Tag Archives: internationaler Datentransfer

Schutzschild gegen Datenmissbrauch?

Brandungtransatlantischer Datentransfer erneuert

Die nächste Welle transatlantischer Verhandlungskünste brandet heran. Statt dem Abkommen über den „Sicheren Hafen“ soll nun das Abkommen „Pricacy Shield“ die personenbezogenen Daten von EU-BürgerInnen in den USA vor Missbrauch bewahren.

Schon lange bevor das Safe-Harbor-Abkommen zum Datenverkehr zwischen USA und EU vom EuGh gekippt worden war (die GPA-djp hat berichtet), war klar, dass bessere Regelungen her mussten – sonst hätte man sich wohl nicht bereits 2013 an den Verhandlungstisch gesetzt, um den gegenseitigen Datentransfer besser in den Griff zu bekommen.

Von europäischer Seite ging es vor allem darum, anlasslose Massenüberwachungen zu verhindern und EU-BürgerInnen einen besseren Rechtsschutz in den USA zu verschaffen – so wie er auch umgekehrt USA-BürgerInnen in Europa zusteht. Am 12. Juli 2016 haben die Europäischen Kommission und die us-amerikanische Wettbewerbs- und Verbraucherschutzbehörde (Federal Trade Commission, FTC) das sogenannte „Privacy Shield Framework“ unterschrieben. Ab 1. August können sich us-amerikanische Firmen nach den neuen Regelungen zertifizieren lassen.

VERBESSERUNGEN

Die freiwillige Zertifizierung nach dem neuen Abkommen wird von der FTC stärker kontrolliert werden.

Die Weitergabe von personenbezogenen Daten an Dritte ist nicht mehr möglich.

Eine ausführliche Beschreibung der neuen Regelungen und ihres Zustandekommens hat die deutschen Gesellschaft für Datenschutz und Datensicherheit zusammengefasst.

weiterhin Massen-DatensammEln möglich

Doch Einiges ist auch beim Alten geblieben. Die Gruppe der europäischen Datenschutzbehörden kritisiert in ihrer Stellungnahme zum Privacy Shield insbesondere, dass es keinen genügenden Schutz vor massenhaften und willkürlichen Datensammlungen gewährt (man muss nur den Zweck der Datenanwendung ändern und schon sei das Ganze nicht mehr ganz so verboten) und dass die Zuständigkeiten der sogenannten „Ombudsperson“, an die sich europäische BürgerInnen mit ihren (rechtlichen) Datenschutz-Anliegen wenden können, nicht ausreichend geklärt sind (der direkte Zugang zu ordentlichen Gerichten ist nach wie vor nicht möglich).

Weiter Kritikpunkte sind:

  • der Geltungsbereich bezieht sich nur auf einige Branchen
  • Datenlöschung wenn diese nicht mehr gebraucht werden, ist nicht explizit festgehalten
  •  Schutz vor automatisierten Einzelentscheidungen (Stichwort: profiling) ist nicht ausreichend

… Fortsetzung folgt…

Böse Zungen behaupten, dass sich auch bei diesem „Datenschutz“-Abkommen früher oder später jemand finden wird, der oder die es genau wissen will und die ganze Materie zum Europäischen Gerichtshof trägt…

Hallo Konzernprivileg!

weckerEin böses Erwachen hatten am 18. September all jene, die immer sagten: „Es gibt kein Konzernprivileg!“ Seit einem Monat gibt es doch eines.

Nun können personenbezogene Daten innerhalb von Konzernniederlassungen weltweit umhergeschickt werden, ohne dass das bei der Datenschutzkommission gemeldet werden muss. Die MitarbeiterInnen und BetriebsrätInnen in Konzernen können somit nicht mehr beim Datenverarbeitungsregister nachfragen, ob diese Datentransfers eingetragen sind und somit rechtmäßig erfolgen – sie sind auch ohne Meldung rechtmäßig.

