Category Archives: Europäische Union

Die EU-Urheberrechtsreform

Quelle: Bilderbox

Was Uploadfilter und Linksteuer mit dem freien Internet zu tun haben

Untätigkeit kann man den EU-Institutionen im Hinblick auf datenschutzrelevante Themen wirklich nicht vorwerfen: Erst Anfang September stimmte das EU-Parlament für ein neues europäisches Urheberrecht, durch welches das Internet nachhaltig verändert werden könnte.

Worum geht es?

Schon seit längerem wird auf EU-Ebene eine neue Richtlinie zur Reform des Urheberrechts für Internetinhalte verhandelt. Schon in der Vergangenheit war ein Entwurf der Kommission vom Parlament abgelehnt worden. Am 12. September wurde schließlich ein neuer Anlauf unternehmen – und der Entwurf tatsächlich vom EU-Parlament angenommen.

Inhaltlich umstritten waren im Vorfeld insbesondere die im Entwurf enthaltenen „Uploadfilter“ und die „Linksteuer“. Bei den Regelungen zu „Uploadfiltern“ geht es wesentlich darum, dass Internetplattformen, die hauptsächlich von jenen Inhalten leben, die von den NutzerInnen zur Verfügung gestellt werden, also etwa Youtube oder Facebook, diese Inhalte künftig auf mögliche Urheberrechtsverletzungen überprüfen müssen. Aufgrund der riesigen Datenmengen, die auf derartige Plattformen hochgeladen werden, können Überprüfungen in sinnvoller Weise jedoch nur maschinell erfolgen – eben mittels bestimmter „Filter“, die die hochgeladenen Inhalte scannen und gegebenenfalls sperren. Schon bisher werden solche Filter auf vielen Plattformen eingesetzt, sind jedoch immer wieder auch Ziel von Kritik. So scheinen die Filter nicht immer treffsicher zu sein und zum Teil auch Inhalte zu blocken, die gar nicht gegen Rechte verstoßen. Befürchtet wird, dass die eingesetzten Filter auch künftig etwa Satire oder bloße Zitate nicht als solche erkennen würden. Auch Plattformen, die Informationen frei zugänglich machen, etwa die Online-Enzyklopädie Wikipedia, könnten von den geplanten rechtlichen Rahmenbedingungen betroffen sein.

Mit der „Linksteuer“ soll hingegen ein EU-weites Leistungsschutzrecht etabliert werden. So soll künftig verhindert werden, dass Artikel im Internet ohne Zustimmung des/der RechteinhaberIn reproduziert werden. Diese Maßnahme richtet sich insbesondere gegen Dienste wie Google News, die systematisch die Inhalte unterschiedlicher Medienplattformen überblicksartig zusammenstellen. So sollen künftig nur noch einzelne Worte aus den entsprechenden Beiträgen in den Links wiedergegeben werden dürfen.

Lob und Kritik

In der öffentlichen Debatte gibt es bislang sehr unterschiedliche Stimmen zum Richtlinienentwurf. Unterstützt wird der Vorstoß insbesondere von Verlagen und traditionellen Medienunternehmen, die in Brüssel offenbar stark für die neuen Regelungen lobbyierten. Doch auch eine lange Liste bekannter MusikerInnen, auch aus Österreich, setzte sich für das neue Urheberrecht ein. Betont wurde dabei, dass auch Künstler und Kreative Anspruch auf den Schutz ihrer Rechte hätten – auch im Internet.

Der deutsche CDU-Politiker und Abgeordnete zum Europäischen Parlament Axel Voss gilt als prominenter Fürsprecher neuer urheberrechtlicher Regelungen in Bezug auf Internetinhalte und trat im Zusammenhang mit dem erneuerten Entwurf der EU-Kommission für eine EU-Urheberrechts-Richtlinie als Berichterstatter auf. Voss freute sich über den Beschluss des Parlaments, konnte anschließend jedoch zunächst gar nicht genau sagen, welche inhaltlichen Punkte nun beschlossen worden waren – bei hunderten Abänderungsanträgen jedoch kaum verwunderlich.

