Tag Archives: Europäische Union

EU-Datenschutzverordnung reloaded

Letzte Woche hat der ÖGB eine Stellungnahme zur geplanten EU-Verordnung zum Datenschutz verfasst und an das Bundeskanzleramt, wo die österreichischen Datenschutz-Agenden zusammenlaufen, geschickt. 

Die Eckpunkte der Stellungnahme des ÖGB kurz zusammengefasst:

  • Eine einheitliche EU-weite Rechtsvorschrift wird begrüßt.
  • Datenschutzbeauftragte sollen bereits in Firmen ab 25 MitarbeiterInnen bestellt werden und mit mehr Ressourcen ausgestattet werden (z.B. Mindest-Arbeitszeit, Haftungsausschluss,…).
  • Das im Entwurf erwähnte „profiling“, also der automatisierte Datenabgleich aus verschiedenen Quellen, soll im Zusammenhang mit dem Beschäftigungsverhältnis, insbesondere bei der Leistungsbeurteilung, unbedingt verboten werden.
  • Das „one-stop-shop-Prinzip“, wonach einzig und allein die Hauptniederlassung von Konzernen für Bestimmungen zum Transfer von Daten zuständig sein soll, wird abgelehnt.
  • Ebenso kann der ÖGB einer „Datenübermittlung auf Basis verbindlicher unternehmensinterner Vorschriften“ wenig abgewinnen.

Beim Treffen der EU-Ratsarbeitsgruppe äußerten die Delegierten auch dort Bedenken zum vorliegenden Entwurf. Es wurde über einen ersten Teil sowie allgemeine Punkte der Verordnung beraten. Dabei wurde von vielen Mitgliedsländern kritisiert, dass es zu viele „delegierte Rechtsakte in dem Verordnungs-Entwurf gibt. Die Kommission hat sich nämlich zu 38 (!) Punkten vorbehalten, noch nährere Ausführungen zu formulieren, wodurch die Staaten eine Einmischung in ihre nationalen Bestimmungen befürchten. Einige Länder waren mit der Konstruktion der betrieblichen Datenschutzbeauftragten (DSB) wenig glücklich. Als Alternativvorschlag zum Kommissionsvorschlag, demnach DSB erst in Betrieben mit 250 und mehr MitarbeiterInnen vorgesehen sind, meinte der Delegierte aus Deutschland, dass man auch auf die Qualität der Datenverarbeitung abzielen könnte – also wer risikoreiche Datenverwendungen betreibt (über „Risiko“ lässt sich sicher noch gut streiten), braucht auch einen DSB. Die Delegierten aus Deutschland, den Niederlanden und Österreich finden eine solche Konstruktion durchaus überlegenswert.  Frankreich, Italien und Deutschland wiederum übten Kritik an dem „one-stop-Prinzip“ und wären damit in diesem Punkt wichtige Verbündeter bei der Vertretung von ArbeitnehmerInnen-Interessen.

 

Was die geplante EU-Verordnung zum Datenschutz für österreichische ArbeitnehmerInnen bedeutet

IMG_1556 ein Interview mit Gerda Heilegger

Die geplante  Novellierung im EU-Datenschutz wird auch in Österreich weit reichende Konsequenzen haben. Zu den Auswirkungen auf die Gesetzeslage in Österreich wurde deshalb die Juristin Gerda Heilegger aus der Arbeiterkammer Wien befragt.

Dass der internationale Datentransfer ein heißes Thema ist, wurde bereits des Öfteren – auch in diesem Blog – thematisiert. Zuletzt wieder in dem Artikel „Einblick unerwünscht“ in der Kompetenz.

In der geplanten EU-Verordnung soll der Datentransfer innerhalb der EU weitere Freiheiten erfahren und zugleich der Missbrauch von personenbezogenen Daten stärker sanktioniert werden. Was die Verordnung insgesamt für die derzeitige Gesetzgebung bedeutet, verrät Gerda Heilegger.

Was sind die wesentlichen Änderungen der geplanten EU-Verordnung im Vergleich zum derzeitigen Stand im ArbeitnehmerInnen-Datenschutz?

Man kann schon sagen, dass die Verordnung einige Verbesserungen bringt.

Dass es jetzt Mindeststrafen geben soll, ist sehr begrüßenswert. In Österreich gibt’s derzeit nur Höchststrafen und die werden kaum je ausgesprochen – Strafverfahren zum Datenschutzgesetz sind momentan eher scheintot. 

