Category Archives: Datenschutz

Max Schrems vs Facebook

Klage in Österreich möglich – aber nicht gesammelt

Der EuGH hat nun entschieden, dass eine europaweite Sammelklage nicht zulässig ist

Max Schrems, Datenschützer und Betreiber der Initiative „Europe vs Facebook“, klagte gemeinsam mit über 25.000 Personen aus ganz Europa Facebook wegen Datenschutzvergehen vor Gerichten in Österreich.

Nach Auffassung von Schrems handelt es sich bei ihm selbst und auch bei den anderen 25.000 Facebook-Usern um VerbraucherInnen. Von Facebook wurde das bestritten und argumentiert, dass Schrems im Laufe des Verfahrens Bücher veröffentlicht, Vorträge gehalten, Websites betrieben, Spenden gesammelt und sich insbesondere die Ansprüche zahlreicher VerbraucherInnen hatte abtreten lassen, weshalb er eigentlich „beruflich“ gegen Facebook tätig sei.

Der Fall wanderte in Österreich durch die Instanzen, der Oberste Gerichtshof (OGH) bat den Europäischen Gerichtshof (EuGH) um Hilfe bei der Auslegung, wann VerbraucherInnen vor ihrem eigenen Heimatgerichtsstand klagen dürfen. Der EuGH hat diese Anfrage – in der JuristInnen-Sprache „Vorabentscheidungsersuchen“ genannte – des OGH nun beantwortet.

Das Ergebnis ist für Schrems und seine Anliegen nicht nur gut – aber auch nicht nur schlecht

So stellte der Europäische Gerichtshof (Urteil in der Rechtssache C-498/16)  in deutlichen Worten klar, dass die NutzerInnen privater Facebook-Kontos ihre Verbrauchereigenschaft nicht verlieren, bloß weil sie Bücher publizieren, Vorträge halten oder Websites einrichten. Sogar das Sammeln von Spenden und das Abtreten-lassen von Ansprüchen Anderer zum Zwecke der gerichtlichen Geltendmachung schadet dem eigenen Status als VerbraucherIn nicht. Diese Tätigkeiten im Zusammenhang mit dem Verfahren sind also nicht als „berufliche Tätigkeiten“ einzustufen.

Andererseits jedoch könne nach Ansicht des EuGH der eigene Gerichtsstand als VerbraucherIn nicht dafür benutzt werden, die Ansprüche anderer VerbraucherInnen geltend zu machen – unabhängig davon, ob diese ihren Wohnsitz im gleichen EU-Mitgliedstaat, in einem anderen Mitgliedstaaten oder in Drittstaaten haben. Schrems‘ Idee, gegen Facebook mithilfe einer „europäischen Sammelklage“ vorzugehen, ist damit vorerst „ad acta“ gelegt.

Im Hinblick auf die Wahrung von Verbraucherinteressen wäre die Möglichkeit einer solchen europäischen Sammelklage in Datenschutzangelegenheiten aber dringend geboten und sollte vom europäischen Gesetzgeber für die Zukunft in Betracht gezogen werden.

Klage in Österreich ist möglich

Die Klarstellungen des EuGH bedeuten aber vor allem : Schrems kann Facebook vor den Gerichten seines Wohnsitzstaates Österreich klagen und muss das Verfahren nicht vor den irischen Gerichten führen. Facebook hatte ja die internationale Zuständigkeit Österreichs bestritten.

Künftig steht es also allen VerbraucherInnen EU-weit offen, Technologiekonzerne wie Facebook wegen deren Datenschutzverletzungen im eigenen Land zu klagen. Das ist für die Einzelpersonen vorteilhaft und für Unternehmen mitunter sehr unangenehm und ist daher keinesfalls in seiner Wirkung zu unterschätzen.

Musterklage statt Sammelklage

Nun kann also der inhaltliche Teil des Verfahrens starten. Max Schrems hat angekündigt, eine „Musterklage gegen Facebook“ führen zu wollen.

Ebenfalls spannend ist die Gründung der Datenschutz-NGO „None of Your Business“ (noyb), zu der die GPA-djp auch ihr Schärflein beigetragen hat. Die NGO will der im Mai in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) bedienen, um internationale Konzerne in ihre datenschutzrechtlichen Schranken zu weisen. Dabei soll auf den strategischen Einsatz von Mahnung, Beschwerden bei den jeweils zuständigen (Datenschutz-)Behörden und Musterprozessen gesetzt werden. NOYB will dabei helfen, „dass der Datenschutz Zähne bekommt und nicht länger ein Papiertiger ist“, so Max Schrems in den Medien.

Die Datenschutzgrundverordnung aus Sicht der Arbeitnehmer_innen

Die Europäische Datenschutzgrundverordnung aus Sicht der ArbeitnehmerInnen

Broschüre der GPA-djp völlig neu  überarbeitet

Nach einer vierjährigen Diskussionsphase in den EU-Gremien und einer Vorbereitungsphase von zwei Jahren für die EU-Mitgliedsstaaten ist ab Mai 2018 die Datenschutzgrundverordnung (DSGVO) gültig. Mit 25.5. geht’s also los – dann gibt es für alle EU-Mitgliedsländer ein – weitgehend – einheitliches Datenschutzregime.

