Tag Archives: USA

Neue Datenschutzregeln in Kalifornien

Quelle: Bilderbox

Die DSGVO wird nun in anderen Teilen der Welt zum Vorbild genommen

In Europa herrschte in den letzten Wochen und Monaten große Aufregung über das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO), deren Entstehungsgeschichte unter anderem auf diesem Blog  intensiv begleitet wurde. So wurden Vorwürfe erhoben, die gesetzlichen Neuerungen, die die DSGVO mit sich brachte, würden große bürokratische Hürden insbesondere für kleine und mittelständische Unternehmen aufstellen.   die Vorteile für Einzelpersonen, die sich nun unmittelbar auf die Bestimmungen der Verordnung berufen und ihre Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten besser durchsetzen können, oftmals weniger diskutiert.

Für stärkeren Datenschutz wurde kampagnisiert…

Inzwischen scheinen die Inhalte der DSGVO jedoch bereits über das Gebiet der Europäischen Union hinaus auszustrahlen. Die Verordnung wird in anderen Teilen der Welt geschätzt und zum Vorbild für ähnliche legislative Maßnahmen genommen. So konstituierte sich in den vergangenen Monaten im US-Bundesstaat Kalifornien eine BürgerInneninitiative und machte sich für ein strengeres Datenschutzrecht auf bundesstaatlicher Ebene stark. Der Auslöser für die Beschäftigung mit dem Thema Datenschutz war der Initiatorin zufolge ein privates Gespräch mit einem Google-Mitarbeiter. Dieser habe eingeräumt, die Menschen würden sich wohl stärker um ihre Privatsphäre sorgen, wenn ihnen bekannt wäre, was Google alles über sie weiß.

Gefordert wurde insbesondere ein Widerspruchsrecht zum Verkauf von NutzerInnendaten durch Technologieunternehmen wie Google oder Facebook an Dritte sowie eine Verantwortlichkeit jener Unternehmen für den Fall von data breaches. Zudem sollte NutzerInnen gegenüber offengelegt werden, welche ihrer Daten verarbeitet und an wen sie verkauft werden. Entsprechend ablehnend reagierten die zu einem Teil auch in Kalifornien ansässigen Technologiekonzerne und starteten unter hohem finanziellem Aufwand eine Gegenkampagne.

…und dieser letztlich auch umgesetzt.

Unter dem Druck der Initiative wurde im vergangenen Juni tatsächlich der California Consumer Privacy Act of 2018  beschlossen und soll mit 2020 in Kraft treten. Mit einer im Vergleich zu den Forderungen der Initiative nicht unwesentlichen Änderung: Unternehmen müssen bloß Auskunft darüber geben, an welche „Kategorie“ von Unternehmen NutzerInnendaten weiterverkauft werden, die EmpfängerInnen der Daten müssen jedoch nicht benannt werden.

Zumindest im Sinne der KonsumentInnen werden ab 2020 in Kalifornien also die Regeln über den Datenschutz gestärkt. Zwar werden die hohen Standards, die von der EU-DSGVO vorgegeben werden, nicht erreicht und insbesondere auch nicht dieselbe Fülle an individuellen Rechten gewährt. Immerhin wird künftig aber auch in Kalifornien für Unternehmen, die mit dem Verkauf von NutzerInnendaten Geschäfte machen, der Rechtfertigungsdruck steigen.

Hinweise geben, verpfeifen, aufdecken, Nest beschmutzen?

nest(first published im Blog von Arbeit & Wirtschaft)

Wer Missstände öffentlich macht und dabei seine ArbeitgeberInnen schlecht aussehen lässt, begibt sich auf dünnes Eis. Dazu braucht es Menschen mit sozialem Mut, Menschen mit ethischem Ungehorsam. Abseits der berühmten Aufdecker wie Julian Assange oder Edward Snowden gibt es weniger auffällige HinweisgeberInnen, deren Informationen von hohem öffentlichem Wert sind – sollte man meinen.

In Frankreich hat sich für Hinweisgebertum, das soziale Missstände anprangert, der Ausdruck „désobéissance éthique“ (=„ethischer Ungehorsam“) etabliert. Denn es stellt sich immer das Problem, an wen sich die AlarmschlägerInnen wenden sollen, wenn doch ihre eigenen Vorgesetzten diejenigen sind, die „Dreck am Stecken“ haben. Verschiedene „Öffentlichkeiten“ stehen den HinweisgeberInnnen zur Verfügung; Behörden, Staatsanwaltschaft oder Medien sind die typischen Ansprechpartner für ethisch Ungehorsame.