Es ist schön, dass es einen Datenschutzbeauftragten geben soll, auch wenn die Rahmenbedingungen nicht wirklich zufriedenstellend sind. Da fehlt noch die rechtliche Absicherung für diese Funktion, die Mitsprache des Betriebsrates und die Anzahl der Beschäftigten, ab der ein Datenschutzbeauftragter einzurichten ist, ist zu hoch.

Ja und was sehr gut ist, ist die Informationspflicht für die Betroffenen, falls es zu einem Daten-Leck kommt. Das ist jetzt in der Verordnung genau festgeschrieben, was dann zu passieren hat, in welcher Frist informiert werden muss – nämlich 24 Stunden – und worüber konkret informiert werden muss – nämlich welche Daten in die falschen Hände geraten sind und wo das Sicherheitsleck ist.

Leider gibt es nach wie vor kaum einen expliziten Bezug zum Arbeitsverhältnis – zwar ist in Artikel 82 das „data proceeding in the employment context“ abgehandelt, aber das gibt inhaltlich nicht viel her.

Welche Auswirkungen hat die geplante Verordnung auf unser derzeitiges Datenschutzgesetz?

Die Verordnung steht rechtlich über dem DSG. Die Verordnung ist in Österreich unmittelbar anzuwenden, enthält allerdings noch einige Lücken, wie das konkret umgesetzt werden soll, weshalb ich annehme, dass die EU-Staaten sowieso einiges noch näher ausführen müssen. Tritt die Verordnung in Kraft, müssen die Mitgliedsstaaten prüfen, ob ihre Gesetzgebung der EU-Verordnung entspricht – zum Beispiel bei den Sanktionen entspricht die derzeitige Gesetzeslage in Österreich nicht der Verordnung und das müsste dann nachgebessert werden. Oder der Gesetzgeber setzt das DSG außer Kraft. Oder er macht gar nichts und handelt sich eine Vertragsverletzungsklage ein.

Was wäre aus Sicht der ArbeitnehmerInnenvertretung noch unbedingt zu ergänzen in dem Entwurf der EU-Kommission?

Ich würde mir wünschen, dass die Verordnung ganz klar regelt, in welchen Bereichen die EU-Staaten eigene nationalstaatliche Regelungen zur Besserstellung gegenüber der Verordnung schaffen können. Insbesondere beim Datenschutzbeauftragten wäre das wichtig – den muss es auch für Firmen mit weniger als 250 Mitarbeitergeben und sie brauchen einen Kündigungsschutz und ein Benachteiligungsverbot.

Dann bleibt zu hoffen, dass das EU-Parlament hier noch nachbessert. Danke für das Interview.

Danke ebenfalls.

der neue Entwurf der EU-Verordnung zum Datenschutz

himmelquo vadis EU-Datenschutz?

 

Ein Loch im Datenschutz!

Doch fangen wir am Anfang an: Ende November wurden bei einem Treffen in Brüssel die Eckpunkte der bevorstehenden Novelle zum Datenschutz aus ArbeitnehmerInnen-Perspektive beleuchtet. Es trafen sich GewerkschafterInnen von der deutschen Dienstleistergewerkschaft ver.di , die ÖGB-Verterterin in Brüssel,  ein Vertreter des Europäischen Wirtschafts- und Sozialausschuss (EAWS) und eine Gewerkschaftssekretärin der GPA-djp in Brüssel mit den Juristen, die für die neue Fassung der Datenschutz-Richtlinie zuständig sind. Kürzlich wurde das damals im Zentrum der Diskussion stehende Dokument  – offensichtlich durch ein Leck in der EU – für die Öffentlichkeit  einsehbar.

Bei dem Treffen in Brüssel wurden in einem durchaus offenen Gesprächsklima folgende Themen auf den Tisch gelegt:

  • Die Richtlinie wird durch eine Verordnung ersetzt, d.h. dass für alle Mitgliedsstaaten dasselbe gilt.
  • Die Einwilligung zur Datenverwendung im Arbeitsverhältnissoll keine legale Grundlage mehr sein, personenbezogene Daten von ArbeitnehmerInnen verarbeiten zu dürfen.
  • Die unabhängigen Datenschutz-Behörden (in Österreich die Datenschutzkommission) sollen wesentlich gestärkt werden – sowohl in ihren Ressourcen als auch in ihren rechtlichen Durchsetzungsmöglichkeiten.
  • Es soll eine innerbetriebliche Behörde etabliert werden, die für den Datenschutz verantwortlich ist; sprich der/die innerbetriebliche Datenschutzbeauftragte könnte in dieser Verordnung Realität werden. Die betriebsrätliche Mitbestimmung bei deren Bestellung war ein heiß diskutiertes Thema bei dem Treffen und findet vielleicht noch Aufnahme in den Entwurf.
  • Die Sanktionen sollen empfindlich erhöht werden.
  • Ein Verbandsklagsrecht wird angedacht, um die Rechtsdurchsetzung für den/die EinzelneN zu erleichtern. Hier könnte man dann auch auf betrieblicher Ebene einhaken und als Betriebsrat das Verbandsklagsrecht nutzen und auf diesem Weg die Vertretungsbefugnis für die ArbeitnehmerInnen im Datenschutz erhalten.