Die tägliche Beratungsarbeit der Abteilung Arbeit & Technik der GPA-djp zeigt, dass der Schutz der Privatsphäre ein immer wichtigeres Gut der Arbeitnehmer und Arbeitnehmerinnen wird. Betriebsrätinnen und Betriebsräte sind zunehmend darum bemüht, dieses Gut effektiv am Arbeitsplatz zu schützen. Damit man sie hat wenn man sie braucht, wurde daher in der vorliegenden Broschüre zusammengefasst, was an der DSGVO innerbetrieblich von Belang ist. Wer wissen möchte, was es mit dem neuen Gesetz auf sich hat und was das für die betriebliche Praxis bedeutet, für diese Leserinnen eignet sich die Broschüre. Es sind kurz und knapp die wichtigsten Inhalte der DSGVO dargestellt, die häufigsten Fragen aus Sicht von Betriebsrätinnen und Betriebsräten beantwortet und praktischer Weise ist im Anhang der Gesetzestext widergegeben, sodass man ihn immer als Hilfs- und „Beweismittel“ zur Hand hat.

Einige Elemente in der DSGVO sind tatsächlich neu, einige sind adaptiert und aktualisiert worden und Einiges ist beim Alten geblieben. Was man im Betriebsratsgremium beachten sollte, was es mit dem neuen „Marktortprinzip“ auf sich hat, wie die technischen Aspekte berücksichtigt werden sollten, wie die Betroffenenrechte aussehen, das Alles und noch viel mehr verrät die Broschüre.

Soviel sei schon gespoilert:

  • auch Firmen außerhalb der EU sind nicht ganz aus dem Schneider, wenn sie innerhalb der EU ihre Software/ Apps unter die Leute bringen wollen;
  • die technischen Einstellungen bei Software/ Apps/ Personalverwaltung müssen den Schutz der Privatsphäre für die Nutzer_innen ermöglichen
  • die Betroffenen müssen Auskunft erhalten (das ist nichts Neues) und ihre Daten auch zu anderen Plattformen mitnehmen können (das ist neu)

Wer Mitglied ist und mehr wissen will, erhält die Broschüre hier zum Download oder bestellt sie im Servicecenter der GPA-djp.

Internationale Komplikationen im betrieblichen Datenschutz

Ich lasse mich nicht hetzen

aus dem Alltag einer datenschützenden Betriebsrätin

die Betriebsrätin Didem Strebinger von der Austrian Airlines AG im Interview

Fritsch Clara: In eurem internationalen Unternehmen mit einer Mutter in Deutschland und einer Tochter in Frankreich konntet ihr kürzlich einen unerwünschten Datentransfer erfolgreich stoppen. Wie ist es dazu gekommen?

Didem Strebinger: Das war so: es sollte ein neues Programm ausgerollt werden. Wir wurden allgemein informiert über dieses „PROFILE“-Programm. Die HR teilte uns mit, dass dafür die Zustimmung des Betriebsrates in Österreich rechtlich nicht notwendig sei, da die Zustimmung der Personalvertretung bereits aus Frankreich vorliege. Wir haben erwidert, dass ohne Betriebsvereinbarung in Österreich diese Vorgehensweise nicht zulässig ist. Und dann wurden unsere personenbezogenen Daten an die Konzernmutter in Deutschland übermittelt. Wir sind da ganz zufällig draufgekommen.

FC: Wie habt ihr darauf reagiert?

DS: Zuerst einmal haben wir genauere Informationen verlangt. Da kam dann ein – naja sagen wir mal – „einigermaßen aussagekräftiges“ Email aus der HR, in dem dargestellt wurde, um welche Daten es sich überhaupt handelt, wer die Daten sieht, woher die Daten stammen, und so weiter. Wozu das Ganze Programm eigentlich gut ist, ging daraus nicht genau hervor. Unter den personenbezogenen Daten waren Angaben dabei zu Joberfahrung, über zusätzliche Ausbildungen, Sprachkenntnisse, und „Mobilität“ – was auch immer das bedeuten sollte. Der Betriebsrat wurde überhaupt nicht gefragt, ob er dieser Datenverarbeitung zustimmt.

In dem Email von der HR wurde auch geschrieben: „Daten werden zur Zeit nicht im Stellenbesetzungsprozess verwendet“. Das ist mir zu wenig Auskunft. Wozu werden sie dann verwendet? Was ist in Zukunft? Also haben wir den Datentransfer gestoppt und eine Betriebsvereinbarung für alle betroffenen Unternehmensteile verlangt. Das hat die HR natürlich nicht gefreut. Aber es sind ja mehrere Konzerngesellschaften von dem Datentransfer betroffen.