Folgende Verwendungen wurden in der neuen Standardverordnung 033 Datenübermittlung im Konzern“ festgeschrieben:

  • Kontakt- und Termindatenbank – auch die von Volontären, Praktikantinnen, wobei mir beim besten Willen die Phantasie fehlt, warum deren Termine von weiltweiter Bedeutung sind.
  • Karrieredatenbank  – hier dürfen sogar Beratungsunternehmen Zugriff erhalten, wobei die Zustimmung immer „freiwillig“ zu sein hat, was im Arbeitsverhältnis erfahrungsgemäß eher… nun ja…. ähmm… wie soll ichs sagen….
  • Verwaltung von Bonus- und Beteiligungsprogrammen – ermöglicht den Banken Zugriff auch auf Sachleistungen, die es vielleicht zusätzlich zum Gehalt gibt.
  • Technische Unterstützung – das ergibt wenigstens Sinn.

alles in allem aber eher:

AUTSCH!!!

Obwohl die GPA-djp in ihrer Stellungnahme recht deutlich wurde,

Wir sprechen uns dagegen aus, eine Überlastung bei der Datenschutzkommission durch gesetzliche Vorgaben zu beheben, sondern plädieren für eine ausreichende personelle Ausstattung. Insbesondere das Vorhaben, eine Standardverordnung für Datenübermittlung im Konzern einzuführen, muss abgelehnt werden.

ist die Erleichterung des Datentransfers für Konzerne nun in Kraft.

noch mehr Video als Standard

Auch die Videoüberwachung erfreut sich nun einer „administrativenErleichterung“ dadurch, dass sie zusätzlich zu den bereits exisiterenden Standards in weiteren Fällen ohne eigene Meldung an das Datenverarbeitungsregister ermöglicht wurde; und zwar

  • auf Parkgaragen und -plätzen
  • in Rechenzentren
  • in öffentichen Gebäuden 

Wer noch nicht genug hat und einen weiteren Artikel dazu lesen möchte, findet den hier.

Wer dem Ganzen etwas Positives abgewinnen möchte, dem/ der sei versichert: immerhin gibt es in der klare Standardverordnung Rahmenbedingungen unter denen die Daten verwendet werden dürfen.

Und wer dem Ganzen nicht traut, möge weiterhin die Möglichkeiten des Arbeitsverfassungsgesetzes in Anspruch nehmen; hier hat der Betriebsrat / die Betriebsrätin das Recht, eine Betriebsvereinbarung zu diesen Systemen abzuschließen. Denn:

trotz Standardverordnung müssen die Datenverwenungen unter Mitbestimmung der betrieblichen Interessenvertretung eingesetzt werden!

Was die geplante EU-Verordnung zum Datenschutz für österreichische ArbeitnehmerInnen bedeutet

IMG_1556 ein Interview mit Gerda Heilegger

Die geplante  Novellierung im EU-Datenschutz wird auch in Österreich weit reichende Konsequenzen haben. Zu den Auswirkungen auf die Gesetzeslage in Österreich wurde deshalb die Juristin Gerda Heilegger aus der Arbeiterkammer Wien befragt.

Dass der internationale Datentransfer ein heißes Thema ist, wurde bereits des Öfteren – auch in diesem Blog – thematisiert. Zuletzt wieder in dem Artikel „Einblick unerwünscht“ in der Kompetenz.

In der geplanten EU-Verordnung soll der Datentransfer innerhalb der EU weitere Freiheiten erfahren und zugleich der Missbrauch von personenbezogenen Daten stärker sanktioniert werden. Was die Verordnung insgesamt für die derzeitige Gesetzgebung bedeutet, verrät Gerda Heilegger.

Was sind die wesentlichen Änderungen der geplanten EU-Verordnung im Vergleich zum derzeitigen Stand im ArbeitnehmerInnen-Datenschutz?

Man kann schon sagen, dass die Verordnung einige Verbesserungen bringt.

Dass es jetzt Mindeststrafen geben soll, ist sehr begrüßenswert. In Österreich gibt’s derzeit nur Höchststrafen und die werden kaum je ausgesprochen – Strafverfahren zum Datenschutzgesetz sind momentan eher scheintot. 

