Category Archives: Europäische Union

Privatchat am Arbeitsplatz darf nicht gänzlich verboten werden

Man darf nicht nicht kommunizieren dürfen

richtungweisendes Urteil des Europäischen Gerichtshof für Menschenrechte

Am 5.September 2017 urteilte der Europäische Gerichtshof für Menschenrechte (EGMR) zugunsten von Herrn Barbulescu, der entlassen worden war. Entlassungsgrund: er hatte entgegen der Anordnung seines Arbeitgebers mit seiner Verlobten und seinem Bruder privat kommuniziert.

Der dazu verwendete Messenger-Dienst war zwar auf Geheiß des Arbeitgebers installiert worden, um so besser Kundenkontakte pflegen zu können, allerdings mit dem klaren Hinweise, dass Privatnutzung zu unterlassen sei. Der Software-Entwickler Bogdan Barbulescu hatte das betriebsinterne Reglement offenbar nicht befolgt und ausgiebig mit Verlobter und Bruder gechattet – 45 Seiten legte der Arbeitgeber nach einer Woche dem rumänischen Gericht vor.

Sowohl das Rumänische Gericht vor dem Babulescou gegen die Entlassung klagte (im Juni 2007), als auch die kleine Kammer des Europäischen Gerichtshofes für Menschenrechte (im Jänner 2016) gaben dem Arbeitgeber recht. Die Verwendung von Betriebsmitteln dürfe per Weisung festgelegt werden, eine Missachtung einer solchen Weisung führe nun mal zu einer Entlassung, so die Logik dahinter.

Nun hat sich der Senat im Juni 2016 abermals mit dem Fall befasst und kam zu einem anderen Schluss:

an employer’s instructions cannot reduce private social life in the workplace to Zero“

Wie es dazu kam? Der Europäische Gewerkschaftsbund und die französische Datenschutzbehörde CNIL hatten eine Neuaufnahme gefordert. Die Überwachung auf der die Entlassung fußt, müsse verhältnismäßig sein, die Überwachten müssten informiert werden und insgesamt handle es sich sehr wohl um eine Verletzung der Privatsphäre, die durch Artikel acht der Europäischen Menschenrechtskonvention geschützt ist.

Zum Stolperstein für den Arbeitgeber wurde der von ihm eingesetzte Keylogger, mit dem sämtliche Korrespondenz des Arbeitnehmers mitprotokolliert worden war. Dadurch ist der Arbeitnehmer aber einer permanenten Überwachung ausgesetzt, von der er zuvor nicht einmal informiert worden war.

Heimliche Überwachung geht gar nicht

ArbeitnehmerInnen müssten über die Tatsache sowie den Grund einer Überwachung informiert werden, urteilte der EGMR. Es muss das gelindeste Mittel der Überwachung gewählt werden.

Außerdem beanstandete der Gerichtshof, dass ein absolutes Verbot der Privatnutzung ausgesprochen worden war. Das sei ein Eingriff in die Privatsphäre. Ein Verbot dürfe nur so weit gehen, als es unbedingt erforderlich sei, so der EGMR.

und wie ist das mit der Privaten Kommunikation in Österreich?

Wer sich bei der GPA-djp erkundigt, wird die Auskunft bekommen, dass die Privatsphäre an der Bürotüre und am Werkstor nicht abgegeben wird, dass private Emails vom Arbeitgeber also nicht gelesen werden dürfen. Sobald er/sie erkennt, dass es sich um private Kommunikation handelt, darf er/ sie nicht mehr weiterlesen.

So sieht es auch der EGMR, der europaweit die Judikatur diesbezüglich vergleicht. In seiner Urteilsschrift steht zu lesen, dass ArbeitgeberInnen in Österreich zwar die als „privat“ gekennzeichnete Kommunikation der ArbeitnehmerInnen kontrollieren dürften, ohne allerdings auf den Inhalt zugreifen zu dürfen:

In, Austria, Denmark, Finland, France, Germany, Greece, Italy, Portugal and Sweden, employers may monitor emails marked by employees as “private”, without being permitted to access their content. In Luxembourg employers may not open emails that are either marked as “private” or are manifestly of a private nature. The Czech Republic, Italy and Slovenia, as well as the Republic of Moldova to a certain extent, also limit the extent to which employers may monitor their employees’ communications, according to whether the communications are professional or personal in nature. In Germany and Portugal, once it has been established that a message is private, the employer must stop reading it.

Somit gibt es nun neben dem Arbeitsverfassungsgesetz einen weiteren triftigen Grund, warum man die private Nutzung von Kommunikationsmitteln in einer Betriebsvereinbarung regeln muss.

betrieblicher Datenschutz – altes Fass oder neuer Wein?

ein Veranstaltungsrückblick

Unter dem Titel „neue Technologien – neuer rechtlicher  Rahmen – neue Lösungen“ fand am 13. März im Bildungszentrum der Arbeiterkammer Wien eine Veranstaltung statt. Über 250 BetriebsrätInnen wollten sich die Ausführungen zu technologischen Veränderungen sowie der Datenschutzgrundverordnung und ihren voraussichtlichen Auswirkungen nicht entgehen lassen.

Rudi Kaske und Dwora Stein eröffneteN

an dem sonnigen Frühlingsnachmittag. Kaske betonte in seiner Rede, dass die Technik zunehmend komplexer werde und somit digitale Kompetenzen bei allen Betroffenen erfordere. Es gehe darum den digitalen Wandel zu gestalten und mitzubestimmen, sodass immer der Mensch die zentrale Figur ist.

