Tag Archives: Standardverordnung

Hallo Konzernprivileg!

weckerEin böses Erwachen hatten am 18. September all jene, die immer sagten: „Es gibt kein Konzernprivileg!“ Seit einem Monat gibt es doch eines.

Nun können personenbezogene Daten innerhalb von Konzernniederlassungen weltweit umhergeschickt werden, ohne dass das bei der Datenschutzkommission gemeldet werden muss. Die MitarbeiterInnen und BetriebsrätInnen in Konzernen können somit nicht mehr beim Datenverarbeitungsregister nachfragen, ob diese Datentransfers eingetragen sind und somit rechtmäßig erfolgen – sie sind auch ohne Meldung rechtmäßig.

Folgende Verwendungen wurden in der neuen Standardverordnung 033 Datenübermittlung im Konzern“ festgeschrieben:

  • Kontakt- und Termindatenbank – auch die von Volontären, Praktikantinnen, wobei mir beim besten Willen die Phantasie fehlt, warum deren Termine von weiltweiter Bedeutung sind.
  • Karrieredatenbank  – hier dürfen sogar Beratungsunternehmen Zugriff erhalten, wobei die Zustimmung immer „freiwillig“ zu sein hat, was im Arbeitsverhältnis erfahrungsgemäß eher… nun ja…. ähmm… wie soll ichs sagen….
  • Verwaltung von Bonus- und Beteiligungsprogrammen – ermöglicht den Banken Zugriff auch auf Sachleistungen, die es vielleicht zusätzlich zum Gehalt gibt.
  • Technische Unterstützung – das ergibt wenigstens Sinn.

alles in allem aber eher:

AUTSCH!!!

Obwohl die GPA-djp in ihrer Stellungnahme recht deutlich wurde,

Wir sprechen uns dagegen aus, eine Überlastung bei der Datenschutzkommission durch gesetzliche Vorgaben zu beheben, sondern plädieren für eine ausreichende personelle Ausstattung. Insbesondere das Vorhaben, eine Standardverordnung für Datenübermittlung im Konzern einzuführen, muss abgelehnt werden.

ist die Erleichterung des Datentransfers für Konzerne nun in Kraft.

noch mehr Video als Standard

Auch die Videoüberwachung erfreut sich nun einer „administrativenErleichterung“ dadurch, dass sie zusätzlich zu den bereits exisiterenden Standards in weiteren Fällen ohne eigene Meldung an das Datenverarbeitungsregister ermöglicht wurde; und zwar

  • auf Parkgaragen und -plätzen
  • in Rechenzentren
  • in öffentichen Gebäuden 

Wer noch nicht genug hat und einen weiteren Artikel dazu lesen möchte, findet den hier.

Wer dem Ganzen etwas Positives abgewinnen möchte, dem/ der sei versichert: immerhin gibt es in der klare Standardverordnung Rahmenbedingungen unter denen die Daten verwendet werden dürfen.

Und wer dem Ganzen nicht traut, möge weiterhin die Möglichkeiten des Arbeitsverfassungsgesetzes in Anspruch nehmen; hier hat der Betriebsrat / die Betriebsrätin das Recht, eine Betriebsvereinbarung zu diesen Systemen abzuschließen. Denn:

trotz Standardverordnung müssen die Datenverwenungen unter Mitbestimmung der betrieblichen Interessenvertretung eingesetzt werden!

Konzernprivileg kommt früher als erwartet

neuerlich Änderungen bei den Standardanwendungen geplant

Eine sogenannte Standardanwendung legt fest, welche Daten für welche Zwecke von welchen Personen verwendet werden dürfen, ohne dass diese Datenanwendung im Datenverarbeitungsregister gemeldet werden muss. Sie wird vom Bundeskanzler per Verordnung erlassen. Sie erleichtert damit den Unternehmen die Verwendung bestimmter Daten (z.B. Videoüberwachung beim Juwelier oder Personalverwaltung im privatrechtlichen Unternehmen), weil sie nicht mehr extra gemeldet oder genehmigt werden müssen. Zugleich wird es dadurch für die Betroffenen schwieriger nachzuvollziehen, welche ihrer Daten wozu verarbeitet werden, weil sie ja keinen Zugang mehr über das Melderegister haben.