Es ist schön, dass es einen Datenschutzbeauftragten geben soll, auch wenn die Rahmenbedingungen nicht wirklich zufriedenstellend sind. Da fehlt noch die rechtliche Absicherung für diese Funktion, die Mitsprache des Betriebsrates und die Anzahl der Beschäftigten, ab der ein Datenschutzbeauftragter einzurichten ist, ist zu hoch.

Ja und was sehr gut ist, ist die Informationspflicht für die Betroffenen, falls es zu einem Daten-Leck kommt. Das ist jetzt in der Verordnung genau festgeschrieben, was dann zu passieren hat, in welcher Frist informiert werden muss – nämlich 24 Stunden – und worüber konkret informiert werden muss – nämlich welche Daten in die falschen Hände geraten sind und wo das Sicherheitsleck ist.

Leider gibt es nach wie vor kaum einen expliziten Bezug zum Arbeitsverhältnis – zwar ist in Artikel 82 das „data proceeding in the employment context“ abgehandelt, aber das gibt inhaltlich nicht viel her.

Welche Auswirkungen hat die geplante Verordnung auf unser derzeitiges Datenschutzgesetz?

Die Verordnung steht rechtlich über dem DSG. Die Verordnung ist in Österreich unmittelbar anzuwenden, enthält allerdings noch einige Lücken, wie das konkret umgesetzt werden soll, weshalb ich annehme, dass die EU-Staaten sowieso einiges noch näher ausführen müssen. Tritt die Verordnung in Kraft, müssen die Mitgliedsstaaten prüfen, ob ihre Gesetzgebung der EU-Verordnung entspricht – zum Beispiel bei den Sanktionen entspricht die derzeitige Gesetzeslage in Österreich nicht der Verordnung und das müsste dann nachgebessert werden. Oder der Gesetzgeber setzt das DSG außer Kraft. Oder er macht gar nichts und handelt sich eine Vertragsverletzungsklage ein.

Was wäre aus Sicht der ArbeitnehmerInnenvertretung noch unbedingt zu ergänzen in dem Entwurf der EU-Kommission?

Ich würde mir wünschen, dass die Verordnung ganz klar regelt, in welchen Bereichen die EU-Staaten eigene nationalstaatliche Regelungen zur Besserstellung gegenüber der Verordnung schaffen können. Insbesondere beim Datenschutzbeauftragten wäre das wichtig – den muss es auch für Firmen mit weniger als 250 Mitarbeitergeben und sie brauchen einen Kündigungsschutz und ein Benachteiligungsverbot.

Dann bleibt zu hoffen, dass das EU-Parlament hier noch nachbessert. Danke für das Interview.

Danke ebenfalls.

you can hear the whistle blow…

pfeiferlinnerbetriebliches Whistle-Blowing, wollen wir das?

Das (Ver-)Pfeifen ist gelernten ÖsterreicherInnen nicht allzu fremd. Neu ist, dass es Überlegungen dazu gibt, dieses Melden von unangebrachtem Verhalten in gesetzliche Formen zu gießen.

Fangen wir am Anfang an: Es war einmal in einem Land weit weit weg (weil bei uns würde so etwas nie passieren) ein riesengroßer Energiekonzern und der hieß Enron. Über viele Jahre hinweg wurde der Konzern von gemeinen Leuten bestohlen.  Diese Diebe, das waren die eigenen Manager – und ihre Berater – die alle Dokumente fälschten und so taten, als sei alles in Ordnung. Viele Angestellte hatten jahrelang gewusst, dass das nicht rechtens war, doch wollte keiner etwas davon nach außen dringen lassen, um die Arbeit nicht zu verlieren. So wurde alles nur noch schlimmer und die Diebe nahmen das Geld aus der Kasse, bis schließlich keines mehr da war, der Konzern aufgelöst wurde und viele Menschen ihre Arbeit verloren.

Märchenstunde? Nein, das ist das echte Leben.