Dwora Stein, die Geschäftsführerin der GPA-djp, nahm in ihrem Eingangsstatement vor allem die betriebliche Ebene in den Fokus. Betriebsrätinnen und Betriebsräte sind mit ihrer fachlichen Expertise, ihrer sozialen Kompetenzen und ihre internationalen Vernetzung gefordert um ihre rechtlichen Möglichkeiten auszuschöpfen. Die Gewerkschaft stellt ihnen Hintergrundinformationen und Beratung zur Verfügung und den Einsatz dafür, die rechtlichen Rahmenbedingungen im Sinne der ArbeitnehmerInnen-Mitbestimmung zu gestalten.

Thomas Riesenecker erklärte technischen Wandel

Der Geschäftsführer der Forschungs- und Beratungsstelle Arbeitswelt stellte die wesentlichen Veränderungen der digitalen Arbeitswelt dar und stellte dabei in Frage, ob es sich tatsächlich um eine „Revolution“ handelte und nicht vielmehr um eine Weiterentwicklung auf Basis bereits bestehender Technologien.

Insbesondere die Sensorik habe die Möglichkeiten der Maschinen verändert. Sie könnten nun miteinander (auch ohne direkte Intervention von Menschen) interagieren. Das sogenannte „Internet der Dinge“ (IoT) ist nun in der Robotik, der Fahrzeugtechnik und diversen anderen Anwendungsgebieten Thema.

Martina Chlestil stellte die derzeitige Rechtslage (DSG) und Clara Fritsch die kommende (DSGVO) dar

In einer Doppelkonference wurden die wesentlichen, für betrieblichen Datenschutz relevanten Gesetzesänderungen, die mit dem In-Kraft-treten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 schlagend werden, vorgestellt:

  • das öffentliche Datenverarbeitungsregister wird zu einem innerbetrieblichen Verfahrensverzeichnis
  • der betriebliche Datenschutzbeauftragte wird – für bestimmte Unternehmen – verbindlich
  • die Mitbestimmungsrechte nach dem ArbVG bleiben erhalten

Matthias Schmidl beschrieb die Aufgaben der Datenschutzbehörde

Die Datenschutzbehörde, deren stellvertretender Leiter Matthias Schmidl ist, erhält mit der Datenschutzgrundverordnung (DSGVO) zusätzliche Aufgaben und neue Vorgaben, wie Prozesse abzuwickeln sind.

  • die Behörde wird in Abstimmung mit den anderen europäischen Behörden eine „Blacklist“ und eine „Whitelist“ erstellen, die angibt, welche Datenverwendungen eine Risikofolgenabschätzung benötigen – und welche nicht
  • die Behörde wird Geldbußen  – in Koordination mit den anderen europäischen Datenschutzbehörden – festlegen und verhängen
  • die Behörde wird – wie bisher auch – Ansprechstelle für Beschwerden sein

Nach einer kurzen Stärkung bei Kaffee und Kuchen, nahmen drei Betriebsräte und drei GewerkschaftssekretärInnen auf den roten Sesseln am Podium Platz und erzählten aus ihrem Umgang mit Technik im Betrieb.

Kollege Magnus von der Sucht- und Drogenkoordination der Stadt Wien stellte dar, wie ein Dokumentationssystem legal, aber trotzdem zum Nachteil der KollegInnen verwendet werden kann, indem daraus errechnet wird, wie viele Prozent der eingeladenen KlientInnen tatsächlich kommen. Auf dieser Basis werden mehr KlientInnen eingeladen, als Termine zur Verfügung stehen (Überbuchung), was aufgrund des gesteigerten Arbeitsdrucks zu Konflikten zwischen den verschiedenen Berufsgruppen führt. Gemeinsam mit der zuständigen Fachgewerkschaft GPA-djp arbeitet man nun an einer Betriebsvereinbarung zu dem System. Eva Angerler strich in ihrem Statement heraus, dass es bei Technik im Unternehmen immer um drei Säulen geht

  • einen rechtlichen Rahmen zu schaffen mittels Betriebsvereinbarung
  • einen Datenschutz durch Technik zu gewährleisten
  • und eine Betriebskultur, die Datenschutz-Bewusstsein im täglichen Miteinander lebbar macht.

Kollege Szalay beschrieb wie Wien Energie versuchte, ein elektronisches Fahrtenbuch einzuführen und auf Initiative der Betriebsrates ein solches mehrere Jahre nicht der Fall war – so lange bis es eine den Wünschen der ArbeitnehmerInnen entsprechende Betriebsvereinbarung dazu gab. Andreas Schlitzer aus der Pro-Ge hat dabei die rechtliche Beratungsarbeit geleistet.

Auch bei den ÖBB-BCC stellt die Digitalisierung ein wesentliches Thema dar. Ein so wesentliches, dass man gemeinsam mit dem Ministerium, der Forba und der Gewerkschaft vida ein eigenes Projekt dazu auf die Beine gestellt hat. „Und ihr werdet es nicht glauben“ sagte der Betriebsrat Josef Brenner „was das geändert hat, dass wir einmal nicht den Entwicklungen hinten nach gelaufen sind, sondern als Betriebsrat aktiv begonnen haben, ein eigenes Projekt dazu aufzusetzen.“

Alle Präsentationen und Handouts zur Veranstaltung finden sich hier.