Erst kürzlich konnten Datenschutz-Interessierte feststellen, dass die Standardanwendung für privatrechtliche Dienstverhältnisse ausgeweitet wurde.

und jetzt is scho wieder was passiert

Es soll eine neue Standardanwendung (SA033 A-D) geschaffen werden, die es konzernintern ermöglicht

  • Kontaktdatenbanken,
  • Termindatenbanken,
  • Karrieredatenbanken,
  • Datenbanken zur Verrechnung von Boni und Beteiligungen sowie
  • die technische Unterstützung

zu betreiben, ohne diese im Datenverarbeitungsregister melden zu müssen und ohne dass die Datenschutzkommission diese Datenbanken genehmigen muss. Das bedeutet die Einführung eines Konzernprivilegs. Bisher konnten wir immer in der Beratung sagen : „Das österreichische Datenschutzgesetz kennt keine Bevorzugung von Konzernen.“

Eigentlich habe wir erst mit In-Kraft-Treten der neuen EU-Verordnung mit diesem Schlag gerechnet und noch Hoffnungen in das EU-Parlament gesetzt, dass das Konzernprivileg abgeschwächt wird. Doch im Bundeskanzleramt ist man schneller als gedacht.

Da drängen sich den ArbeitnehmerInnen-DatenschützerInnen einige Fragen auf:

Wer hat das bestellt? Woher kommt es, dass es allein für die Wirtschaftskammer Österreich 5 (in Worten: fünf) Standardanwendungen gibt und für Gewerkschaften, geschweige denn den Betriebsrat keine einzige? Die Antworten richten sie bitte an Dr. Datenschutz. Die GewinnerInnen werden nicht verständigt und bekommen auch keinen Preis (Datenschutzgründe).

Test bestanden – Bewerber abgelehnt?

neue Datenanwendungen und Empfängerkreise in Standardanwendungen entdeckt

Es gibt in Österreich die Pflicht, jede Verwendung personenbezogener Daten zu melden, in besonderen Fällen auch vorab prüfen zu lassen. Die Datenverwendungen werden dann ins Datenverarbeitungsregister (DVR) eingetragen. Damit nicht jede Kleinigkeit gemeldet werden muss, gibt es bestimmte Verwendungen, die mit bestimmten Daten gemacht werden dürfen, ohne vorher zu melden. Welche das sind, sind in den „Standard- und Musteranwendungen“ festgehalten.

Eine dieser Standardanwendungen bestimmt beispielsweise, was Vereine mit ihren Mitgliederdaten machen dürfen, ohne dass das extra gemeldet werden muss. In einer anderen ist festgelegt, welche personenbezogenen Daten zur Personalverwaltung in der Privatwirtschaft verwendet werden dürfen – das ist die so genannte SA 002.

Die Standardanwendungen werden immer wieder „aktualisiert“, das heißt in der Praxis: ausgeweitet, sodass mehr Daten ohne Meldung verwendet werden dürfen (wie in diesem Blog bereits berichtet wurde), weil immer wieder neue Datenbegehrlichkeiten von verschiedenen Seiten – mitunter auch seitens der UnternehmerInnen – geäußert werden.

Und jetzt is scho wieder was passiert….

Diesmal betrifft es die BewerberInnendaten. Die darf der/die ArbeitgeberIn jetzt auch ohne weitere Meldeverfahren sammeln. Alles unter der Prämisse, dass die BewerberInnen diese Daten auch „freiwillig“ zur Verfügung stellen – wobei es angesichts des Machtgleichgewichtes bei einem Bewerbungsgespräch sicherlich gut vorstellbar ist, dass BewerberInnen Fotos, Testergebnisse und dergleichen ihrem/ihrer zukünftigen ArbeitgeberIn vorenthalten.