Datenschutz-NGOs wiederum kritisieren die gesetzgeberischen Pläne vehement und sehen die Grundlagen des freien Internets in Gefahr. So könnten die vorgesehen Uploadfilter zur Durchsetzung von Zensurmaßnahmen dienen und die Meinungsfreiheit im Internet einschränken. Die NGO epicenter.works spricht gar von einer „katastrophalen Weichenstellung“ und sieht die geplanten Regelungen als nicht mit den Grundrechten vereinbar an. Die Regelungen würden hauptsächlich die Interessen großer Internetkonzerne wie Google stärken, die ihre Marktmacht künftig noch intensiver ausspielen könnten. Stattdessen wird eine „ausgewogene Lösung“ gefordert, die sowohl auf die Bedürfnisse von KünstlerInnen und RechteinhaberInnen Rücksicht nimmt, als auch das Internet als offene Plattform erhält.

Wie geht es nun weiter?

Der nun erfolgte Beschluss des EU-Parlaments bedeutet lediglich, dass nun der sogenannte „Trilog“ startet. Parlament, Kommission und Rat verhandeln also zu dritt über die Inhalte der neuen Richtlinie, bevor der gesamte Text nochmals dem EU-Parlament zur Abstimmung vorgelegt wird. Bis das neue EU-Urheberrecht wirklich in Kraft tritt, kann es also noch dauern.

Another brick in the wall: Die E-Privacy-VO

Quelle: Bilderbox

Nach dem Inkrafttreten der DSGVO am 25.5.2018 steht bereits das nächste datenschutzrechtliche Großprojekt der EU auf dem Programm: Die E-Privacy-Verordnung.

Die E-Privacy-VO sollte ursprünglich gemeinsam mit der DSGVO in Kraft treten – dazu kam es jedoch nicht, sie steckt nach wie vor im Gesetzgebungsverfahren fest. Während des österreichischen EU-Ratsvorsitzes im zweiten Halbjahr 2018 gewinnt das Thema nun wieder an Brisanz.

Die ursprünglichen Pläne der EU-Kommission

Ursprünglich legte die EU-Kommission bereits im Jänner 2017 einen Verordnungsentwurf vor. Dessen Ziele: ein wirksamerer und besserer Schutz der Privatsphäre und der verarbeiteten personenbezogenen Daten im Zusammenhang mit der elektronischen Kommunikation. Nach Auffassung der Kommission ist ein „wirksamer Schutz der Vertraulichkeit der Kommunikation unverzichtbar für die Ausübung der Rechte auf freie Meinungsäußerung und Informationsfreiheit sowie andere damit verbundene Rechte wie derjenigen auf Schutz personenbezogener Daten oder auf Gedanken-, Gewissens- und Religionsfreiheit.“ Die E-Privacy-VO sollte somit die Bestimmungen der mittlerweile in Kraft getretenen DSGVO ergänzen.

Die wesentlichen Regelungsinhalte

Als einen zentralen Punkt legt der Verordnungsentwurf fest, dass die Endgeräte (also etwa Computer oder Smartphone) von InternetnutzerInnen und alle Informationen, die mit diesen Geräten in Verbindung stehen, Teil der Privatsphäre der NutzerInnen sind. Bisher ist es üblich, das Nutzungsverhalten im Internet oder diverse andere Umstände (bis hin zur Größe des Bildschirms, von dem aus gesurft wird), mittels als „Cookies“ bezeichneter Programme nachzuvollziehen und zu überwachen. In dieselbe Richtung geht das „Tracking“ der im Internet surfenden Personen – es wird also erhoben, welche Websites zuvor und welche anschließend aufgerufen werden. Aus der Zusammenschau der so erhobenen Daten lassen sich detaillierte NutzerInnenprofile erstellen. Dafür soll, geht es nach der Kommission, künftig eine Einwilligung der NutzerInnen erforderlich sein. Gemäß dem Grundsatz „Datenschutz durch Technikgestaltung“, der datenschutzfreundliche Grundeinstellungen vorschreibt, müssen derartige Programme, die das Nachvollziehen von Nutzungsverhalten möglich machen, also grundsätzlich deaktiviert sein.

Auch im Bereich der elektronischen Kommunikation, etwa in Bezug auf Dienste wie Whatsapp oder andere Online-Messenger und Telefonieanbieter wie Skype, soll es zu Veränderungen kommen. Daten, die im Zusammenhang mit Online-Kommunikation stehen, auch sogenannte „Meta-Daten“ über die Umstände der Kommunikation, sollen grundsätzlich nur mit Zustimmung der NutzerInnen oder unter ganz bestimmten, eng gefassten Bedingungen verarbeitet werden dürfen, um die Privatsphäre der kommunizierenden Personen effektiv zu schützen. Ein Abgreifen von Daten, die auf den Endgeräten gespeichert sind bzw. ein „Abhören“ oder Erfassen des Inhalts und der Umstände der Unterhaltung wäre somit unzulässig.