Damit so ein Finanzbetrug nicht noch einmal vorkommen sollte, wurde ein Gesetz erlassen. Der vom amerikanischen Kongress 2002 verabschiedete Sarbanes-Oxley-Act (aka SOX) legt fest, dass Unternehmen, deren Wertpapiere an US-amerikanischen Börsen notieren oder gehandelt werden, eine betriebsinterne Stelle haben müssen, bei der anonyme Hinweisgeber Informationen über wirtschaftlich nicht korrektes Verhalten geben können – die Whistle-Blowing-Hotline. Großbritannien folgte diesem Beispiel alsbald. Nun überlegt auch der österreichische Datenschutzrat, ob es nicht ratsam wäre, diese Hotlines in Form eines Gesetzes zu regeln.

Über internationale Konzerne ist das Thema schon länger in die hiesigen Betriebe getragen worden. Das Rechtsverständnis der Datenschutzkommission dazu ist, dass der mit dem Whistle-Blowing  einhergehende Datentransfer in die USA nur dann genehmigt wird, wenn es sich um Vergehen von Vorgesetzten handelt, sollten MitarbeiterInnen angezeigt werden, bleibt der Datensatz bei nationalen Gerichten – immerhin.

Von der „Ethik-Hotline“ bis zur „Vernaderer-Nummer“ 

reichen die Bezeichnungen für die betriebsinternen Ansprechstellen im Falle von nicht-erwünschten Verhalten.  Damit es bei den Ansprechstellen tatsächlich um die Vorbeugung von Finanz-Skandalen geht und nicht darum, unliebsame KollegInnen loszuwerden, weil sie sich vielleicht nicht an die sogenannten „Compliance-Richtlinien“ halten, wären folgende Maßstäbe anzulegen:

  • Beschränkung der Melde-Möglichkeit auf Themen, die tatsächlich etwas mit den Finanzen des Unternehmens zu tun haben und über Bagatellbeträge hinausgehen
  • Whistle-Blowing muss auf freiwilliger Basis erfolgen und darf nicht zu einer Anzeigepflicht mutieren
  • Whistle-Blowing-Hotlines müssen immer mit einer Betriebsvereinbarung geregelt werden
  • der Personenkreis, der angezeigt werden kann, muss eingeschränkt werden auf jene, die tatsächlich Zugang zu finanzrelevanten Informationen haben und die Möglichkeit, sich illegal aus der Unternehmenskasse zu bedienen; zwischen gleichgestellten mittleren und einfachen Angestellten darf es kein Whistle-Blowing geben
  • das Prozedere, wie mit den Informationen zu verfahren ist und welche Folgen eine Meldung bei der Hotline hat, ist im Vorhinein festzulegen, insbesondere die Löschung der Daten muss sichergetellt werden, nachdem sie sich entweder als unrichtig herausgestellt haben oder an die zuständigen Gerichte übermittelt wurden
  • Verpflichtung der Ansprechstelle zur Verschwiegenheit und dazu, die Informationen nur unter bestimmten Bedingungen und nur an die tatsächlich Beteiligten bzw. allfällig zuständige Gerichte weiterzugeben, sowie eine Garantie ihrer Unabhängigkeit
  • ein Schutz der Whistle-Blower (also der HinweisgeberInnen) vor Benachteiligung durch die gegebenen Informationen, Bossing, Verletzung oder gar Entlassung
  • nur in Ausnahmefällen dürfen die Hinweise anonym erfolgen

Wenn das alles passt, dann spricht wenig gegen eine Hotline, bei der die Beschäftigten illegales Verhalten ihrer Vorgesetzten melden können.

Wie lange schläft Dornröschen noch?

Quelle: Bilderbox

Quelle: Bilderbox

ArbeitnehmerInnen-Daten stammen meist aus Kontrollmaßnahmen, sind viel unterwegs, überschreiten mühelos Grenzen und haben noch nicht mal einen Pass. Die EU-Richtlinie zum Datenverkehr schränkt diese grenzenlose Freiheit zwar ein, doch die Praxis sieht leider anders aus, wie an anderer Stelle in diesem Blog bereits erörtert. Daher hat die GPA-djp am 4. und 5. Oktober 2010 ein internationales Austauschtreffen von Gewerkschaften zum Thema europäischer ArbeitnehmerInnen-Datenschutz organisiert. Diskutiert wurde über die praktische Umsetzung der EU-Datenschutzrichtlinie auf nationaler Ebene und die Forderungen zum Datenschutz auf EU-Ebene.