Alles kann natürlich in einem Nachmittag nicht besprochen, diskutiert und gelöst werden. Wenn nun Interesse entstanden sein soll, freuen sich Arbeiterkammer und Fachgewerkschaften; zu Wirkungen und Nebenwirkungen der Digitalisierung und der neuen Gesetzeslage wenden sie sich vertrauensvoll an ihre Interessenvertretung oder ihre Fachgewerkschaft.

digitale Grundrechte

wo gibt’s denn so was?

in der EU – vielleicht, hoffentlich bald

Warum geht’s hier in letzter Zeit eigentlich ständig um Europa?

Weil Daten grenzüberschreitend unterwegs sind, weil mit europaweit einheitlichen Grundsätzen und Regelungen Datenverwendungen einfacher rechtlich zu beurteilen und damit einzuschränken sind und weil ein einheitlicher Wirtschaftsraum auch einen einheitlichen Sozial- und Schutzraum verlangt.

Einige EU-BürgerInnen haben sich daher in den letzten Monaten mit Menschenrechten im digitalen Zeitalter auseinandergesetzt und stellten am 30. November die Charta der digitalen Grundrechte der Öffentlichkeit vor. Die Charta beinhaltet Grundsätze, wie im Zeitalter von Big Data, Robotik, künstlicher Intelligenz und Massenüberwachung das Menschenrecht auf Datenschutz zu erhalten ist. Hier ein kleiner Auszug:

  •  Die Verwendung von automatisierten Verfahren darf nicht dazu führen, dass Menschen vom Zugang zu Gütern, Dienstleistungen oder von der Teilhabe am gesellschaftlichen Leben ausgeschlossen werden. Dies gilt insbesondere im Bereich Gesundheit, Schutz vor elementaren Lebensrisiken, Recht auf Arbeit, Recht auf Wohnen, Recht auf Bewegungsfreiheit und bei Justiz und Polizei.
  • Eine anlasslose Massenüberwachung findet nicht statt.
  • Eine Zensur findet nicht statt.
  • Profiling durch staatliche Stellen oder Private ist nur auf gesetzlicher Grundlage zulässig.
  • Die Kriterien automatisierter Entscheidungen sind offenzulegen.
  • Ethisch-normative Entscheidungen können nur von Menschen getroffen werden.
  • Jeder hat das Recht, über seine Daten selbst zu bestimmen.
  • Jeder hat ein Recht auf Verschlüsselung seiner Daten.
  • Das Recht, an Wahlen und Abstimmungen teilzunehmen, darf nicht an den Zugang zu digitalen Medien gebunden werden.
  • Jeder hat das Recht auf eine nicht-personalisierte Nutzung digitaler Angebote.

Die Charta verdient sich viele viele Unterzeichnerinnen – auch wenn das Kapitel zum ThemaArbeitausbaufähig ist. Hier würde ein explizites Verbot heimlicher Überwachung ebenso wie ein Verbot bezüglich dem Erstellen „Schwarzer Listen“ oder der übermäßigen Leistungs- und Verhaltenskontrolle die digitale Grundrechte-Charta noch wesentlich aufwerten.

Ein wenig schräg ist auch, dass gerade eine Stiftung der Zeitung „die Zeit“ hier federführend an der Erarbeitung der Charta beteiligt ist, wo doch auf ihrer online-Variante fleißig weitergeleitet wird (siehe AK: „kommerzielle digitale Überwachung im Alltag„, S. 64.).

Mitmachen Dennoch erwünscht

Beteiligen an der Forderung, die Charta der digitalen Grundrechte in EU-Recht aufzunehmen, kann sich jeder und jede ab jetzt und hier.

Einige der Formulieren finden sich bereits in der Europäischen Datenschutzgrundverordnung , die ja im Mai 2018 in Kraft tritt; damit werden europaweit einheitliche Regeln geschaffen (zB muss eine Einwilligung zur Datenverwendung eindeutig erfolgen und die Betroffenen müssen informiert werden).

Datenschutz am Arbeitsplatz kann man regeln – muss aber nicht

Für den Beschäftigten-Datenschutz kann sich jedes EU-Land eigene, spezielle gesetzliche Vorgaben schaffen (sog. Öffnungsklausel). Kollektivverträge und Betriebsvereinbarungen bleiben gültig und können auch den Beschäftigten-Datenschutz regeln.

Die deutsche Bundesministerin für Arbeit und Soziales, Andrea Nahles, kündigt im „Weißbuch Arbeit 4.0“ einige Vorhaben zum Beschäftigtendatenschutz an:

  • Erhalt der Regelungen zum betrieblichen Datenschutz,
  • Datenschutz-Index für Betriebe
  • interdisziplinärer ExpertInnen-Beirat aus ArbeitsrechtlerInnen, ArbeitsmedizinerInnen, ITlerInnen, betrieblichen Praktikerinnen und SozialpartnerInnen, der den Bestand betrieblicher DS-Regelungen aufnimmt, regelmäßig evaluiert und an die technologischen Entwicklungen anpasst.

Sobald sich etwas Konkretes in Österreich dazu tun, wird in diesem Blog berichtet; versprochen!