Widerstand und Kritik

Gegen die geplante Verordnung laufen insbesondere VerlegerInnen und VertreterInnen der Werbewirtschaft Sturm. Sie befürchten, künftig nicht mehr so zielgerichtet wie bisher im Internet werben zu können und daher Einnahmen zu verlieren. Das ist wohl auch der Grund, warum in Brüssel seit Monaten aggressives Lobbying für abgeschwächte Formulierungen in der Verordnung und von der Werbeindustrie ein „Spiel auf Zeit“ betrieben wird. Dieses wiederum wird von Datenschutz-NGOs wie epicenter works massiv kritisiert. Zwar habe die DSGVO erste Rahmenbedingungen für die Datenverarbeitung geschaffen, die E-Privacy-VO sei jedoch ein weiterer wichtiger Baustein auf dem Weg zu umfassender Privatsphäre im Internet.

Was die österreichische Regierung jetzt tun könnte (und was sie wirklich tut)

Angesichts des stockenden Gesetzgebungsprozesses auf EU-Ebene kommt Österreich während seiner EU-Ratspräsidentschaft nun eine bedeutende Rolle zu. So könnten durch kluge Vermittlung Österreichs Verhandlungsprozesse wieder in Gang und die E-Privacy-VO auf den Weg gebracht werden. Bisher zeichnet sich die österreichische Bundesregierung, im Gleichklang mit großen EU-Staaten wie Deutschland und Frankreich, jedoch nicht durch besonders datenschutzfreundliches Verhalten aus, sondern scheint neben einer Reihe von innerstaatlichen Maßnahmen, wie etwa der mit 1.9.2018 in Kraft tretenden Ausweitung der Höchstarbeitszeitgrenzen, auch in puncto Datenschutz die Wünsche der Industrie erfüllen zu wollen. So wurde erst jüngst vorgeschlagen, die Bestimmungen zum „Datenschutz durch Technikgestaltung“ komplett zu streichen.

Ausblick

Angesichts der umfangreichen Konflikte, die rund um das Thema Datenschutz ausgefochten werden, ist wohl kaum mit einer raschen Beschlussfassung zu rechnen. Es bleibt an dieser Stelle wohl zu hoffen, dass sich die LobbyistInnen und VertreterInnen der großen Verlagshäuser und der Werbeindustrie nicht durchsetzen und ihre Blockadehaltung aufgeben müssen. Erst dann wäre der Weg frei für weitere datenschutzrechtliche Verbesserungen auf EU-Ebene, die angesichts des Grundrechts auf Privatsphäre dringend geboten sind.

Umsetzung der DSGVO in Betrieb und Betriebsrat

Quelle: Bilderbox

„Wie weit seid ihr mit der DSGVO?“

Die heurige BAT-Klausur  stand unter dem Motto „Willkommen, Datenschutz-Grundverordnung!“. Die BetriebsrätInnen und Mitglieder des BAT zogen Bilanz über den Stand der Umsetzung der DSGVO in ihren Betrieben und ihren Betriebsräten.

Die BetriebsrätInnen sollten sich dabei Gedanken über zwei Fragen machen. Zunächst sollten sie den Stand der Umsetzung der DSGVO innerhalb ihres Unternehmens und ihrer Betriebsratskörperschaft insgesamt einschätzen. In der Folge Sollten sie konkrete Umsetzungsschritte bewerten und analysieren, ob diese bereits erfolgt oder noch ausständig sind.  Es zeigte sich insgesamt ein differenziertes Bild. In einigen Betrieben stecken die datenschutzrechtlichen Angelegenheiten in den „Kinderschuhen“, einige habe die ersten Schritte bereits gewagt und wieder andere zählen sich zu den „Frontrunnern“, die schon seit Jahren an einer Umstellung ihrer Datenschutz-Praxis arbeiten.

Verschiedenes wurde in Sachen DSGVO in Angriff genommen…

Konkrete Umsetzungsschritte wurden in vielen Unternehmen, wo BAT-Mitglieder arbeiten, von ArbeitgeberIn und Betriebsrat bereits erfüllt. So ist beispielsweise bereits in den allermeisten Betrieben einE DatenschutzbeauftragteR bestellt worden. Verarbeitungsverzeichnisse sind in beinahe jedem Unternehmen fertig und vollständig. Damit sind zwei wichtige Neuerungen der DSGVO bereits in den meisten Fällen umgesetzt .

