis EU-Datenschutz?

 

Ein Loch im Datenschutz!

Doch fangen wir am Anfang an: Ende November wurden bei einem Treffen in Brüssel die Eckpunkte der bevorstehenden Novelle zum Datenschutz aus ArbeitnehmerInnen-Perspektive beleuchtet. Es trafen sich GewerkschafterInnen von der deutschen Dienstleistergewerkschaft ver.di , die ÖGB-Verterterin in Brüssel,  ein Vertreter des Europäischen Wirtschafts- und Sozialausschuss (EAWS) und eine Gewerkschaftssekretärin der GPA-djp in Brüssel mit den Juristen, die für die neue Fassung der Datenschutz-Richtlinie zuständig sind. Kürzlich wurde das damals im Zentrum der Diskussion stehende Dokument  – offensichtlich durch ein Leck in der EU – für die Öffentlichkeit  einsehbar.

Bei dem Treffen in Brüssel wurden in einem durchaus offenen Gesprächsklima folgende Themen auf den Tisch gelegt:

  • Die Richtlinie wird durch eine Verordnung ersetzt, d.h. dass für alle Mitgliedsstaaten dasselbe gilt.
  • Die Einwilligung zur Datenverwendung im Arbeitsverhältnissoll keine legale Grundlage mehr sein, personenbezogene Daten von ArbeitnehmerInnen verarbeiten zu dürfen.
  • Die unabhängigen Datenschutz-Behörden (in Österreich die Datenschutzkommission) sollen wesentlich gestärkt werden – sowohl in ihren Ressourcen als auch in ihren rechtlichen Durchsetzungsmöglichkeiten.
  • Es soll eine innerbetriebliche Behörde etabliert werden, die für den Datenschutz verantwortlich ist; sprich der/die innerbetriebliche Datenschutzbeauftragte könnte in dieser Verordnung Realität werden. Die betriebsrätliche Mitbestimmung bei deren Bestellung war ein heiß diskutiertes Thema bei dem Treffen und findet vielleicht noch Aufnahme in den Entwurf.
  • Die Sanktionen sollen empfindlich erhöht werden.
  • Ein Verbandsklagsrecht wird angedacht, um die Rechtsdurchsetzung für den/die EinzelneN zu erleichtern. Hier könnte man dann auch auf betrieblicher Ebene einhaken und als Betriebsrat das Verbandsklagsrecht nutzen und auf diesem Weg die Vertretungsbefugnis für die ArbeitnehmerInnen im Datenschutz erhalten.

Nun ist bekannt, wie das Dokument konkret aussieht, über das diskutiert wurde – es ist geleakt worden.

 

Der Entwurf zur europäischen Datenschutzverordnung sieht vor, dass

Datenschutzbeauftragte ab einer Größe von 250 MitarbeiterInnen eingesetzt werden müssen,

die Sanktionen empfindlich erhöht werden bis zu 5% des jährlichen weltweiten Jahresumsatzes

aber leider auch eine Art Konzernprivileg eingeführt werden soll, das die Zentrale als Datenverantwortliche festschreibt und ihnen damit die Hoheit über die Daten der MitarbeiterInnen überlässt.

Am 25. Jänner 2012 wird das Dokument dem EU-Parlament vorgelegt. Bis dahin wird die GPA-djp den Fokus auf zwei Aufgaben legen:

  1. weitere europäische Gewerkschaften davon überzeugen, dass es auf europäischer Ebene zu intervenieren gilt
  2. EU-ParlamentarierInnen davon überzeugen, dass es bei dem Entwurf noch „Optimierungspotential“ gibt.

Und es geht weiter…

News from Europe

Aus der gesamten EU sind von Einzelpersonen, Unternehmen, Organisationen und Regierungen Stellungnahmen zur geplanten Novelle der Datenschutz-Richtlinie eingetroffen. Insgesamt haben 291 Schriftstücke ihren Weg nach Brüssel gefunden.

Das Engagement der ArbeitnehmerInnen-Vertretungen hielt sich dabei europaweit eher in Grenzen. Einzig der Österreichische Gewerkschaftsbund, die österreichische Bundesarbeiterkammer und die Deutsche Dienstleistergewerkschaft haben auf nationaler Ebene ihre Anliegen geäußert. Die Europäische Angestelltengewerkschaft, UNI, sowie der Europäische Gewerkschaftsbund haben auf EU-Ebene ihr „Schärflein beigegeben“. Es haben offenbar hauptsächlich Privatunternehmen und NGOs, die sich mit dem Datenschutz auseinandersetzen, ihre Beiträge nach Brüssel geschickt.

Interessenvertretungen diverser Berufsgruppen sind zahlreich vertreten. So haben beispielsweise die jeweils für die EU zuständigen Handelskammern der USA, Indiens und Japans auf die Aufforderung der EU zur Stellungnahme reagiert. Belgische Banken, finnische Industrie, die Vereinigung Europäischer Spielentwickler und die Europäischer Versichungen finden sich auf der Liste. Ergänzt wird die Menge der ArbeitgeberInnen-Organisationen von Ärztevereinigungen sowie Wirtschaftskammern.