FC: Ich möchte kurz dein Antwort-Email zitieren, weil es – wie ich finde sehr treffend – ein grundlegendes Problem anspricht: nämlich wer die Verantwortung trägt: „Wenn das Unternehmen ohne entsprechende Regelungen hinsichtlich personenbezogenen Daten Filestransfers anstösst, dann sollte das im Interesse des Unternehmens liegen, diese ab Bekanntwerden sofort zu stoppen. (… Es…) liegt die Verantwortung bei Ihnen und so auch, die Entscheidung, wie Sie bzw. Ihr Bereich damit umgehen möchte.“

DS: Ja, wir Betriebsräte lassen uns oft viel zu schnell unter Druck setzten. Sei es Termindruck oder Druck zu einer Unterschrift oder Druck, einer Aktion des Managements zuzustimmen. Das muss nicht sein. Es ist die Unternehmensleitung zuständig, dass die Rahmenbedingungen eingehalten werden (also eine Betriebsvereinbarung mit uns verhandelt wird) und wenn sie das nicht tun, dürfen sie die Daten nicht weiterleiten. So einfach ist es in Wirklichkeit.

FC: Wie ist derzeit der Stand der Dinge in der Angelegenheit?

DS: Nun ja, die ersten allgemeinen Gespräche zu der Software gab es im April. Unser Stop kam im Oktober. Das Management hat uns im November einen BV-Entwurf vorgelegt und den prüfen wir jetzt gerade – mit Hilfe der GPA-djp.

FC: Kannst du drei Tipps geben, wie man es im Betrieb schafft, die Privatsphäre der ArbeitnehmerInnen zu schützen?

DS: Erstens; Sei aufmerksam, was sich im Unternehmen tut.

Zweitens; Koordiniere dich mit den BetriebsrätInnen aus den anderen Unternehmensteilen, die in einer ähnlichen Situation sind

Und drittens; Lass dich nicht hetzen!

FC: Das sind gute Tipps fürs neue Jahr. Danke für das Interview.

Zusammenarbeit von Betriebsrat und betrieblicher Datenschutzbeauftragter

der Beginn einer guten Partnerschaft?

aus dem Alltag einer datenschützenden Betriebsrätin

die Betriebsrätin Verena Spitz im Interview

Fritsch Clara: Ihr habt seit etwas mehr als einem Jahr die Funktion der betrieblichen Datenschutzbeauftragten besetzt. Wie kam es dazu?

Spitz Verena: Beschäftigt hat man sich mit Datenschutz bei uns schon lange. Bei einer Bank ist das nicht weiter verwunderlich. Allerdings ging es dabei meist um die Daten der Kundinnen und Kunden und um die von Geschäftspartnern. Da nun die Europäische Datenschutzgrundverordnung vor der Türe steht, in der betriebliche Datenschutzbeauftragte für Betriebe wie unseren verpflichtend einzuführen sind, wurde beschlossen, diese besser heute als morgen einzuführen. Diese Person muss sich ja auch erst einmal mit der betrieblichen Realität vertraut machen. Das braucht seine Zeit. Wenn die erst am 25.Mai bestellt wird, wenn die Grundverordnung gilt, dann ist es zu spät.

FC: War der Betriebsrat eingebunden bei der Auswahl der betrieblichen Datenschutzbeauftragten?

SV: Da hatten wir kein Mitspracherecht. Aber wir wurden über die Ausschreibung, ihre Inhalte, das Ergebnis immer gut informiert und auf dem Laufenden gehalten.

FC: Welche Aufgaben hat die neue Kollegin erhalten? Beziehungsweise wo liegen die Überschneidungen mit euren Aufgaben?

SV: Unsere Datenschutzbeauftragte muss sich einen Überblick verschaffen. Also hat sie einen Prozess aufgesetzt und in jedem Bereich Workshops gemacht um diesen Überblick zu erhalten. In jedem Bereich gibt es jetzt eine Verantwortliche oder einen Verantwortlichen an den man sich wenden kann. Alle internen Prozesse mussten an die Datenschutzgrundverordnung angepasst werden.

Überschneidungen gibt es überall dort, wo es um MitarbeiterInnendaten geht. Da informieren wir einander gegenseitig auf dem „kurzen Weg“.

FC: Wieso ist es für die betriebliche Datenschutzbeauftragte sinnvoll, mit euch als Betriebsrat zusammen zu arbeiten?

SV: Als Betriebsrat haben wir Betriebsvereinbarungen zum Schutz der Beschäftigten eingefordert; zum Beispiel unsere Whistleblowing-Hotline, die internen Kommunikationsmittel, die Arbeitszeiterfassung, all das ist schon lange so vereinbart, dass die Privatsphäre der Beschäftigten gut geschützt ist. So ist schon lange klar, dass wir da ein wichtiger Gesprächspartner sind. Die Datenschutzbeauftragte braucht teilweise auch diese Betriebsvereinbarungen, damit sie rechtliche Grundlagen für Datenverwendungen vorweisen kann und kommt deshalb auf uns zu.

Wir konnten ihr immer wieder auch überbetrieblich wichtige Informationen geben. Zum Beispiel, dass die österreichische Datenschutzbehörde Treffen für betriebliche Datenschutzbeauftragte veranstaltet und man sich da überbetrieblich vernetzen kann. Diese Information hat der Kollegin sehr geholfen, weil der Informationsaustausch mit anderen Datenschutzbeauftragten für sie wichtig war.