Whistleblowing konkret

In Deutschland gibt es immer wieder brisante Aufdecker-Skandale. Die Aufdecker werden jedoch selten als Helden gefeiert. In der Realität wird – im besten Fall – versucht, ihre Erkenntnisse aus der Öffentlichkeit fern zu halten oder – im schlechtesten Fall – ihre Arbeit als Ganzes in Frage gestellt, ihr soziales Umfeld unglaubwürdig gemacht und schlussendlich ihre Psyche nachhaltig geschädigt.

So wurde zB der äußerst erfolgreiche hessische Steuerfahnder, Rudolf Schmenger, seines Amtes enthoben. Schmenger hatte 2001 Ermittlungen bei der Deutschen Bank eingeleitet. Schmenger und vier seiner KollegInnen scheuten nicht davor zurück, die Steuergesetzgebung auch auf „systemerhaltende Unternehmen“ anzuwenden. Eine neue Verordnung, der zufolge „kleine“ Beträge nicht mehr beachtet werden sollten, verhinderte weitere Beweise dafür, dass die Deutsche Bank Steuern hinterziehe. Den SteuerfahnderInnen bescherte ihr Engagement sowohl Interventionen von höchster Seite als auch psychologische Gutachten, die eine „chronische paranoid querulatorische Störung“ attestierten – sie wurden alle versetzt oder entlassen, die Abteilung wurde aufgelöst.

Ein weiteres Beispiel aus Deutschland, das allerdings etwas positivere Zukunftsaussichten bietet, ist das der Altenbetreuerin Brigitte Heinisch, über die in diesem Blog bereits berichtet wurde. Heinisch kritisierte die gesundheitsgefährdenden Bedingungen in dem Pflegeheim, in dem sie angestellt war – vorerst nur intern, nachdem das erfolglos war wendete sie sich an die Gewerkschaft und mit dieser an das Gericht. Sie ging, unterstützt von ver.di, durch sämtliche nationale Gerichtinstanzen und schließlich wurde ihr vom Europäischen Gerichtshof für Menschenrechte 2011 recht gegeben: der deutsche Staat hatte ihr Recht auf freie Meinungsäußerung verletzt.


Whistleblowing rechtlich

Im Journalismus ist der Schutz von HinweisgeberInnen ein besonders heikles Thema. In Island wurde daher im April 2011 ein Gesetz verabschiedet: das Islandic Modern Media Initiative (IMMI). Es gilt als eines der modernsten Gesetze zum HinweisgeberInnen-Schutz in Europa. Bezeichnend, dass es sich bei Island nicht um ein EU-Land handelt.

Innerhalb der EU hat zwar die Artikel-29- Datenschutzgruppe ein Arbeitspapier zu Whistleblowing verfasst, in dem unter anderem festgestellt wurde, dass

bei der Umsetzung eines Verfahrens zur Meldung von Missständen das grundlegende Recht auf den Schutz personenbezogener Daten, sowohl des Hinweisgebers als auch der beschuldigten Person, während des gesamten Meldeverfahren gewährleistet wird.

Doch eine eigene EU-Gesetzgebung dazu gibt es nicht.

In Österreich lässt sich ein gewisser Schutz aus dem Arbeitsverfassungsgesetz ableiten. Und zwar in §37 wo das Recht für ArbeitnehmerInnen festgelegt ist, sich intern mit einer Beschwerde an die ArbeitgeberInnen zu richten und gleichzeitig klar gestellt ist, dass daraus kein Nachteil entstehen darf für die HinweisgeberInnen. Die so genannte „Motivkündigung“ ist somit bei HinweisgeberInnen ausgeschlossen.

Recht haben und Recht bekommen

Es wird allerdings nicht ausreichend sein, sich dem Thema ausschließlich von juristischer Seite zu nähern und nach Gesetzesbeschlüssen zu rufen. Das Beispiel USA zeigt es vor; in den USA gibt es ein Gesetz, dass Hinweisgeber einen besonderen Schutz gewährleisten soll (Sorbanes-Oxley-Act, kurz SOX genannt), doch dürfte dessen Wirksamkeit von den AlarmschlägerInnen wenig vertraut werden. Das liegt möglicher Weise daran, dass das Spionagegesetz aus dem Jahre 1917 zunehmend angewendet wird und damit auch die Todesstrafe für Spionagetätigkeiten verhängt werden kann. Jane Mayer kritisiert in einem Artikel

… it [die Obama-Regierung] has been using the Espionage Act to press criminal charges in five alleged instances of national-security leaks — more such prosecutions than have occurred in all previous administrations combined

Hinweisgeber-Systeme

Das einzige öffentliche Whistleblowing-System in Österreich wurde 2013 von der Korruptionsstaatsanwaltschaft im Justizministerium eingerichtet.