Außerdem finden sich unter den Beitrag-SpenderInnen so illustre Firmen wie: ebay, facebook, General Electric, Hewlett Packard, Carrefour, diverse TV- und Telekom-Anbieter von deutscher Telekom über Orange bis Vodaphone und ZDF. Ein Schelm, wer Böses dabei denkt!

Würden wir die Stellungnahmen von Privatfirmen und ArbeitgeberInnen-Organisationen in die eine Seite der Waagschale legen und die von NGOs und ArbeitnehmerInnen-Organisationen in die andere, würde sich der Waagbalken vermutlich verbiegen. Umso wichtiger, dass einige ArbeitnehmerInnen-Vertretungen sich hier zu Wort gemeldet haben.

Wir dürfen gespannt darauf warten, welche Schlüsse die EU-Kommission aus den eingelangten Dokumenten zieht.

drauf schaun, dass man’s hat, wenn man’s braucht…

Getreidekörner Hafer

 

Speichern um des Speicherns willen – jetzt auch in Österreich

 

Die Hauptsache bei der geplanten Novelle des Telekommunikationsgesetztes ist, dass etwas gespeichert wird. Ob man die vielen schönen Daten aus dieser sogenannten „Vorratsdatenspeicherung“   dann tatsächlich sinnvoll einsetzt, steht da nicht im Vordergrund. Geschweige denn die Grundsätze der europäischen Datenschutz-Richtlinie, die da wären Datensparsamkeit, Zweckmäßigkeit oder Transparenz

Wir speichern alles!

Die EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung sieht vor, dass alle Verbindungsdaten von Aktivitäten im Internet für mindestens sechs und höchstens 24 Monate aufbewahrt werden. Damit soll terroristischen Anschlägen vorgebeugt werden. Hä? Sind wir jetzt alle Terroristen?

International gesehen, gibt es nur wenige EU-Länder, die sich der Vorratsdatenspeicherung widersetzen. Irland hat sich mit einem so-gut-wie-Alleingang, dem sich nur Slowenien angeschlossen hat, 2006 mit einer Rechtsklage dagegen gewandt. Rumänien hat das Gesetz als verfassungswidrig beurteilt. Schweden hat einen Aufschub um ein Jahr erwirkt.

Die EU-Richtlinie zur Vorratsdatenspeicherung steht demnächst auch auf der Tagesordnung des österreichischen Nationalrates. Die ARGE DATEN hat dazu schwerwiegende Bedenken geäußert. Der Datenschutzrat ist laut seiner Stellungnahme mit dem vorliegenden Gesetzesentwurf wenig glücklich. Der SPÖ-Klub findet, dass hier dringend noch einige Verbesserungen eingearbeitet gehören, wie der zuständige Nationalratsabgeordnete Johann Maier ausführt.

Wie lange schläft Dornröschen noch?

Quelle: Bilderbox

Quelle: Bilderbox

ArbeitnehmerInnen-Daten stammen meist aus Kontrollmaßnahmen, sind viel unterwegs, überschreiten mühelos Grenzen und haben noch nicht mal einen Pass. Die EU-Richtlinie zum Datenverkehr schränkt diese grenzenlose Freiheit zwar ein, doch die Praxis sieht leider anders aus, wie an anderer Stelle in diesem Blog bereits erörtert. Daher hat die GPA-djp am 4. und 5. Oktober 2010 ein internationales Austauschtreffen von Gewerkschaften zum Thema europäischer ArbeitnehmerInnen-Datenschutz organisiert. Diskutiert wurde über die praktische Umsetzung der EU-Datenschutzrichtlinie auf nationaler Ebene und die Forderungen zum Datenschutz auf EU-Ebene.

Teilgenommen haben DatenschützerInnen aus Deutschland, Finnland, Belgien und Schweden, EurobetriebsrätInnen internationaler Konzerne, eine Vertreterin der Europäischen Angestelltengewerkschaft UNI sowie die ehemalige Leiterin der Datenschutzkommission und Mitglied der EU-Datenschutzgruppe. So konnten wir Informationen aus Ländern erhalten, wo die rechtlichen Regelungen zum ArbeitnehmerInnen-Datenschutz höchst unterschiedlich aussehen.

In Finnland beispielsweise gibt es ein eigenes Gesetz zum Schutz der Privatsphäre am Arbeitsplatz. Die Kontrollbehörde für den Datenschutz ist mit denen für Sicherheit und Gesundheit am Arbeitsplatz gekoppelt und somit gibt es wesentlich größere Ressourcen.

In Schweden haben Betriebsräte das Recht, Datenschutzangelegenheiten für ihre Beschäftigten vor den Datenschutzkontrollbehörden einzuklagen. Das erleichtert den Zugang zum Recht, weil einzelne Betroffene sich dann nicht mehr „in die Auslage“ stellen müssen.

In Belgien sind Datenschutzangelegenheiten explizit in Kollektivverträgen zu regeln.