FC: Inwieweit könnt ihr von ihr als Kooperationspartnerin profitieren?

SV: Wir können dieses Thema jetzt gemeinsam besser bearbeiten. Wir sind da Gesprächspartnerinnen auf Augenhöhe. Sie nimmt unsere Vorschläge zur Gestaltung von innerbetrieblichen Abläufen meist ganz gerne an. Erst kürzlich wurde bei uns zum Beispiel in jeder Abteilung Projekte gestartet, damit das Verarbeitungsverzeichnis vollständig ist. In jeder Abteilung wurde eine zuständige Person ernannt, ein sogenannter SPOC eingerichtet; das steht für „single point of contact“. Jetzt sind wir als Betriebsrätinnen und Betriebsräte besser informiert, welche Datenanwendungen wo eigentlich überhaupt laufen.

Es ist ein gegenseitiger Nutzen. Wir fragen in der Geschäftsführung nach: „Sind die Vorhaben schon mit der Datenschutzbeauftragten abgesprochen?“ und sie fragt in der jeweiligen Fachabteilung, die Datenverarbeitungen mit den Beschäftigtendaten durchführt: „Wurde dazu schon eine Betriebsvereinbarung abgeschlossen?

FC: Welche drei wichtigsten Tipps würdest du BR-Kolleginnen geben, die ebenfalls mit der oder dem betrieblichen Datenschutzbeauftragten zusammenarbeiten möchten?

SV: Erstens sollte man von sich aus aktiv auf die neue Kollegin zugehen und ein Kooperationsangebot machen.

Zweitens sollten die relevanten Informationen für die betriebliche Datenschutzbeauftragte zur Verfügung gestellt werden

Drittens hilft es, die betriebliche Datenschutzbeauftragte als gleichberechtigte Partnerin zu verstehen.

FC: Ich danke für das Interview.

SV: Bitte gerne.

Zum Abschluss noch ein Link-Tipp für all jene, die sich weiter mit den betrieblichen Datenschtzbeauftragten, ihren Aufgaben, Rechten und Pflichten beschäftigen möchte, findet bei der europäischen Artikel-29-Datenschutzgruppe einen guten Leitfaden.

Das ideale Weihnachtsgeschenk

…unter dem Weihnachtsbaum des Betriebsrats…

…sollte dieses Werk heuer keinesfalls fehlen!

Was die Autorin dieses Blogs so macht, wenn sie gerade keine Blog-Artikel schreibt, nicht zur Datenschutzgrundverordnung (DSGVO) referiert, Betriebsvereinbarungen begutachtet oder zum Beschäftigtendatenschutz berät?

Sie schreibt gemeinsam mit Datenschutz-Experten ( Andreas Krisch und Thomas Riesenecker-Caba) und Kolleg_innen aus den (Länder-)Arbeiterkammern (wie Martina Chlestil und Nina Rothenender) und anderen Fachgewerkschaften (wie Susi Haslinger) Beiträge zu Fachpublikationen wie dieser:

Beschäftigtendatenschutz, Handbuch für die betriebliche Praxis

Von der Grundsatzfrage „Wozu das alles?“ bis hin zu detaillierten rechtlichen Fragen, was denn nun tatsächlich die Aufgaben eines/einer betrieblichen Datenschutzbeauftragten sind, wird in diesem Band auf alles eingegangen, was mit dem Beschäftigtendatenschutz in Zusammenhang steht. Ob es um eine Betriebsvereinbarung, den Datentransfer zur Konzernmutter in einem Nicht-EU-Mitgliedsland oder die Frage der Bußgelder geht, der Ratgeber gibt umfassend darüber Auskunft, was sich durch die neue Rechtslage ändern wird – und was beim Alten bleibt. Einschlägige Rechtsprechung ist ebenso enthalten wie die häufigsten technischen Systeme und deren datenschutzrechtliche Tücken. Am politischen Werdegang der europäischen Gesetzgebung Interessierte kommen ebenso auf ihre Rechnung, wie juristisch ambitionierte oder IT-affine Leser_innen.

Kurzum:

eine Leseempfehlung

für datenschützende Betriebsräte und Betriebsrätinnen, betriebliche Datenschutzbeauftragte und alle, die wissen wollen, was die neue Rechtslage für ArbeitnehmerInnen bringt. Hier geht’s zur Bestellung.

darf ein Keylogger am Arbeitsplatz installiert werden?

das deutsche Bundesarbeitsgericht sagt: NEIN!

Ein Arbeitnehmer hatte binnen vier Monaten drei Stunden damit verbracht (hauptsächlich in den Pausen) ein Computerspiel zu programmieren und kleine Verwaltungsarbeiten für eine andere Firma zu erledigen. Zugegeben, eine Pflichtverletzung, aber eine, die die sofortige Kündigung rechtfertigt?