…und was kann der Betriebsrat – gemeinsam mit dem/der ArbeitgeberIn – machen?

In vielen Betrieben wurden – je nach Arbeitsaufgabe gestaltete – Schulungen für die KollegInnen abgehalten, wie mit personenbezogenen Daten umzugehen ist. In vielen Unternehmen hatte man sich bislang wenig Gedanken zu Datenlöschung gemacht. Also wurden Löschkonzepte wurde entweder überarbeitet oder neu eingeführt. Datenweitergaben an Dritte, aber auch innerhalb des Unternehmens, wurden überprüft, ob sie im Sinne der DSGVO stattfinden; das heißt Daten dürfen nur weitergegeben werden, wenn das zweckgebunden, sparsam und mit Information der Betroffenen geschieht. Ebenso ein breites Thema in der Umsetzung waren die Zustimmungen der Beschäftigten zu Datenanwendungen. Viele Arbeitgeber verlangen nun – eher unnötiger Weise – eigene Zustimmungs- und Geheimhaltungserklärungen von den Beschäftigten, um sich abzusichern. Betriebsräte haben diese Vorgehensweise hinterfragt.

Kleine Betriebsratskörperschaften sind mit ihren betriebsrätlichen Datenanwendungen mitunter in die Verarbeitungsverzeichnisse des/der ArbeitgeberIn mit einbezogen. In den meisten Betriebsräten wurde ein konkretes Datenschutz-Prozedere entwickelt und Verantwortliche definiert, die die Einhaltung des Datenschutzrechts im Betriebsratsbüro sicherstellen sollen. Es wurden die Beschäftigten im Intranet/ per Email/ auf einem geschützten Bereich der Homepage über die innerbetrieblichen datenschutzrechtlichen Regelungen informiert und aufgeklärt. Die Berechtigungskonzepte für Datenzugriffe wurden in vielen Betrieben überarbeitet; also die Frage gestellt: wer hat wo und unter welchen Umständen Zugang zu personenbezogenen Daten der MitarbeiterInnen und ist das zweckmäßig? Und last – but not least – wurden bestehende Betriebsvereinbarungen daraufhin überprüft, ob sie mit der DSGVO übereinstimmen und in vielen Fällen adaptiert.

Nicht alle Schritte sind schon abgeschlossen, nicht alle Schritte sind für alle Betriebe relevant und passend, aber es existieren jedenfalls konkrete Lern-Schritte in Richtung eines gelebten Beschäftigtendatenschutzes. BetriebsrätInnen beschäftigen sich also intensiv mit der Umsetzung der Bestimmungen der DSGVO und befinden sich auf einem guten Weg – wir werden sie dabei weiterhin begleiten.

Max Schrems vs Facebook

Klage in Österreich möglich – aber nicht gesammelt

Der EuGH hat nun entschieden, dass eine europaweite Sammelklage nicht zulässig ist

Max Schrems, Datenschützer und Betreiber der Initiative „Europe vs Facebook“, klagte gemeinsam mit über 25.000 Personen aus ganz Europa Facebook wegen Datenschutzvergehen vor Gerichten in Österreich.

Nach Auffassung von Schrems handelt es sich bei ihm selbst und auch bei den anderen 25.000 Facebook-Usern um VerbraucherInnen. Von Facebook wurde das bestritten und argumentiert, dass Schrems im Laufe des Verfahrens Bücher veröffentlicht, Vorträge gehalten, Websites betrieben, Spenden gesammelt und sich insbesondere die Ansprüche zahlreicher VerbraucherInnen hatte abtreten lassen, weshalb er eigentlich „beruflich“ gegen Facebook tätig sei.

Der Fall wanderte in Österreich durch die Instanzen, der Oberste Gerichtshof (OGH) bat den Europäischen Gerichtshof (EuGH) um Hilfe bei der Auslegung, wann VerbraucherInnen vor ihrem eigenen Heimatgerichtsstand klagen dürfen. Der EuGH hat diese Anfrage – in der JuristInnen-Sprache „Vorabentscheidungsersuchen“ genannte – des OGH nun beantwortet.