In immer mehr Unternehmen werden – ausgehend von us-amerikanischen Konzernen, die per Gesetz (SOX) dazu verpflichtet sind – Hinweisgeber-Systeme eingeführt. Dazu müssen zwei wesentliche AkteurInnen berücksichtigt werden: Einerseits haben BetriebsrätInnen ein gewichtiges Wort mitzureden. Andererseits ist die österreichische Behörde für Datenschutz, die Datenschutzkommission (DSK) verpflichtet, ein solches innerbetriebliches System zu genehmigen, bevor es eingeführt werden darf.

Welche konkreten Charakteristika ein solches Hinweisgebersystem aufweisen muss, hängt sowohl von der Tätigkeit als auch der Größe und den internationalen Verflechtungen eines Betriebs ab. Jedenfalls aber muss

  • die Teilnahme freiwillig sein,
  • eine Vertraulichkeit sowohl für die Einmeldenden als auch für die Beschuldigten für die Dauer der Überprüfung gewährleistet werden,
  • eine inhaltliche Beschränkung auf tatsächlich unternehmensschädigende und strafrechtlich relevante Meldungen erfolgen,
  • die bearbeitende Stelle vom Rest des Konzerns strikt getrennt und
  • deren MitarbeiterInnen besonders geschult werden sowie
  • die personenbezogenen Daten nach längstens zwei Monaten nach Abschluss des Falles gelöscht werden. (Nähere Infos gibt es in der GPA-djp.)

Die Erfahrung mit Meldesystemen aller Art lehrt allerdings, dass die Einrichtung eines solchen Systems – sei es eine Telefon-Hotline, eine Internet-Plattform oder ein Beschwerdebriefkasten – nichts an der Betriebskultur an sich und dem Umgang miteinander ändert. Die Meldung von Missständen kann immer nur als Ergänzung zum internen Management funktionieren und nicht als Ersatz dafür. Dazu braucht es weitere Voraussetzungen: eine öffentliche Diskussion zu dem Thema und Zivilcourage – und beides kann man nicht kaufen, im Gegensatz zu einer technischen Einrichtung für ein Hinweisgebersystem.

not amused…

freiheitsstatue

…über den EU-Entwurf zum Datenschutz

 

…ist diesmal das US-amerikanische Handelsministerium.  An dem geleakten Entwurf der neuen EU-Verordnung stört weniger die Tatsache, dass das Dokument vorzeitig veröffentlicht wurde, als vielmehr dessen Inhalt.

Das Handelsministerium der USA ist laut Eigendefinition dazu da, exportwilligen US-amerikanischen Unternehmen unter die Arme zu greifen. Selbstverständich, dass man hier befürchtet, dass die Möglichkeiten des „freien Datenverkehrs“ im europäischen Raum mit der neuen Verordnung empflindich eingeschränkt werden würden. Daher wurde jetzt Ende Dezember eine größere Lobbying-Kampagne von Seiten der USA in Brüssel gestartet – Briefe, Mails, Telefonate, die Kommunikationsnetze wurden vielseitig genutzt.

Unter anderem wird das angestrebte „right to be forgotten“ als undurchführbar vehement kritisiert. Nun ja, wenn sie dabei an Google, Facebook und Co denken, wäre das wirklich undurchführbar, weil schwer geschäftsschädigend. Die Konzerne leben schließlich davon, die personenbezogenen Daten ihrer Mitglieder gerade nicht zu vergessen, sondern auszuwerten und zu personalisieren, sprich für jeden User / jede Userin angepasst zuzubereiten.

Die Plattform „European Digital Rights“ berichtet ausführlich über die Reaktion der US-Behörde zum vorliegenden Entwurf. Schade, dass die im Ministerium bei ihrer massiven Kritik mit kaum nachvollziehbaren Argumenten um sich werfen – wäre doch schöner, wenn die auch einen betrieblichen Datenschutzbeauftragten für Betriebe ab 20 MitarbeiterInnen fordern würden. Ja, okay, …  das mit dem Christkind ist nur so eine Erfindung….