Schutz für Whistle-Blower muss her

pfeiferl2europäische Initiative für bessere rechtliche Absicherung

Es soll vorkommen, dass es schwerwiegende Missstände in Unternehmen gibt. Es soll auch vorkommen, dass derartige Missstände das Licht der Öffentlichkeit scheuen. Es soll mitunter passieren, dass Menschen diese Missstände doch ans Tageslicht bringen – und dann ins „Dunkel der Geschichte“ abtauchen (müssen), weil ihnen nicht geglaubt wird, weil sie als „Nestbeschmutzer“ gebrandmarkt werden oder sie schlicht und einfach aus dem Betrieb gemobbt/gebosst werden.

(Nähere Beispiele wurden in diesem Blog-Beitrag geschildert.)

was ist Whistle-Blowing

Nicht jedes Melden von Missständen oder unangebrachtem Verhalten ist gleich Whistle-Blowing. Als Whistle-Blowing  wird es nur bezeichnet, wenn der Vorfall von größerer Tragweite ist (zB Korruption und/ oder Bestechung im großen Stil), wenn Tatsachen aufgedeckt werden, wenn die Öffentlichkeit ein Interesse daran hat (zB Umweltverschmutzung, Ausgaben der öffentlichen Hand)

Whistle-Blowing leicht(er) gemacht

Um derartige Meldungen im Bereich der finanziellen Geschäfte (zB Bestechung, Betrug) außerhalb der betrieblichen Infrastruktur zu ermöglichen, hat die österreichische Korruptionsstaatsanwaltschaft eine entsprechende Stelle eingerichtet. Um verbotene Inhalte im Internet (zB Kinderpornographie, NS-Wiederbetätigung,…) melden zu können, haben die österreichischen Internet-Provider eine öffentliche Hotline eingerichtet. Viele Betriebe haben interne Meldestellen installiert, an die sich die Mitarbeiterinnen (manchmal auch anonym) wenden können. Amerikanische börsenotierte Konzerne, Banken und Pharmaunternehmen sind per Gesetz verpflichtet Whistle-Blowing-Hotlines zu errichten.

Was aber geschieht mit jenen, die Missstände melden?

Der weltweit wohl berühmteste Whistle-Blower lebt derzeit in einem Hotel in Moskau und hat seine Familie seit Jahren nicht mehr (live) gesehen. Andere landen im Militär-Gefängnis. Wieder andere halten dem Druck, der nach der Enthüllung auf sie ausgeübt wird, nicht stand. Von den meisten aber hört und sieht man nichts. Whistle-Blower, die Missstände bei ihren ArbeitgeberInnen aufzeigen, werden oftmals verleumdet, versetzt oder aus dem Betrieb verabschiedet.

EU-weit haben nun zahlreiche Gewerkschaften und NGOs eine Initiative zum Schutz der Whistle-Blower gestartet. Mit dem Slogan „Whistleblower brauchen EU-Schutz – Leben, Umwelt und Steuergelder stehen auf dem Spiel“ werden Unterschriften gesammelt, um eine Gesetzesmaßnahme zum einheitlichen und besseren Schutz von Missständen meldenden Menschen zu erreichen.

Beteiligt euch!

3.717 Personen sind euch schon zuvor gekommen!Whistleblowing_Mappe_900

PS: Wer zu Whistle-Blowing im Betrieb noch Informationen braucht und eine Betriebsvereinbarung dazu abschließen will, die/der ist mir der Mappe der GPA-djp gut versorgt.

 

 

 

eine Soziale Säule für Europa

Bild: Clara Fritsch, CC BY-NC

Bild: Clara Fritsch, CC BY-NC

eine tragende oder eine schwankende Säule?

Eigentlich ist es seit den Europäischen Verträgen von Nizza und Lissabon (2001 und 2007) nicht mehr ganz passend, das Bild der „Säulen“ zu verwenden. Offenbar ist die „Säulen“-Sprache aber so einprägsam und anhaltend, dass der – damals neue – Kommissionspräsident Jean-Claude Junker, sie wieder verwendet. Gemeinsam mit anderen KommissarInnen hat Juncker im September 2015 die Soziale Säule vorgestellt.

Soziales Triple-A für Europa

Bei der vielbeachteten Rede wurden – im europäischen Zusammenhang schon lange nicht mehr vernommene – Worte wie „Vollbeschäftigung“, „Sozialpartner“, „Arbeitslosigkeit“ oder „Armut“ ausgesprochen. Kommissarin Marianne Thyssen sprach davon, dass „man Seite an Seite mit den Sozialpartnern“ in Europa für ein „Soziales Triple-A“ sorgen müsse.

Hier eröffnete sich eine Gelegenheit,  stark vernachlässigte (und mitunter durch die Rechtsprechung des EuGh zusätzlich geschwächte) Themen nicht nur mehr Aufmerksamkeit zukommen zu lassen sondern im Idealfall auch soziale Mindeststandards für ganz Europa durchzusetzen.