Der Gekündigte ging vor Gericht. Das Ar­beits­ge­richt in Her­ne gab dem Kläger recht (Ur­teil vom 14.10.2015, 6 Ca 1789/15). Der Arbeitgeber ging zur nächsten Instanz. Das Landesarbeitsgericht in Hamm war zwar der Meinung, dass durch das Verhalten des Arbeitnehmers die Arbeitspflicht verletzt worden sei, nicht jedoch eine Kündigung gerechtfertigt. Der Arbeitgeber ging zur nächste Instanz. Am Bundesarbeitsgericht in Erfurt wurde im Juli 2017 der Fall abermals verhandelt. (Hier ein genauer Bericht.)

Stein des Anstoßes war vor allem die Art und Weise wie die „Beweise“ erhoben worden waren: Auf dem Rechner der Mitarbeiter war ein Überwachungsinstrument, ein so genannter „Keylogger“, installiert worden. Die Software konnte sämtliche Tätigkeiten des Arbeitnehmers mit protokollieren(zB wurden Tastaturanschläge ausgewertet und Screenshots gemacht). Mitgeteilt wurde das den Arbeitnehmern nur ganz allgemein ohne dass konkrete Verdachtsmomente vorgelegen hätten. Der Arbeitnehmer wurde für sein Verhalten auch nicht abgemahnt. Die Überwachung wurde dazu verwendet, den Programmierer zu beschuldigen, sich in der Arbeitszeit mit privaten Angelegenheiten auf dem Computer des Arbeitgebers zu betätigen und ihn daraufhin zu kündigen.

Das Bundesarbeitsgericht sah das so:

„Jeder soll selbst über die Preisgabe persönlicher Daten entscheiden können. Dieses Recht gilt natürlich auch im Betrieb“

Zwar könne es Situationen geben, in denen Keylogger ausnahmsweise eingesetzt werden dürften (zB bei konkretem Verdacht auf schwerwiegende Dienstpflichverletzungen bei vorheriger Information), aber nicht flächendeckend und ohne Begründung.

Nachdem die deutsche Betriebsverfassung und die österreichische Arbeitsverfassung in weiten Teilen sehr ähnlich sind, ist anzunehmen, dass das Urteile auch in Österreich so ausfallen würde.

Jedenfalls aber ist das Urteil des Europäischen Gerichtshofs für Menschenrechte gültig, das besagt, das heimliche umfassende Überwachung mittels Keylogger eine Verletzung der Menschenwürde ist. (Näheres in diesem Beitrag)

Service, Strategie und „Superkräfte“

wie betrieblicher Datenschutz in der Praxis funktioniert

aus dem Alltag eines datenschützenden Betriebsrats

Helmut Wolff, ehemaliger Europa-Betriebsrat bei unify, im Interview

Fritsch Clara: Du hast in deiner Tätigkeit als BR immer wieder das Thema Beschäftigtendatenschutz aufs Tapet gebracht. Wie bist du vorgegangen?

Helmut Wolff: Das kommt drauf an, in welcher Rolle man selbst sich gerade befindet. Bei Verhandlungen zur Betriebsvereinbarung haben wir Betriebsräte immer verlangt, dass genau, also taxativ, aufgezählt wird, welche personenbezogenen Daten wofür verwendet werden. Auf internationaler Ebene habe ich zum Beispiel versucht, Verbündete in den anderen Niederlassungen zu finden – bis auf Deutschland muss ich ehrlicher Weise sagen, ist das aber auf wenig Interesse gestoßen. Da darf man sich nicht zu viel erwarten. Aber immerhin konnten wir das Datenschutz-Thema innerhalb des Europäischen Betriebsrates zu einem der wichtigsten machen.

Wenn was zum Datenschutz in der Zeitung gestanden ist, hab ich schon mal den Artikel mitgenommen und dem zuständigen HR-Chef auf den Schreibtisch gelegt. Als Kollege konnte ich ihn so auf Veränderungen in der Gesetzeslage aufmerksam machen.

FC: Was konntest du mit deinem Einsatz erreichen?

HW: Als bei uns eine konzernweite Skill-Datenbank eingeführt wurde, die die Bildung von internationalen Teams je nach Qualifikation der Beschäftigten erleichtern sollte, da konnten wir verhindern, dass eine zentrale, für alle sichtbare Beurteilung kommt. Wir haben durchgesetzt, dass ausschließlich der disziplinäre Vorgesetzte den oder die Mitarbeiter_in beurteilen darf. Außerdem können auch nur direkte Vorgesetzte sehen, wenn sie Mitarbeiter_innen für ein neues Projekt suchen, wer welche Qualifikationen hat. Diese Führungskräfte entscheiden dann, ob die Leute in ihrer Abteilung überhaupt Zeit für Extra-Projekte haben oder sie wissen ohnehin, dass die aus privaten Gründen gar nicht interessiert sind. Und damit ist verhindert worden, dass irgendwelche Projektleiter nur wegen „schönen Profilen“, die Kolleginnen und Kollegen kontaktieren.