Nun ist bekannt, wie das Dokument konkret aussieht, über das diskutiert wurde – es ist geleakt worden.

 

Der Entwurf zur europäischen Datenschutzverordnung sieht vor, dass

Datenschutzbeauftragte ab einer Größe von 250 MitarbeiterInnen eingesetzt werden müssen,

die Sanktionen empfindlich erhöht werden bis zu 5% des jährlichen weltweiten Jahresumsatzes

aber leider auch eine Art Konzernprivileg eingeführt werden soll, das die Zentrale als Datenverantwortliche festschreibt und ihnen damit die Hoheit über die Daten der MitarbeiterInnen überlässt.

Am 25. Jänner 2012 wird das Dokument dem EU-Parlament vorgelegt. Bis dahin wird die GPA-djp den Fokus auf zwei Aufgaben legen:

  1. weitere europäische Gewerkschaften davon überzeugen, dass es auf europäischer Ebene zu intervenieren gilt
  2. EU-ParlamentarierInnen davon überzeugen, dass es bei dem Entwurf noch „Optimierungspotential“ gibt.

Und es geht weiter…

News from Europe

Aus der gesamten EU sind von Einzelpersonen, Unternehmen, Organisationen und Regierungen Stellungnahmen zur geplanten Novelle der Datenschutz-Richtlinie eingetroffen. Insgesamt haben 291 Schriftstücke ihren Weg nach Brüssel gefunden.

Das Engagement der ArbeitnehmerInnen-Vertretungen hielt sich dabei europaweit eher in Grenzen. Einzig der Österreichische Gewerkschaftsbund, die österreichische Bundesarbeiterkammer und die Deutsche Dienstleistergewerkschaft haben auf nationaler Ebene ihre Anliegen geäußert. Die Europäische Angestelltengewerkschaft, UNI, sowie der Europäische Gewerkschaftsbund haben auf EU-Ebene ihr „Schärflein beigegeben“. Es haben offenbar hauptsächlich Privatunternehmen und NGOs, die sich mit dem Datenschutz auseinandersetzen, ihre Beiträge nach Brüssel geschickt.

Interessenvertretungen diverser Berufsgruppen sind zahlreich vertreten. So haben beispielsweise die jeweils für die EU zuständigen Handelskammern der USA, Indiens und Japans auf die Aufforderung der EU zur Stellungnahme reagiert. Belgische Banken, finnische Industrie, die Vereinigung Europäischer Spielentwickler und die Europäischer Versichungen finden sich auf der Liste. Ergänzt wird die Menge der ArbeitgeberInnen-Organisationen von Ärztevereinigungen sowie Wirtschaftskammern.

Außerdem finden sich unter den Beitrag-SpenderInnen so illustre Firmen wie: ebay, facebook, General Electric, Hewlett Packard, Carrefour, diverse TV- und Telekom-Anbieter von deutscher Telekom über Orange bis Vodaphone und ZDF. Ein Schelm, wer Böses dabei denkt!

Würden wir die Stellungnahmen von Privatfirmen und ArbeitgeberInnen-Organisationen in die eine Seite der Waagschale legen und die von NGOs und ArbeitnehmerInnen-Organisationen in die andere, würde sich der Waagbalken vermutlich verbiegen. Umso wichtiger, dass einige ArbeitnehmerInnen-Vertretungen sich hier zu Wort gemeldet haben.

Wir dürfen gespannt darauf warten, welche Schlüsse die EU-Kommission aus den eingelangten Dokumenten zieht.

drauf schaun, dass man’s hat, wenn man’s braucht…

Getreidekörner Hafer

 

Speichern um des Speicherns willen – jetzt auch in Österreich

 

Die Hauptsache bei der geplanten Novelle des Telekommunikationsgesetztes ist, dass etwas gespeichert wird. Ob man die vielen schönen Daten aus dieser sogenannten „Vorratsdatenspeicherung“   dann tatsächlich sinnvoll einsetzt, steht da nicht im Vordergrund. Geschweige denn die Grundsätze der europäischen Datenschutz-Richtlinie, die da wären Datensparsamkeit, Zweckmäßigkeit oder Transparenz

Wir speichern alles!