Mitbestimmung und Arbeitsbedingungen sind wieder Thema

Durch Erfahrung wohl skeptisch geworden, schreibt man im ÖGB-Büro in Brüssel dazu:

„Das Bemühen der Kommission nach zeitgemäßen sozialpolitischen Zielen zu suchen ist grundsätzlich zu begrüßen. Die erneute Bezugnahme auf äußerst kritische frühere Initiativen wie Flexicurity oder Better Regulation, die eher den Sozialabbau vorangetrieben haben, lässt jedoch Zweifel aufkommen.“

Eine ausführlichere Auseinandersetzung mit der sozialen Säule haben Sarah Bruckner und Nikolai Soukup von der Arbeiterkammer für den Blog Arbeit & Wirtschaft verfasst.

so geht soziales Europa

Der Europäische Gewerkschaftsbund hat in einer ausführlichen und kritischen Stellungnahme bereits seine Vorschläge für ein sozialeres Europa umfangreich dargestellt. Ein kleiner Auszug:

  • Soziale Rechte müssen Vorrang vor wirtschaftlicher Freizügigkeit haben!
  • Das Recht sich gewerkschaftlich zusammenzuschließen und Ergebnisse von Kollektivvertragsverhandlungen dürfen nicht untergraben werden!
  • Das Recht, sich von Gewerkschaften vor Gerichten vertreten zu lassen (und zwar gratis, mit Beweislastumkehr und ausreichenden Fristen)!
  • Mindestanforderungen an gerechte Löhne und gerechte Arbeitsbedingungen (zB das Verbot von sogenannten Null-Stunden-Verträgen bei denen zwar Rufbereitschaft gefordert, aber nicht bezahlt wird wie in Großbritannien zunehmend der Fall)!
  • mehr öffentliche Investitionen in die soziale Infrastruktur (zB Krankenhaus, Kinderbetreuung, Forschung und Entwicklung,…)!
  • das Recht auf Wissen darüber, wer der Arbeitgeber/ die Arbeitgeberin ist!
  • überschießende Überwachung bei Bewerbungen aber auch im Arbeitsalltag muss verboten sein!
  • umfangreiche Hintergrund-Checks von Bewerberinnen und Beschäftigten (ich würde hier an Big-Data-Analysen denken) müssen verboten sein!

Der ÖGB ist dabei, zusätzliche Schwerpunkte und Ergänzungen auszuarbeiten und auch die Arbeiterkammer bereitet eine eigene Stellungnahme vor.

Im März 2016 wurde die Konsultation zur sozialen Säule eröffnet. Alle EU-BürgerInnen, Organisationen und Institutionen sind aufgerufen, sich daran zu beteiligen – entweder indem sie den eher eingeschränkten dafür schneller zu erledigenden Fragebogen beantworten oder eine eigenes Dokument an die Kommission schicken.  Wer jetzt Lust bekommen hat, sich unter die über 300 Personen und Organisationen zu mischen, die sich EU-weit bereits beteiligt haben, und sich selbst mal in eine Konsultation einzumischen, kann das hier und jetzt tun.

Schutzschild gegen Datenmissbrauch?

Brandungtransatlantischer Datentransfer erneuert

Die nächste Welle transatlantischer Verhandlungskünste brandet heran. Statt dem Abkommen über den „Sicheren Hafen“ soll nun das Abkommen „Pricacy Shield“ die personenbezogenen Daten von EU-BürgerInnen in den USA vor Missbrauch bewahren.

Schon lange bevor das Safe-Harbor-Abkommen zum Datenverkehr zwischen USA und EU vom EuGh gekippt worden war (die GPA-djp hat berichtet), war klar, dass bessere Regelungen her mussten – sonst hätte man sich wohl nicht bereits 2013 an den Verhandlungstisch gesetzt, um den gegenseitigen Datentransfer besser in den Griff zu bekommen.

Von europäischer Seite ging es vor allem darum, anlasslose Massenüberwachungen zu verhindern und EU-BürgerInnen einen besseren Rechtsschutz in den USA zu verschaffen – so wie er auch umgekehrt USA-BürgerInnen in Europa zusteht. Am 12. Juli 2016 haben die Europäischen Kommission und die us-amerikanische Wettbewerbs- und Verbraucherschutzbehörde (Federal Trade Commission, FTC) das sogenannte „Privacy Shield Framework“ unterschrieben. Ab 1. August können sich us-amerikanische Firmen nach den neuen Regelungen zertifizieren lassen.

VERBESSERUNGEN

Die freiwillige Zertifizierung nach dem neuen Abkommen wird von der FTC stärker kontrolliert werden.

Die Weitergabe von personenbezogenen Daten an Dritte ist nicht mehr möglich.

Eine ausführliche Beschreibung der neuen Regelungen und ihres Zustandekommens hat die deutschen Gesellschaft für Datenschutz und Datensicherheit zusammengefasst.

weiterhin Massen-DatensammEln möglich

Doch Einiges ist auch beim Alten geblieben. Die Gruppe der europäischen Datenschutzbehörden kritisiert in ihrer Stellungnahme zum Privacy Shield insbesondere, dass es keinen genügenden Schutz vor massenhaften und willkürlichen Datensammlungen gewährt (man muss nur den Zweck der Datenanwendung ändern und schon sei das Ganze nicht mehr ganz so verboten) und dass die Zuständigkeiten der sogenannten „Ombudsperson“, an die sich europäische BürgerInnen mit ihren (rechtlichen) Datenschutz-Anliegen wenden können, nicht ausreichend geklärt sind (der direkte Zugang zu ordentlichen Gerichten ist nach wie vor nicht möglich).