Das Ergebnis ist für Schrems und seine Anliegen nicht nur gut – aber auch nicht nur schlecht

So stellte der Europäische Gerichtshof (Urteil in der Rechtssache C-498/16)  in deutlichen Worten klar, dass die NutzerInnen privater Facebook-Kontos ihre Verbrauchereigenschaft nicht verlieren, bloß weil sie Bücher publizieren, Vorträge halten oder Websites einrichten. Sogar das Sammeln von Spenden und das Abtreten-lassen von Ansprüchen Anderer zum Zwecke der gerichtlichen Geltendmachung schadet dem eigenen Status als VerbraucherIn nicht. Diese Tätigkeiten im Zusammenhang mit dem Verfahren sind also nicht als „berufliche Tätigkeiten“ einzustufen.

Andererseits jedoch könne nach Ansicht des EuGH der eigene Gerichtsstand als VerbraucherIn nicht dafür benutzt werden, die Ansprüche anderer VerbraucherInnen geltend zu machen – unabhängig davon, ob diese ihren Wohnsitz im gleichen EU-Mitgliedstaat, in einem anderen Mitgliedstaaten oder in Drittstaaten haben. Schrems‘ Idee, gegen Facebook mithilfe einer „europäischen Sammelklage“ vorzugehen, ist damit vorerst „ad acta“ gelegt.

Im Hinblick auf die Wahrung von Verbraucherinteressen wäre die Möglichkeit einer solchen europäischen Sammelklage in Datenschutzangelegenheiten aber dringend geboten und sollte vom europäischen Gesetzgeber für die Zukunft in Betracht gezogen werden.

Klage in Österreich ist möglich

Die Klarstellungen des EuGH bedeuten aber vor allem : Schrems kann Facebook vor den Gerichten seines Wohnsitzstaates Österreich klagen und muss das Verfahren nicht vor den irischen Gerichten führen. Facebook hatte ja die internationale Zuständigkeit Österreichs bestritten.

Künftig steht es also allen VerbraucherInnen EU-weit offen, Technologiekonzerne wie Facebook wegen deren Datenschutzverletzungen im eigenen Land zu klagen. Das ist für die Einzelpersonen vorteilhaft und für Unternehmen mitunter sehr unangenehm und ist daher keinesfalls in seiner Wirkung zu unterschätzen.

Musterklage statt Sammelklage

Nun kann also der inhaltliche Teil des Verfahrens starten. Max Schrems hat angekündigt, eine „Musterklage gegen Facebook“ führen zu wollen.

Ebenfalls spannend ist die Gründung der Datenschutz-NGO „None of Your Business“ (noyb), zu der die GPA-djp auch ihr Schärflein beigetragen hat. Die NGO will der im Mai in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) bedienen, um internationale Konzerne in ihre datenschutzrechtlichen Schranken zu weisen. Dabei soll auf den strategischen Einsatz von Mahnung, Beschwerden bei den jeweils zuständigen (Datenschutz-)Behörden und Musterprozessen gesetzt werden. NOYB will dabei helfen, „dass der Datenschutz Zähne bekommt und nicht länger ein Papiertiger ist“, so Max Schrems in den Medien.

Privatchat am Arbeitsplatz darf nicht gänzlich verboten werden

Man darf nicht nicht kommunizieren dürfen

richtungweisendes Urteil des Europäischen Gerichtshof für Menschenrechte

Am 5.September 2017 urteilte der Europäische Gerichtshof für Menschenrechte (EGMR) zugunsten von Herrn Barbulescu, der entlassen worden war. Entlassungsgrund: er hatte entgegen der Anordnung seines Arbeitgebers mit seiner Verlobten und seinem Bruder privat kommuniziert.

Der dazu verwendete Messenger-Dienst war zwar auf Geheiß des Arbeitgebers installiert worden, um so besser Kundenkontakte pflegen zu können, allerdings mit dem klaren Hinweise, dass Privatnutzung zu unterlassen sei. Der Software-Entwickler Bogdan Barbulescu hatte das betriebsinterne Reglement offenbar nicht befolgt und ausgiebig mit Verlobter und Bruder gechattet – 45 Seiten legte der Arbeitgeber nach einer Woche dem rumänischen Gericht vor.