Die EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung sieht vor, dass alle Verbindungsdaten von Aktivitäten im Internet für mindestens sechs und höchstens 24 Monate aufbewahrt werden. Damit soll terroristischen Anschlägen vorgebeugt werden. Hä? Sind wir jetzt alle Terroristen?

International gesehen, gibt es nur wenige EU-Länder, die sich der Vorratsdatenspeicherung widersetzen. Irland hat sich mit einem so-gut-wie-Alleingang, dem sich nur Slowenien angeschlossen hat, 2006 mit einer Rechtsklage dagegen gewandt. Rumänien hat das Gesetz als verfassungswidrig beurteilt. Schweden hat einen Aufschub um ein Jahr erwirkt.

Die EU-Richtlinie zur Vorratsdatenspeicherung steht demnächst auch auf der Tagesordnung des österreichischen Nationalrates. Die ARGE DATEN hat dazu schwerwiegende Bedenken geäußert. Der Datenschutzrat ist laut seiner Stellungnahme mit dem vorliegenden Gesetzesentwurf wenig glücklich. Der SPÖ-Klub findet, dass hier dringend noch einige Verbesserungen eingearbeitet gehören, wie der zuständige Nationalratsabgeordnete Johann Maier ausführt.

Wie lange schläft Dornröschen noch?

Quelle: Bilderbox

Quelle: Bilderbox

ArbeitnehmerInnen-Daten stammen meist aus Kontrollmaßnahmen, sind viel unterwegs, überschreiten mühelos Grenzen und haben noch nicht mal einen Pass. Die EU-Richtlinie zum Datenverkehr schränkt diese grenzenlose Freiheit zwar ein, doch die Praxis sieht leider anders aus, wie an anderer Stelle in diesem Blog bereits erörtert. Daher hat die GPA-djp am 4. und 5. Oktober 2010 ein internationales Austauschtreffen von Gewerkschaften zum Thema europäischer ArbeitnehmerInnen-Datenschutz organisiert. Diskutiert wurde über die praktische Umsetzung der EU-Datenschutzrichtlinie auf nationaler Ebene und die Forderungen zum Datenschutz auf EU-Ebene.

Teilgenommen haben DatenschützerInnen aus Deutschland, Finnland, Belgien und Schweden, EurobetriebsrätInnen internationaler Konzerne, eine Vertreterin der Europäischen Angestelltengewerkschaft UNI sowie die ehemalige Leiterin der Datenschutzkommission und Mitglied der EU-Datenschutzgruppe. So konnten wir Informationen aus Ländern erhalten, wo die rechtlichen Regelungen zum ArbeitnehmerInnen-Datenschutz höchst unterschiedlich aussehen.

In Finnland beispielsweise gibt es ein eigenes Gesetz zum Schutz der Privatsphäre am Arbeitsplatz. Die Kontrollbehörde für den Datenschutz ist mit denen für Sicherheit und Gesundheit am Arbeitsplatz gekoppelt und somit gibt es wesentlich größere Ressourcen.

In Schweden haben Betriebsräte das Recht, Datenschutzangelegenheiten für ihre Beschäftigten vor den Datenschutzkontrollbehörden einzuklagen. Das erleichtert den Zugang zum Recht, weil einzelne Betroffene sich dann nicht mehr „in die Auslage“ stellen müssen.

In Belgien sind Datenschutzangelegenheiten explizit in Kollektivverträgen zu regeln.

In Deutschland gibt es die betrieblichen Datenschutzbeauftragten und ein eigenes Gesetz zum ArbeitnehmerInnen-Datenschutz wird derzeit diskutiert, wie in einem anderen Artikel auf diesem Blog näher erwähnt wird.

Gemeinsam ist allen Staaten, dass Verstöße gegen das Datenschutzgesetz kaum sanktioniert werden (Ausnahme: Deutschland), dass der Datenschutz am Arbeitsplatz kaum explizit vom allgemeinen Datenschutz unterschieden wird (Ausnahme: Finnland) und dass die Sensibilität für mehr Privatsphäre und weniger Kontrolle bei allen Beteiligten eher schwach ausgeprägt ist.