Wir haben Log-Ins für uns als Betriebsräte in ein neues Performancemanagement System eingefordert, das zur Berechnung der variablen Einkommen und zur Leistungsbeurteilung dienen soll. Nachdem uns dies zuerst seitens der Geschäftsführung verweigert wurde, haben wir in der Betriebsvereinbarung einfach keine weiteren Module mehr frei gegeben. Das Grundmodul konnten wir natürlich nicht mehr rückgängig machen, aber ohne betriebsrätliche Kontrollmöglichkeiten wollten wir nicht riskieren, dass Leistungen erhoben, international ausgewertet und wofür auch immer verwendet werden – wobei „international“ in unserem Fall eben auch die USA einschließt. Wichtig war auch, dass wir festgehalten hatten, dass für neue Module die Betriebsvereinbarung erweitert werden muss, sodass eine „schleichende“ Einführung weiterer Module explizit ausgeschlossen wurde.

Sehr hilfreich war unsere Abmachung, den betrieblichen Datenschutz einmal im Jahr ganz allgemein anzuschauen. Durch diese regelmäßige Evaluierung sind wir immer am Ball geblieben und konnten der Geschäftsführung „auf die Finger schauen“.

Wir haben auch eingeführt, dass es eine Ansprechperson innerhalb des Betriebsrates gibt, die sich mit Datenschutz auskennt. Denn auch wir mussten einsehen, dass das ein Spezialthema ist, das man nicht „nebenbei“ erledigen kann.

FC: Gab’s irgendwo besondere Schwierigkeiten?

WH: Weil  wir ein internationaler Konzern mit Matrixstrukturen sind, war es nicht immer leicht, Ansprechpartner und Verantwortliche für unsere jeweiligen Anliegen zu finden. Da muss man wirklich hartnäckig bleiben. Durch unsere US-amerikanischen Eigentümer war es auch so, dass die sich vor gerichtlichen Auseinandersetzungen nicht gefürchtet haben – das hat für die zum Geschäft dazu gehört.

Zentrale Vorgaben waren auch ein großes Problem in Sachen Zeitdruck. Da wurde europaweit zentral bestimmt wer wann welches System einführen sollte, ohne auf irgendwelche nationalen Besonderheiten einzugehen. Wir mussten da als Betriebsrat oft auf der Bremse stehen und mit dem Image der „Verhinderer“ kämpfen.

FC: wie lange würdest du sagen hat es gebraucht, bis du die Geschäftsführung und die Kollegen und Kolleginnen auf die Bedeutung des Themas aufmerksam machen konntest?

WH: Bis dieses Thema als wichtig akzeptiert wurde, hat es tatsächlich ein paar Jahre gebraucht. Aber jetzt habe ich den Eindruck, dass – nicht zuletzt durch die Datenschutzgrundverordnung – das Bewusstsein gewachsen ist und wir hier mittlerweile ganz gut aufgestellt sind.

FC: Was sind die drei wichtigsten Botschaften, die du anderen Betriebsräten und Betriebsrätinnen, die vielleicht noch am Anfang des Weges stehen, mitgeben möchtest?

  • Stelle fest, wer bei einem Thema welche Interessen hat und suche Verbündete. In internationalen Konzernen, kann die lokale Geschäftsführung ähnliche Interessen wie der Betriebsrat haben – zumindest manchmal.
  • Bleib am Ball. Was einmal eingeführt und passiert ist, kann praktisch nicht mehr „eingefangen“ werden. Das ist leider auch mir passiert.
  • Informiere dich und ziehe rechtzeitig Expertinnen und Experten hinzu.
  • Fürchte dich nicht vor einer gerichtlichen Auseinandersetzung.

Das waren jetzt vier. Das Thema verlangt offenbar nach MEHR.

Privatchat am Arbeitsplatz darf nicht gänzlich verboten werden

Man darf nicht nicht kommunizieren dürfen

richtungweisendes Urteil des Europäischen Gerichtshof für Menschenrechte

Am 5.September 2017 urteilte der Europäische Gerichtshof für Menschenrechte (EGMR) zugunsten von Herrn Barbulescu, der entlassen worden war. Entlassungsgrund: er hatte entgegen der Anordnung seines Arbeitgebers mit seiner Verlobten und seinem Bruder privat kommuniziert.

Der dazu verwendete Messenger-Dienst war zwar auf Geheiß des Arbeitgebers installiert worden, um so besser Kundenkontakte pflegen zu können, allerdings mit dem klaren Hinweise, dass Privatnutzung zu unterlassen sei. Der Software-Entwickler Bogdan Barbulescu hatte das betriebsinterne Reglement offenbar nicht befolgt und ausgiebig mit Verlobter und Bruder gechattet – 45 Seiten legte der Arbeitgeber nach einer Woche dem rumänischen Gericht vor.

Sowohl das Rumänische Gericht vor dem Babulescou gegen die Entlassung klagte (im Juni 2007), als auch die kleine Kammer des Europäischen Gerichtshofes für Menschenrechte (im Jänner 2016) gaben dem Arbeitgeber recht. Die Verwendung von Betriebsmitteln dürfe per Weisung festgelegt werden, eine Missachtung einer solchen Weisung führe nun mal zu einer Entlassung, so die Logik dahinter.