In Deutschland gibt es die betrieblichen Datenschutzbeauftragten und ein eigenes Gesetz zum ArbeitnehmerInnen-Datenschutz wird derzeit diskutiert, wie in einem anderen Artikel auf diesem Blog näher erwähnt wird.

Gemeinsam ist allen Staaten, dass Verstöße gegen das Datenschutzgesetz kaum sanktioniert werden (Ausnahme: Deutschland), dass der Datenschutz am Arbeitsplatz kaum explizit vom allgemeinen Datenschutz unterschieden wird (Ausnahme: Finnland) und dass die Sensibilität für mehr Privatsphäre und weniger Kontrolle bei allen Beteiligten eher schwach ausgeprägt ist.

Es wird einige Anstrengung kosten, um Dörnröschen doch noch zu erwecken. Eine davon ist es, bei der Novelle der EU-Datenschutz-Richtlinie von 1995, die derzeit auf EU-Ebene angedacht wird, kräftig mitzumischen.

Im EU-Sande verlaufen?

Quelle: Bilderbox

Die letzte nennenswerte Richtlinie der EU, die das Thema Datenschutz im Arbeitsverhältnis zumindest berührt, wurde 2002 zur Datenverwendung bei der elektronischen Kommunikation verfasst. Die für den Datenschutz am Arbeitsplatz relevanteste Richtlinie stammt aus dem Jahre 1995 und widmet sich dem Schutz personenbezogener Daten bzw. der Freiheit im Datenverkehr . Seitdem herrscht Schweigen – obwohl schon in einer Empfehlung von 1989 erkannt wurde, dass die ungleiche Machtverteilung zwischen ArbeitnehmerInnen und ArbeitgeberInnen einen besonders sensiblen Umgang mit personenbezogenen Daten im Arbeitsverhältnis erfordert.

Zu den gesetzlichen Vorgaben der Kommission gibt es jede Menge Auslegungen, Empfehlungen und Arbeitspapiere von der „Artikel-29-Datenschutzgruppe„. Die rege Tätigkeit der Artikel-29-Gruppe, die aus JuristInnen der nationalen Datenschutzbehörden besteht, berührt mitunter auch das Thema ArbeitnehmerInnen-Datenschutz. Explizit zu dem Thema gibt es zwei Papiere – eine Empfehlung zu Beurteilungsdaten von Beschäftigten und eine Stellungnahme zur Verarbeitung personenbezogener Daten von Beschäftigten. Die Dokumente sind leider nicht rechtlich verbindlich –  sie können bei der Auslegung des Gesetzestextes herangezogen werden.

Die EU-Richtlinie von 1995 gibt für alle Mitgliedsstaaten vor, wie personenbezogene Daten verwendet werden dürfen. Die Richtlinie musste von jedem EU-Land umgesetzt werden, weshalb EU-weit davon ausgegangen wird, dass alle Mitgliedsstaaten das gleiche Datenschutzniveau haben. Die Umsetzung dieser EU-Richtlinie in nationale Gesetze sieht allerdings höchst uneinheitlich aus. Einige Länder haben den Datenschutz im Arbeitsleben in einem eigenen Gesetz geregelt (z.B. Finnland, Griechenland und Frankreich), andere nicht (z.B. Österreich). Einige Länder haben den betrieblichen Datenschutzbeauftragten eingeführt (z.B. Deutschland, Ungarn oder Schweden), andere nicht (z.B. Österreich). Manche Länder haben personell gut ausgestattete Datenschutzbehörden (z.B. Italien oder Tschechien), andere nicht (z.B. Österreich). Gemeinsame Anstrengungen für eine EU-weite Regelung sind bislang im Sande verlaufen.

Die UNI-Europa, der Gewerkschaftsverbund für die Branchen Dienstleistung und Kommunikation, hat nun einen neuerlichen Versuch unternommen, das Thema wieder auf die Agenda  zu bekommen. Im UNI Europa Datenschutz-Dokument vom Juni 2010 wird unter anderem einE verpflichtendeR betrieblicheR DatenschutzbeauftragteR gefordert und die Möglichkeit zur grenzüberschreitenden Sanktionierung von Verstößen gegen das Datenschutzgesetz eingemahnt.

Ihr Wort in EU-Kommissions Ohr…

Es bleibt noch viel zu tun beim Datenschutz

 In der Novemberausgabe 2009 des GPA-djp-Magazins KOMPETENZ ist der Artikel „Es bleibt noch viel zu tun beim Datenschutz“ von Clara Fritsch erschienen.

Inhalt des Artikels ist eine Bewertung der Aktivitäten in Richtung eines verbesserten und zeitgemäßen betrieblichen Datenschutzes, und zwar auf EU-Ebene und im nationalen Vergleich.
Der Titel des Artikels sagt hierbei schon, wie eine solche Bewertung nur ausfallen kann: Es bleibt noch viel zu tun!

Die Forderungen der GPA-djp
Durch die bessere Vernetzung der Europäischen Gewerkschaften und die Sensibilisierung europäischer Institutionen für den ArbeitnehmerInnen-Datenschutz soll die EU endlich zum Handeln gezwungen werden.

Read more »