Es wird einige Anstrengung kosten, um Dörnröschen doch noch zu erwecken. Eine davon ist es, bei der Novelle der EU-Datenschutz-Richtlinie von 1995, die derzeit auf EU-Ebene angedacht wird, kräftig mitzumischen.

Im EU-Sande verlaufen?

Quelle: Bilderbox

Die letzte nennenswerte Richtlinie der EU, die das Thema Datenschutz im Arbeitsverhältnis zumindest berührt, wurde 2002 zur Datenverwendung bei der elektronischen Kommunikation verfasst. Die für den Datenschutz am Arbeitsplatz relevanteste Richtlinie stammt aus dem Jahre 1995 und widmet sich dem Schutz personenbezogener Daten bzw. der Freiheit im Datenverkehr . Seitdem herrscht Schweigen – obwohl schon in einer Empfehlung von 1989 erkannt wurde, dass die ungleiche Machtverteilung zwischen ArbeitnehmerInnen und ArbeitgeberInnen einen besonders sensiblen Umgang mit personenbezogenen Daten im Arbeitsverhältnis erfordert.

Zu den gesetzlichen Vorgaben der Kommission gibt es jede Menge Auslegungen, Empfehlungen und Arbeitspapiere von der „Artikel-29-Datenschutzgruppe„. Die rege Tätigkeit der Artikel-29-Gruppe, die aus JuristInnen der nationalen Datenschutzbehörden besteht, berührt mitunter auch das Thema ArbeitnehmerInnen-Datenschutz. Explizit zu dem Thema gibt es zwei Papiere – eine Empfehlung zu Beurteilungsdaten von Beschäftigten und eine Stellungnahme zur Verarbeitung personenbezogener Daten von Beschäftigten. Die Dokumente sind leider nicht rechtlich verbindlich –  sie können bei der Auslegung des Gesetzestextes herangezogen werden.

Die EU-Richtlinie von 1995 gibt für alle Mitgliedsstaaten vor, wie personenbezogene Daten verwendet werden dürfen. Die Richtlinie musste von jedem EU-Land umgesetzt werden, weshalb EU-weit davon ausgegangen wird, dass alle Mitgliedsstaaten das gleiche Datenschutzniveau haben. Die Umsetzung dieser EU-Richtlinie in nationale Gesetze sieht allerdings höchst uneinheitlich aus. Einige Länder haben den Datenschutz im Arbeitsleben in einem eigenen Gesetz geregelt (z.B. Finnland, Griechenland und Frankreich), andere nicht (z.B. Österreich). Einige Länder haben den betrieblichen Datenschutzbeauftragten eingeführt (z.B. Deutschland, Ungarn oder Schweden), andere nicht (z.B. Österreich). Manche Länder haben personell gut ausgestattete Datenschutzbehörden (z.B. Italien oder Tschechien), andere nicht (z.B. Österreich). Gemeinsame Anstrengungen für eine EU-weite Regelung sind bislang im Sande verlaufen.

Die UNI-Europa, der Gewerkschaftsverbund für die Branchen Dienstleistung und Kommunikation, hat nun einen neuerlichen Versuch unternommen, das Thema wieder auf die Agenda  zu bekommen. Im UNI Europa Datenschutz-Dokument vom Juni 2010 wird unter anderem einE verpflichtendeR betrieblicheR DatenschutzbeauftragteR gefordert und die Möglichkeit zur grenzüberschreitenden Sanktionierung von Verstößen gegen das Datenschutzgesetz eingemahnt.

Ihr Wort in EU-Kommissions Ohr…

Es bleibt noch viel zu tun beim Datenschutz

 In der Novemberausgabe 2009 des GPA-djp-Magazins KOMPETENZ ist der Artikel „Es bleibt noch viel zu tun beim Datenschutz“ von Clara Fritsch erschienen.

Inhalt des Artikels ist eine Bewertung der Aktivitäten in Richtung eines verbesserten und zeitgemäßen betrieblichen Datenschutzes, und zwar auf EU-Ebene und im nationalen Vergleich.
Der Titel des Artikels sagt hierbei schon, wie eine solche Bewertung nur ausfallen kann: Es bleibt noch viel zu tun!

Die Forderungen der GPA-djp
Durch die bessere Vernetzung der Europäischen Gewerkschaften und die Sensibilisierung europäischer Institutionen für den ArbeitnehmerInnen-Datenschutz soll die EU endlich zum Handeln gezwungen werden.

Read more »