Weiter Kritikpunkte sind:

  • der Geltungsbereich bezieht sich nur auf einige Branchen
  • Datenlöschung wenn diese nicht mehr gebraucht werden, ist nicht explizit festgehalten
  •  Schutz vor automatisierten Einzelentscheidungen (Stichwort: profiling) ist nicht ausreichend

… Fortsetzung folgt…

Böse Zungen behaupten, dass sich auch bei diesem „Datenschutz“-Abkommen früher oder später jemand finden wird, der oder die es genau wissen will und die ganze Materie zum Europäischen Gerichtshof trägt…

USA sind kein „sicherer Hafen“ – und Hamburg auch nicht

Frachtschiff_Hamburg1deutsche Konzerntöchter müssen Bußgelder zahlen

Der Europäische Gerichtshof für Menschenrechte erklärte am 24.September 2015 das Safe-Harbor-Abkommen für ungültig. „Safe Harbor“ waren Richtlinien des us-amerikanischen Handelsministeriums, denen sich us-amerikanische Firmen freiwillig unterwerfen konnten und damit datenschutzrechtlich mit europäischen Firmen gleich gestellt waren – ein großer Vorteil, wenn man personenbezogene Daten möglichst einfach über den großen Teich transferieren möchte.

Das EuGH-Urteil wurde von Max Schrems angestrengt, der seine personenbezogenen Daten bei facebook als nicht ausreichend geschützt ansah und sich daher an die Irländische Datenschutzbehörde wenden musste, wo Facebook seine europäische Hauptniederlassung hat. Die Behörde konnte ihm sein Recht auf Auskunft aber auch nicht verschaffen und so gelangte die Sache an den EuGH.

Mit der Ungültigkeit von Safe-Harbor mussten Unternehmen, die ihre Daten in den USA verarbeiten (lassen) diese Verarbeitungen auf eine andere rechtliche Basis stellen; Möglichkeiten des legalen Datentransfers in die USA existieren ja nach wie vor (sogenannte „Standardvertragsklauseln“ oder die Genehmigung des Datentransfers durch die Datenschutzbehörde); im „schlimmsten“ Fall mussten die Server an einen europäischen Standort übersiedelt werden.

Nun bekommen einige Unternehmen, die das EuGH-Urteil nicht weiter beachtet und ihre Datenverarbeitungen weiterhin wie gehabt vollzogen haben, die Rechnung präsentiert. Der Hamburger Datenschutzbeauftragt Johannes Caspar forderte nach einer Vorwarnung und dem Versuch der Kontaktaufnahme mit den betroffenen Großunternehmen – vorwiegend Töchter von us-amerikanischen Konzernen –  Konsequenzen, wie der Spiegel berichtete. Die meisten betroffenen Firmen wechselten auf Standardvertragsklauseln, einige arbeiteten weiter wie bisher. „Es handelt sich um große, international tätige Unternehmen, bei denen man davon ausgeht, dass sie umfassend datenschutzrechtlich beraten werden und die wissen, dass Safe Harbor nicht mehr gilt„, sagte Caspar. „Unsere Frist war bekannt.“ Adobe, Punica und Uniqa müssen nun wegen erfolgter unzulässigen Datenübermittlungen von MitarbeiterInnen- und KundInnendaten in die USA Bußgelder zwischen 8.000 EUR und 11.000 EUR zahlen.

Dass eine deutsche Behörde hier Strafen einheben kann, mag gelernte ÖsterreicherInnen erstaunen. Grund hierfür ist die unterschiedliche Gesetzeslage. Während die deutschen Datenschutzbehörden dazu berechtigt sind, Sanktionen einzuheben (und das beispielsweise in Hamburg und Schleswig-Holstein auch medienwirksam tun), ist die österreichische Behörde dazu nicht berechtigt. Hierzulande müsste ein Landesgericht erster Instanz eine Strafe verhängen – und hat es bislang nicht getan.

Mit der neuen europäischen Datenschutzgrundverordnung wird es ab 2018 auch in Österreich Aufgabe der Datenschutzbehörde sein, Beschwerden anzunehmen selbst wenn die Konzernzentale anderswo angesiedelt ist und im Falle des Falles Strafen zu verhängen – und die wurden bekanntlich bemerkenswert erhöht.

Kollektivverträge in der Datenschutzgrundverordnung abgesichert

 fahnenIn der Plenarsitzung vom 14.4. 2016 wurde die Europäische Datenschutzgrundverordnung vom EU-Parlament angenommen.

Damit ist nun der der Datenschutz in Europa einheitlich für alle Mitgliedsstaaten geregelt. In der alten Richtlinie nicht erfasste personenbezogene Daten sind nun ebenso von der Grundverordnung erfasst (zB IP-Adressen, Standortdaten). JedeR EU-BürgerIn hat nun in seinem/ihrem Land Zugang zu einem Gericht.

Was aus Gewerkschaftsperspektive vermisst wird, ist eine eindeutigere und stärkere Mitbestimmung der Interessenvertretung (zB bei der Bestellung von Datenschutzbeauftragten, bei der Kreation von unternehmensinternen Richtlinien zum Datenschutz, bei der Folgenabschätzung, etc). Da müssen wir uns wohl weiterhin mit den Mitbestimmungsrechten aus dem Arbeitsverfassungsrecht begnügen. Allerdings ist eindeutig festgehalten in den Erwägungsgründen, dass Kollektivverträge und Betriebsvereinbarungen den Beschäftigtendatenschutz regeln können.

Vorsichtig positiv stimmt, dass der Beschäftigtendatenschutz nicht gänzlich unter die Räder gekommen ist. Zwar fehlen sämtliche Mindeststandards (zB Verbot heimlicher Überwachung, Verbot „Schwarzer Listen“, etc), die in erster Lesung vom EU-Parlament noch mit großer Mehrheit angenommen wurden, doch konnte immerhin eine Öffnungsklausel verabschiedet werden, die dieses Thema in die Hände der Mitgliedsländer legt.