Teilgenommen haben DatenschützerInnen aus Deutschland, Finnland, Belgien und Schweden, EurobetriebsrätInnen internationaler Konzerne, eine Vertreterin der Europäischen Angestelltengewerkschaft UNI sowie die ehemalige Leiterin der Datenschutzkommission und Mitglied der EU-Datenschutzgruppe. So konnten wir Informationen aus Ländern erhalten, wo die rechtlichen Regelungen zum ArbeitnehmerInnen-Datenschutz höchst unterschiedlich aussehen.

In Finnland beispielsweise gibt es ein eigenes Gesetz zum Schutz der Privatsphäre am Arbeitsplatz. Die Kontrollbehörde für den Datenschutz ist mit denen für Sicherheit und Gesundheit am Arbeitsplatz gekoppelt und somit gibt es wesentlich größere Ressourcen.

In Schweden haben Betriebsräte das Recht, Datenschutzangelegenheiten für ihre Beschäftigten vor den Datenschutzkontrollbehörden einzuklagen. Das erleichtert den Zugang zum Recht, weil einzelne Betroffene sich dann nicht mehr „in die Auslage“ stellen müssen.

In Belgien sind Datenschutzangelegenheiten explizit in Kollektivverträgen zu regeln.

In Deutschland gibt es die betrieblichen Datenschutzbeauftragten und ein eigenes Gesetz zum ArbeitnehmerInnen-Datenschutz wird derzeit diskutiert, wie in einem anderen Artikel auf diesem Blog näher erwähnt wird.

Gemeinsam ist allen Staaten, dass Verstöße gegen das Datenschutzgesetz kaum sanktioniert werden (Ausnahme: Deutschland), dass der Datenschutz am Arbeitsplatz kaum explizit vom allgemeinen Datenschutz unterschieden wird (Ausnahme: Finnland) und dass die Sensibilität für mehr Privatsphäre und weniger Kontrolle bei allen Beteiligten eher schwach ausgeprägt ist.

Es wird einige Anstrengung kosten, um Dörnröschen doch noch zu erwecken. Eine davon ist es, bei der Novelle der EU-Datenschutz-Richtlinie von 1995, die derzeit auf EU-Ebene angedacht wird, kräftig mitzumischen.

Betrieblicher Datenschutz

Das Thema des Datenschutzes in Unternehmen, hauptsächlich im Zusammenhang mit neuen und erweiterten technischen Möglichkeiten der MitarbeiterInnenüberwachung, gewinnt in den letzten Jahren aus gewerkschaftlicher Sicht bedenklich an Bedeutung. Die Abt. Arbeit und Technik der Gewerkschaft der Privatangestellten, Druck – Journalismus – Papier (GPA-djp) befasst sich nicht nur grundlegend mit den aktuellen Entwicklungen zu diesem Thema, sondern bietet auch Beratung zu den verschiedenen Problemstellungen im Betrieb, um dem Missbrauch von MitarbeiterInnendaten auf ArbeitgeberInnenseite soweit wie möglich vorzubeugen.

Zunehmender Technikeinsatz bringt mehr Möglichkeiten der MitarbeiterInnenkontrolle
Der Themenbereich des betrieblichen Datenschutzes betrifft sowohl Fragen der persönlichen Freiheit von ArbeitnehmerInnen als auch Aspekte der menschenwürdigen Gestaltung von Arbeitsplätzen und hat sich in den letzten Jahren zu einem Kernthema bzw. auch zu einem der wichtigsten Beratungsthemen von Arbeit&Technik entwickelt.
Read more »

"Whistle Blowing" – Aktuelles zum Thema: MitarbeiterInnen "verpfeifen"