Nun hat sich der Senat im Juni 2016 abermals mit dem Fall befasst und kam zu einem anderen Schluss:

an employer’s instructions cannot reduce private social life in the workplace to Zero“

Wie es dazu kam? Der Europäische Gewerkschaftsbund und die französische Datenschutzbehörde CNIL hatten eine Neuaufnahme gefordert. Die Überwachung auf der die Entlassung fußt, müsse verhältnismäßig sein, die Überwachten müssten informiert werden und insgesamt handle es sich sehr wohl um eine Verletzung der Privatsphäre, die durch Artikel acht der Europäischen Menschenrechtskonvention geschützt ist.

Zum Stolperstein für den Arbeitgeber wurde der von ihm eingesetzte Keylogger, mit dem sämtliche Korrespondenz des Arbeitnehmers mitprotokolliert worden war. Dadurch ist der Arbeitnehmer aber einer permanenten Überwachung ausgesetzt, von der er zuvor nicht einmal informiert worden war.

Heimliche Überwachung geht gar nicht

ArbeitnehmerInnen müssten über die Tatsache sowie den Grund einer Überwachung informiert werden, urteilte der EGMR. Es muss das gelindeste Mittel der Überwachung gewählt werden.

Außerdem beanstandete der Gerichtshof, dass ein absolutes Verbot der Privatnutzung ausgesprochen worden war. Das sei ein Eingriff in die Privatsphäre. Ein Verbot dürfe nur so weit gehen, als es unbedingt erforderlich sei, so der EGMR.

und wie ist das mit der Privaten Kommunikation in Österreich?

Wer sich bei der GPA-djp erkundigt, wird die Auskunft bekommen, dass die Privatsphäre an der Bürotüre und am Werkstor nicht abgegeben wird, dass private Emails vom Arbeitgeber also nicht gelesen werden dürfen. Sobald er/sie erkennt, dass es sich um private Kommunikation handelt, darf er/ sie nicht mehr weiterlesen.

So sieht es auch der EGMR, der europaweit die Judikatur diesbezüglich vergleicht. In seiner Urteilsschrift steht zu lesen, dass ArbeitgeberInnen in Österreich zwar die als „privat“ gekennzeichnete Kommunikation der ArbeitnehmerInnen kontrollieren dürften, ohne allerdings auf den Inhalt zugreifen zu dürfen:

In, Austria, Denmark, Finland, France, Germany, Greece, Italy, Portugal and Sweden, employers may monitor emails marked by employees as “private”, without being permitted to access their content. In Luxembourg employers may not open emails that are either marked as “private” or are manifestly of a private nature. The Czech Republic, Italy and Slovenia, as well as the Republic of Moldova to a certain extent, also limit the extent to which employers may monitor their employees’ communications, according to whether the communications are professional or personal in nature. In Germany and Portugal, once it has been established that a message is private, the employer must stop reading it.

Somit gibt es nun neben dem Arbeitsverfassungsgesetz einen weiteren triftigen Grund, warum man die private Nutzung von Kommunikationsmitteln in einer Betriebsvereinbarung regeln muss.

Datenschutzanpassungsgesetz wurde beschlossen

Vor- und Nachteile des Datenschutzanpassungsgesetzes (DSAG)

Entgegen den Befürchtungen, dass in dieser Legislaturperiode kein Datenschutzgesetz mehr zustande kommen wird, hat der Nationalrat am Donnerstag 29.6.2017 die Anpassung an die Datenschutzgrundverordnung der EU beschlossen.

Viele Regelungen sind in der Europäischen Datenschutzgrundverordnung ohnehin festgelegt und können von den einzelnen Mitgliedsstaaten nicht mehr abgeändert werden. Sogenannte „Öffnungsklauseln“ ermöglichen aber spezielle Regelungen auf nationaler Ebene. Einige Öffnungsklauseln wurden nun vom österreichischen Gesetzgeber genutzt, andere nicht.

Die gute Nachricht:

Die betriebsrätliche Mitbestimmung (das Arbeitsverfassungsgesetz) ist abgesichert. Damit gilt in  Sachen Beschäftigtendatenschutz das Arbeitsverfassungsgesetz 1:1.

Die Videoüberwachung zum Zweck der MitarbeiterInnenkontrolle ist weiterhin untersagt.

Die schlechte Nachricht:

Es wird kein Verbandsklagerecht geben, wie es zB im Konsumentenschutz besteht. Zwar haben Vereine und NGOs aufgrund der Europäischen Grundverordnung das Recht im Namen von einzelnen Betroffenen eine Klage einzureichen, ohne die Bereitschaft von Einzelnen ihre Datenschutzrechte einzuklagen ist dies jedoch nicht möglich. Das heißt, Arbeiterkammern oder Gewerkschaften können nicht – wie beispielsweise im Konsumentenschutz – von sich aus gegen einen Missstand klagen, sondern immer nur im Namen von direkt Betroffenen.

Es wurde verabsäumt, zusätzlich zum Arbeitsverfassungsgesetz spezifische Regelungen zum Beschäftigtendatenschutz einzuführen oder die Bestellung des betrieblichen Datenschutzbeauftragten genauer zu regeln.