Letzter Formalakt auf europäischer Ebene ist nur noch die Zustimmung des Rates, die für Anfang Mai anberaumt ist, und dann haben die nationalen Regierungen bis 2018 Zeit, die Grundverordnung noch zu spezifizieren. Dabei wird die GPA-djp weiterhin versuchen, mehr Mitbestimmung seitens der Arbeitnehmerinnen beim Datenschutz zu erreichen.

Erfüllt die neue EU-Datenschutz-Grundverordnung die Erwartungen?

teilnehmerInnen an der DSGVO-Konferenz

(wieder einmal sehr subjektive)

Blitzlichter einer Veranstaltung

Im sehr gut besuchten Europa-Saal des Renner-Instituts erklärte Prof. Kotschy die Zusammenhänge zwischen der Menschenrechtskonvention (und dem in ihr verankerten Recht auf Privatsphäre), der Europäischen Menschenrechtscharta (und dem in ihr verankerten Recht auf Datenschutz) und dem in der Datenschutzgrundverordnung festgeschriebenen Recht auf Datenschutz. Hier muss ein Interessensausgleich zwischen denen der kotschyBetroffenen auf Datenschutz und denen der Auftraggeber auf die Wahrung ihrer Interessen stattfinden. In der neuen Verordnung liegt nun die Beweislast diesbezüglich bei den Betroffenen. „Das habe ich nie verstanden, warum man das so konstruiert hat.“ nimmt sich Kotschy kein Blatt vor den Mund.

krischAndreas Krisch wies eindringlich darauf hin, dass Demokratie nur funktionieren kann, wenn der Datenschutz für den/die EinzelneN gewährleistet ist, wenn die Personen selbst bestimmen können, wer was über sie weiß. Dazu konnte in der DSGVO einiges aus der alten Richtlinie „hinübergerettet“ werden. „Das Verhältnis zwischen Datenschutzbeauftragten und den Datenschutz-Behörden ist in Deutschland wesentlich entspannter als hier in Österreich. Da gibt es schon eine längere Erfahrung in der Zusammenarbeit. Aber überall müssten die Behörden wesentlich besser ausgestattet werden, damit sie gute Arbeit leisten können.“ erzählt Krisch aus seiner langjährigen internationalen Tätigkeit als betrieblicher Datenschutzbeauftragter und Präsident der europäischen Datenschutz-NGO edri.

kunnert BKADr. Kunnert, der Verhandler Österreichs in der Rats-Arbeitsgruppe zur Datenschutz-Grundverordnung, entsandt vom Bundeskanzleramt, erklärte, warum Österreich sich bei der Endabstimmung im Europäischen Rat der Stimme enthielt. „Es werden hier Grundprinzipien wie das der Zweckbindung, bei der Weiterverwendung von Daten aufgeweicht.“

zimmer daniela Ak KonsumentenschutzTrotz nachlassender Raumtemperatur und fortschreitendem Hungergefühl, schaffte es Daniela Zimmer von der Abteilung Konsumentenschutz der Arbeiterkammer, dem Publikum einen spannenden Einblick in den Konsumentenschutz im Zeitalter der Digitalisierung zu geben. „Wir haben in einer Studie festgestellt, dass Preise für ein und die selben elektronischen Geräte täglich variabel individuell je nach Kunde/Kundin  berechnet werden. Wenn zum Beispiel keine Konkurrenzanbieter in der Nähe sind, wird’s teurer. Leider ist dieses >dynamic pricing< weder in der Grundverordnung noch in der Digitalen Agenda thematisiert worden. Viele Konsumenten haben aber nicht die Zeit, das Wissen, die Finanzkraft, um sich täglich der Durchsetzung ihrer Grund- und Verbraucherrechte anzunehmen. Sie wollen vorsorglich, kollektiv durch staatliche Rechtsschutzmechanismen geschützt werden!“

regner evelyn, Abgeordnete zum Europäischen Parlament, S'n'D Frisch gestärkt war die Aufmerksamkeit für Evelyn Regner seitens des Publikums ungebrochen. Auch die S’n’D-Abgeordnete, die wir aus dem Europa-Parlament in Brüssel willkommen heißen durften, hatte ein offenes Wort: „Da ist eine Chance vertan worden. Wir haben im Ausschuss für Beschäftigung einige Standards eingezogen gehabt, wie zum Beispiel das Verbot von Schwarzen Listen und heimlicher Überwachung. Da gab es im Parlament auch eine überraschend große Mehrheit dafür, bei der ersten Lesung. Aber nach den Trilog-Verhandlungen war das weg.

komarDie darauf folgende Podiumsdiskussion mit  (v.l.n.r.)