Im Rahmen der Einführung von betrieblichen Verhaltenskodizes (auch bekannt unter „Privacy Statements“, „Codes of Conduct“, „Binding Corporate Rules“), durch die konzernweite Verhaltensregeln aufgestellt werden, kommt es häufig zum Aufbau von so genannten Whistle Blowing-Systemen mit „Ethik-Hotlines“, über die MitarbeiterInnen ihre KollegInnen „verpfeifen“ können. Das dahinter stehende Prinzip ist klar: Anstatt MitarbeiterInnenüberwachung (nur) in einem „Top-Down“-Prozess zu gestalten, sollen sich die MitarbeiterInnen gegenseitig kontrollieren. Dafür werden Anreize gesetzt, die dazu ermutigen, beobachtete Verstöße gegen die Regelungen des Verhaltenskodex bei einer unternehmensinternen Hotline zu melden.

„In den USA wurde im Zuge von Bilanzfälschungsskandalen (Enron) ein Gesetz verabschiedet, das von börsennotierten Unternehmen die Einrichtung interner Kontrollmaßnahmen verlangt. US-amerikanische Konzerne sind somit gezwungen, auch bei ihren europäischen Tochtergesellschaften Whistle Blowing-Hotlines einzurrichten […].
In Europa wirft dies allerdings sowohl arbeits- als auch datenschutzrechtlich jede Menge Probleme auf. Whistle Blowing und Ethik-Hotlines sind in Österreich nicht ohne weiteres zulässig. Der Arbeitgeber ist jedenfalls verpflichtet, dasWhistle-Blowing-System beim Datenverarbeitungsregister zu melden bzw. um eine Vorabgenehmigung durch die Datenschutzkommission anzusuchen.“ (GPA-djp [Hg.] [2007]: Fahren Sie nach Indien! Ihre Daten sind schon dort! Wien: GPA-djp, Seite 44.)

Wie aus dem aktuellen Newsletter (KW 07/2009) der ARGE DATEN Privacy Service hervorgeht, hat die Datenschutzkommission (DSK) nun entgegen der Empfehlung der EU-Datenschutzgruppe (Art. 29-Gruppe) die Weitergabe von Whistle Blowing-Daten in die USA genehmigt.
Fazit:

„Positiv am DSK-Bescheid ist, dass keine uneingeschränkte Übermittlung an die Konzernmutter genehmigt wurde. Ein US-Callcenter für die Meldung kleinerer Missstände die innerhalb eines österreichischen Unternehmens auftreten, zu genehmigen widerspricht jedoch den EU-Datenschutzempfehlungen und zeigt, dass die DSK nicht bereit ist, aus dem SWIFT-Desaster Konsequenzen zu ziehen. Wie bekannt wurden europäische Banktransferdaten von SWIFT an einen US-Dienstleister ausgelagert. Um anschließend – unter zu Hifenahme gehöriger Erpressung – bei US-Behörden zu landen.“ (ARGE DATEN Privacy Service)

Nähere Informationen zur aktuellen Entscheidung der Datenschutzkommission:
ARGE DATEN Privacy Service: DSK genehmigt Weitergabe von „whistle blowing“-Daten in die USA (11.02.2009)

Internationaler Datentransfer

Informationen und Handlungshilfen
zum grenzüberschreitenden Datentransfer

indien Im Zeitalter einer global vernetzten Wirtschaft agieren auch Konzerne global und auf Basis internationaler Konzernstrukturen. Es besteht daher gerade in großen Unternehmen ein Interesse der Konzernleitung daran, grenzüberschreitend auf die Daten aller MitarbeiterInnen zugreifen und diese weiterverarbeiten zu können.
Die Reichweite der Datenerfassung in einem Unternehmen ist den MitarbeiterInnen oft nicht bewusst. Die Möglichkeiten zur Auswertung und zum Informationsgewinn sind unbegrenzt – die Frage ist, ob sie sinnvoll sind und ob sie mit den rechtlichen Datenschutzbestimmung konform gehen. Die GPA-djp-Broschüre „Fahren Sie nach Indien! Ihre Daten sind schon dort! Informationen und Handlungshilfen zum grenzüberschreitenden Datentransfer“ bietet Beschäftigten und BetriebsrätInnen Informationen und Handlungshilfen zum grenzüberschreitenden Datentransfer.