Diese Daten der potentiellen Mitarbeiterinnen dürfen nun ohne Meldung beim DVR festgehalten werden:

  • Ordnungszahl(en)
  • Name
  • Geburtsdatum
  • Staatsbürgerschaft
  • Geschlecht
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Lichtbild
  • Ausbildungsdaten
  • Berufserfahrung und Lebenslauf
  • Angestrebte Beschäftigung
  • Beginn der angestrebten Beschäftigung
  • Sprachkenntnisse
  • Spezielle Berufserfordernisse
  • Testergebnisse

Einen Pluspunkt hat die Sache: Diese BewerberInnen-Daten dürfen nicht weitergegeben werden – das müsste dann wiederum extra gemeldet werden und bräuchte somit einen guten Grund.

Dass einige dieser Daten erforderlich sind für Bewerbungen, steht außer Streit, es geht darum, dass insbesondere die beiden letzten Punkte wenig konkret sind und somit Tür und Tor für unsinnige Abfragen öffnen.

Die Angabe „spezielle Berufserfordernisse“ könnte sehr weitreichend interpretiert werden, da es auch ja offenbar nicht um die allgemeinen Voraussetzungen für die offene Stelle handelt, sondern eben um „spezielle“. Eine nähere Erläuterung, was darunter zu verstehen ist, täte der Standardanwendung sicherlich gut. 

Und die Angabe „Testergebnisse“ ist höchst problematisch, weil nicht festgelegt ist, ob es sich um Wissenstests, psychologische Eignungstest oder gar medizinische Tests handelt. Reine Wissensabfragen, die Bezug nehmen auf die voraussichtlichen Arbeitsaufgaben, mögen noch sinnvoll erscheinen. Psychologische Tests stellen sich schon problematischer dar, weil sie entweder „no-na-ned-Ergebnisse“ produzieren („geraten sie rasch in Wut?“ „Ja, und dann brülle ich meine Vorgesetzten an“) oder unklare Fragen stellen, die die Befragten in die Irre führen („Könnten sie sich vorstellen, in fünf Jahren das Unternehmen zu verlassen“ „jein“). Gesundheitstest wiederum fallen in die Kategorie „sensible Daten“, sind folglich genehmigungspflichtig (außerdem bezüglich Gen-Tests sowieso völlig verboten, § 67 Gentechnikgesetz) und ihre Ergebnisse unterliegen einer ärztlichen Schweigepflicht. Sie sind nur in den wenigsten Fällen tatsächlich zur Berufsausübung notwendig.

Und ganz nebenbei wurde noch ein neuer Empfängerkreis eingefügt: die „Kunden und Interessenten des Auftraggebers“. Denen dürfen nun alle betrieblichen Kontaktdaten (Fon, Fax, Mobile, Mail, etc.) sowie die organisatorische Zuordnung der MitarbeiterInnen bekannt gegeben werden. Brauchen die das? (eine Anfrage an Radio Jerewan…)

Videoüberwachung wird zum Standard!

Eine neue Standardverordnung des Bundeskanzlers macht Videoüberwachung in bestimmten Bereichen zum Standard. Das heißt, die Videoanlagen müssen nicht mehr bei der Datenschutzkommission gemeldet werden, sondern können ohne größeren Aufwand – husch – in Betrieb genommen werden.

Auf einmal war sie da

Ohne den Entwurf zuvor den ArbeitnehmerInnen-Interessenvertretungen vorzulegen, wurde die Verordnung für Banken, Tankstellen, Trafiken und Juweliere (inkl. Antiquitäten- und Kunsthandel, Gold- und Silberschmiede) beschlossen.

Damit erschwert sich der Zugang der BetriebsrätInnen in diesen Geschäften zu den Video-Aufzeichnungen. Das Verhandeln von Betriebsvereinbarungen wird dadurch auch nicht gerade erleichtert.

Außerdem besteht die Gefahr, dass sich andere Bereiche dem anschließen möchten.

Einen Vorteil hat die Geschichte: die Videoerfassung  ist jetzt klar geregelt, die Aufzeichnungen müssen verschlüsselt werden, die Bilder dürfen nur im konkreten Anlassfall angesehen werden und wer die Daten bekommen darf (Polizei, Gerichte u.ä.), ist beschränkt.