  • Andrea Komar (Leiterin der Rechtsabteilung in der GPA-djp), Martina Chlestil (Datenschutz-Juristin bei der Arbeiterkammer), Eva Angerler (Datenschutz-Expertin in der GPA-djp und diesmal als Moderatorin im Einsatz)
  • Evelyn Regner
  • Helmut Wolff  (Betriebsrat bei unify )
  • und Andreas Krisch

drehte sich dann vor allem um die betriebliche Ebene, darum, wie einE BetriebsrätIn die Privatsphäre der Arbeitnehmerinnen besser schützen kann.

wolfHelmut Wolff erzählte aus seiner Praxis mit der us-amerikanischen Konzernmutter: „Für die Amerikaner war der Gang zum Schiedsgericht gar nicht unbedingt ein feindlicher Akt, sondern eher eine ganz normale Klarstellung.“

Martina Chlestil streicht heraus, dass gerade in einem Abhängigkeitsverhältnis wie dem Arbeitsverhältnis die Interessensvertretung eine wesentlich wichtigere Rolle in der Datenschutzgrundverordnung einnehmen müsste, als sie es derzeit tut.

Andrea Komar sieht zwar nun einen besseren Rechtszugang für einzelne Betroffene, kann zugleich aber auch einige Lücken, Unklarheiten und Auslassungen in dem Gesetzeskonvolut ausmachen. „Wer legt denn fest, wo die Hauptniederlassung ist?“ stellt sie die Frage in den Raum.

podium lachtInsgesamt ein prall gefüllter Tag an dem vielleicht mehr neue Fragen entstanden sind, als geklärt werden konnten  – wir werden weiterhin versuchen, sie gemeinsam mit euch zu klären. Jedenfalls wurde festgestellt, dass Datenschutz auch Spaß machen kann (Beweisfoto links).

Für alle, die keinen Platz mehr bei der Veranstaltung gefunden haben und für jene, die sich noch einmal vergewissern wollen, ob sie alles richtig verstanden haben, gibt es hier die Präsentationen zum Download:

Die neue EU-Datenschutz-Grundverordnung – kann sie die großen Erwartungen erfüllen?

EP15bDas (ungleiche) Duell um Grundrechte in der digitalisierten Arbeitswelt

Am 21. April wird im EU-Parlament die Datenschutzgrundverordnung abgestimmt. Wir sind unserer Zeit voraus und machen schon zuvor eine  Tagung zur Grundverordnung.

Am Donnerstag, 7. April 2016, 9.00-17.00 Uhr
im Karl-Renner-Institut, Oswaldgasse 69 / Ecke Hoffingergasse 1120 Wien (U6, Station “Am Schöpfwerk“) Europasaal, ist es so weit und man kann sich ausführlich informieren, was die DSGVO (nicht) bringt.

UPDATE vom 30.3.2016: Leider ist eine Anmeldung für diese Veranstaltung nicht mehr möglich – das Interesse war schon größer als wir Plätze haben.

Auf europäischer Ebene werden derzeit zahlreiche Schritte unternommen, um die zunehmende Digitalisierung (unter anderem rechtlich) in den Griff zu bekommen. Die Regelung neuer Geschäftsmodelle, die Anpassung von Datenschutzstandards an neue Risiken und die Verbesserung der Infrastruktur stehen auf der Agenda. Die Datenschutz-Grundverordnung (DSGVO) ist sowohl in Umfang, Gestaltung als auch bezüglich der durch sie ausgelösten Lobbying-Aktivitäten eine Einzigartigkeit in der europäischen Gesetzgebung. Durch den Einsatz der Interessenvertretung der ArbeitnehmerInnen wird es erstmals europaweit einheitliche (Mindest-)Standards für den Beschäftigtendatenschutz geben. Auch die ArbeitnehmerInnen-Vertretung im Betrieb steht vor neuen Herausforderungen: So soll die Meldepflicht an das Datenverarbeitungsregister vermutlich beseitigt und durch eine unternehmensinterne Dokumentationspflicht ersetzt werden; grundlegende Änderungen gibt es auch bei grenzüberschreitenden Datenverarbeitungen (One-Stop-Shop-Prinzip). Welche Folgen sich durch die DSGVO und die aktuelle EU-Strategie für den digitalen Binnenmarkt vor allem für die betriebliche Ebene aber auch für KonsumentInnen ergeben, wird auf der Veranstaltung von ExpertInnen aus Politik, Recht und der europäischen Ebene dargestellt und breit diskutiert werden.

Anmeldung:  www.renner-institut.at oder post@renner-institut.at

zu einem Vortrag eingeladen sind

  • Waltraut Kotschy, Ludwig Boltzmann Institut für Menschenrechte, Leiterin der Datenschutzkommission a.D. (angefragt)
  • Andreas Krisch, Präsident von EDRi (European Digital Rights); Mitglied des Datenschutzrates; Geschäftsführer von mksult GmbH
  • Eckhard Riedl, Leiter der Datenschutzabteilung im Bundeskanzleramt-Verfassungsdienst; Verhandler im EU-Rat
  • Daniela Zimmer, Arbeiterkammer Wien; Abteilung für Konsumentenschutz  

bei der nachmittäglichen Podiumsdiskussion zu den Konsequenzen der Datenschutzgrundverordnung auf betrieblicher Ebene diskutieren

  • Evelyn Regner, Mitglied des Europäischen Parlaments (S’n’D), Mitglied im Rechtsausschuss (JURI)
  • Andrea Komar, GPA-djp, Leiterin der Bundesrechtsabteilung
  • Helmut Wolff, Europa-Betriebsrat bei unify
  • Martina Chlestil, AK Wien, Abt Sozialpolitik
  • Andreas Krisch, edri

Moderation: Eva Angerler, GPA-djp, Abteilung Arbeit und Technik

Durch die Tagung führt Clara Fritsch, GPA-djp, Abteilung Arbeit und Technik