Dass der Gesetzgebungsprozess letztendlich überhastet abgelaufen ist und die zahlreichen Stellungnahmen aufgrund des kurzfristigen Beschlusses von Abänderungsanträgen im zuständigen Verfassungsausschuss nicht mehr genau durchgearbeitet werden konnten, soll nicht verschwiegen werden. Allerdings ist die Anpassung nun seit über einem Jahr fällig und eine weitere Verzögerung hätte vermutlich nicht unbedingt zu Verbesserungen geführt.

österreichischer Gesetzesentwurf zur europäischen Grundverordnung liegt vor

aber wann wird das Datenschutz-Anpassungsgesetz tatsächlich verabschiedet?

Der Entwurf aus dem Bundeskanzleramt zum Datenschutz-Anpassungsgesetz liegt im Parlament. Nach einem Jahr voll Abwägung, Abwarten und Anpassen gibt es nun einen Gesetzesentwurf zum Datenschutz. Fraglich ist ob das „freie Spiel der Kräfte“ noch diese Legislaturperiode das Spiel beenden wird können.

Die europäische Datenschutzgrundverordnung steht vor der Tür; am 25. Mai 2018 wird sie in Kraft treten. Sie enthält neben einer Vereinheitlichung im EU-Raum auch einiges an nationalen Gestaltungsmöglichkeiten für die Mitgliedsstaaten, so genannte „Öffnungsklauseln“. Für ArbeitnehmerInnen interessant sind dabei vor allem die Öffnungsklauseln zum Datenschutz im Beschäftigungskontext, zur Verbandsklage und zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Mitbestimmung bleibt

Erfreulich ist, dass im Gesetzesentwurf ausdrücklich festgehalten ist, dass die betriebsrätlichen Rechte aus dem Arbeitsverfassungsrecht unbestritten sind. Diese Feststellung besteht seit dem ersten österreichischen Datenschutzgesetz, das 1978 das Licht der Welt erblickte. Diese Bestimmung illegalisiert die leider weit verbreitete Praxis, den BetriebsrätInnen zustehende Informationen mit Hinweis auf den „Datenschutz“ vorzuenthalten.

keine Videoüberwachung der Beschäftigten zur Kontrolle

Erfreulich ist auch, dass im Gesetzesentwurf des Bundeskanzleramtes eine Video- und akustische Überwachung zur Mitarbeiterkontrolle verboten ist. Diese Bestimmung findet sich seit der Novelle 2010 im österreichischen Datenschutzgesetz. Diese Klarstellung wurde wohl erforderlich weil derartiges immer öfter praktiziert wurde.

kollektive Klage möglich

Erfreulich ist außerdem, dass Betroffene sich nun von Vereinen/ Organisation gemeinsam vertreten lassen können, wenn sie ihre Datenschutzrechte verletzt sehen. Diese Verbandsklagerecht gibt es zB im Konsumentenschutz schon seit langem.

Leider wurden ArbeitnehmerInnenvertretungen nicht per se als datenschutzrelevante Vereine definiert (was im Zuge einer Öffnungsklausel aber möglich gewesen wäre) und haben auch nicht das Recht erhalten von sich aus – also ohne Initiative von Betroffenen – gerichtlich aktiv zu werden. Die GPA-djp fordert daher im Sinne der fairen Arbeitsverhältnisse, dass überbetriebliche Interessenvertretungen ihre Mitglieder (mit oder ohne aktiven Auftrag) in Datenschutzangelegenheiten vertreten dürfen.

Es darf vermutet, werden dass das Datenschutz-Anpassungsgesetz ohne den Einsatz von Kammern und Gewerkschaften weitaus weniger günstige Regelungen zum Schutz der ArbeitnehmerInnen enthalten würde.

Die wichtigsten Forderungen zum ArbeitnehmerInnen-Datenschutz sind enthalten

Dass zahlreiche Öffnungsklauseln – darunter die zur Bestellung des/ der betrieblichen Datenschutzbeauftragten –  in der nationalen Gesetzgebung nicht näher festgelegt wurden, erklärt man in den Erläuterungen damit, dass diese nicht dem allgemeinen Datenschutz zuzurechnen sein, sondern es sich dabei um spezielle Themen handelt. Diese müsse man allenfalls in den jeweils entsprechenden „Materiengesetzen“ (wie sie in der Juristerei genannt werden)  festlegen. Sprich: der Datenschutz für die ArbeitnehmerInnen müsste demnach ins Arbeitsrecht fallen.

Ob sich eine Verabschiedung des Datenschutz-Anpassungsgesetztes noch diese – aufgrund der bevorstehenden Neu-Wahlen nicht mehr sehr langen – Legislaturperiode ausgeht, bleibt abzuwarten.

Am 23. Juni endet die Begutachtungsfrist. Bis dahin können noch Stellungnahmen abgegeben werden. Genutzt wurde diese Gelegenheit bislang von Unternehmen wie A1 und ÖBB, Organisationen wie dem Städtebund, dem Verband der Markt- und Meinungsforscher und der Rechtsanwaltskammer und auch Einzelpersonen wie dem renommierten Datenschützer Prof. Dietmar Jahnel.