Sowohl das Rumänische Gericht vor dem Babulescou gegen die Entlassung klagte (im Juni 2007), als auch die kleine Kammer des Europäischen Gerichtshofes für Menschenrechte (im Jänner 2016) gaben dem Arbeitgeber recht. Die Verwendung von Betriebsmitteln dürfe per Weisung festgelegt werden, eine Missachtung einer solchen Weisung führe nun mal zu einer Entlassung, so die Logik dahinter.

Nun hat sich der Senat im Juni 2016 abermals mit dem Fall befasst und kam zu einem anderen Schluss:

an employer’s instructions cannot reduce private social life in the workplace to Zero“

Wie es dazu kam? Der Europäische Gewerkschaftsbund und die französische Datenschutzbehörde CNIL hatten eine Neuaufnahme gefordert. Die Überwachung auf der die Entlassung fußt, müsse verhältnismäßig sein, die Überwachten müssten informiert werden und insgesamt handle es sich sehr wohl um eine Verletzung der Privatsphäre, die durch Artikel acht der Europäischen Menschenrechtskonvention geschützt ist.

Zum Stolperstein für den Arbeitgeber wurde der von ihm eingesetzte Keylogger, mit dem sämtliche Korrespondenz des Arbeitnehmers mitprotokolliert worden war. Dadurch ist der Arbeitnehmer aber einer permanenten Überwachung ausgesetzt, von der er zuvor nicht einmal informiert worden war.

Heimliche Überwachung geht gar nicht

ArbeitnehmerInnen müssten über die Tatsache sowie den Grund einer Überwachung informiert werden, urteilte der EGMR. Es muss das gelindeste Mittel der Überwachung gewählt werden.

Außerdem beanstandete der Gerichtshof, dass ein absolutes Verbot der Privatnutzung ausgesprochen worden war. Das sei ein Eingriff in die Privatsphäre. Ein Verbot dürfe nur so weit gehen, als es unbedingt erforderlich sei, so der EGMR.

und wie ist das mit der Privaten Kommunikation in Österreich?

Wer sich bei der GPA-djp erkundigt, wird die Auskunft bekommen, dass die Privatsphäre an der Bürotüre und am Werkstor nicht abgegeben wird, dass private Emails vom Arbeitgeber also nicht gelesen werden dürfen. Sobald er/sie erkennt, dass es sich um private Kommunikation handelt, darf er/ sie nicht mehr weiterlesen.

So sieht es auch der EGMR, der europaweit die Judikatur diesbezüglich vergleicht. In seiner Urteilsschrift steht zu lesen, dass ArbeitgeberInnen in Österreich zwar die als „privat“ gekennzeichnete Kommunikation der ArbeitnehmerInnen kontrollieren dürften, ohne allerdings auf den Inhalt zugreifen zu dürfen:

In, Austria, Denmark, Finland, France, Germany, Greece, Italy, Portugal and Sweden, employers may monitor emails marked by employees as “private”, without being permitted to access their content. In Luxembourg employers may not open emails that are either marked as “private” or are manifestly of a private nature. The Czech Republic, Italy and Slovenia, as well as the Republic of Moldova to a certain extent, also limit the extent to which employers may monitor their employees’ communications, according to whether the communications are professional or personal in nature. In Germany and Portugal, once it has been established that a message is private, the employer must stop reading it.

Somit gibt es nun neben dem Arbeitsverfassungsgesetz einen weiteren triftigen Grund, warum man die private Nutzung von Kommunikationsmitteln in einer Betriebsvereinbarung regeln muss.

betrieblicher Datenschutz – altes Fass oder neuer Wein?

ein Veranstaltungsrückblick

Unter dem Titel „neue Technologien – neuer rechtlicher  Rahmen – neue Lösungen“ fand am 13. März im Bildungszentrum der Arbeiterkammer Wien eine Veranstaltung statt. Über 250 BetriebsrätInnen wollten sich die Ausführungen zu technologischen Veränderungen sowie der Datenschutzgrundverordnung und ihren voraussichtlichen Auswirkungen nicht entgehen lassen.

Rudi Kaske und Dwora Stein eröffneteN

an dem sonnigen Frühlingsnachmittag. Kaske betonte in seiner Rede, dass die Technik zunehmend komplexer werde und somit digitale Kompetenzen bei allen Betroffenen erfordere. Es gehe darum den digitalen Wandel zu gestalten und mitzubestimmen, sodass immer der Mensch die zentrale Figur ist.

Dwora Stein, die Geschäftsführerin der GPA-djp, nahm in ihrem Eingangsstatement vor allem die betriebliche Ebene in den Fokus. Betriebsrätinnen und Betriebsräte sind mit ihrer fachlichen Expertise, ihrer sozialen Kompetenzen und ihre internationalen Vernetzung gefordert um ihre rechtlichen Möglichkeiten auszuschöpfen. Die Gewerkschaft stellt ihnen Hintergrundinformationen und Beratung zur Verfügung und den Einsatz dafür, die rechtlichen Rahmenbedingungen im Sinne der ArbeitnehmerInnen-Mitbestimmung zu gestalten.

Thomas Riesenecker erklärte technischen Wandel

Der Geschäftsführer der Forschungs- und Beratungsstelle Arbeitswelt stellte die wesentlichen Veränderungen der digitalen Arbeitswelt dar und stellte dabei in Frage, ob es sich tatsächlich um eine „Revolution“ handelte und nicht vielmehr um eine Weiterentwicklung auf Basis bereits bestehender Technologien.

Insbesondere die Sensorik habe die Möglichkeiten der Maschinen verändert. Sie könnten nun miteinander (auch ohne direkte Intervention von Menschen) interagieren. Das sogenannte „Internet der Dinge“ (IoT) ist nun in der Robotik, der Fahrzeugtechnik und diversen anderen Anwendungsgebieten Thema.

Martina Chlestil stellte die derzeitige Rechtslage (DSG) und Clara Fritsch die kommende (DSGVO) dar

In einer Doppelkonference wurden die wesentlichen, für betrieblichen Datenschutz relevanten Gesetzesänderungen, die mit dem In-Kraft-treten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 schlagend werden, vorgestellt:

  • das öffentliche Datenverarbeitungsregister wird zu einem innerbetrieblichen Verfahrensverzeichnis
  • der betriebliche Datenschutzbeauftragte wird – für bestimmte Unternehmen – verbindlich
  • die Mitbestimmungsrechte nach dem ArbVG bleiben erhalten

Matthias Schmidl beschrieb die Aufgaben der Datenschutzbehörde

Die Datenschutzbehörde, deren stellvertretender Leiter Matthias Schmidl ist, erhält mit der Datenschutzgrundverordnung (DSGVO) zusätzliche Aufgaben und neue Vorgaben, wie Prozesse abzuwickeln sind.

  • die Behörde wird in Abstimmung mit den anderen europäischen Behörden eine „Blacklist“ und eine „Whitelist“ erstellen, die angibt, welche Datenverwendungen eine Risikofolgenabschätzung benötigen – und welche nicht
  • die Behörde wird Geldbußen  – in Koordination mit den anderen europäischen Datenschutzbehörden – festlegen und verhängen
  • die Behörde wird – wie bisher auch – Ansprechstelle für Beschwerden sein

Nach einer kurzen Stärkung bei Kaffee und Kuchen, nahmen drei Betriebsräte und drei GewerkschaftssekretärInnen auf den roten Sesseln am Podium Platz und erzählten aus ihrem Umgang mit Technik im Betrieb.

Kollege Magnus von der Sucht- und Drogenkoordination der Stadt Wien stellte dar, wie ein Dokumentationssystem legal, aber trotzdem zum Nachteil der KollegInnen verwendet werden kann, indem daraus errechnet wird, wie viele Prozent der eingeladenen KlientInnen tatsächlich kommen. Auf dieser Basis werden mehr KlientInnen eingeladen, als Termine zur Verfügung stehen (Überbuchung), was aufgrund des gesteigerten Arbeitsdrucks zu Konflikten zwischen den verschiedenen Berufsgruppen führt. Gemeinsam mit der zuständigen Fachgewerkschaft GPA-djp arbeitet man nun an einer Betriebsvereinbarung zu dem System. Eva Angerler strich in ihrem Statement heraus, dass es bei Technik im Unternehmen immer um drei Säulen geht

  • einen rechtlichen Rahmen zu schaffen mittels Betriebsvereinbarung
  • einen Datenschutz durch Technik zu gewährleisten
  • und eine Betriebskultur, die Datenschutz-Bewusstsein im täglichen Miteinander lebbar macht.

Kollege Szalay beschrieb wie Wien Energie versuchte, ein elektronisches Fahrtenbuch einzuführen und auf Initiative der Betriebsrates ein solches mehrere Jahre nicht der Fall war – so lange bis es eine den Wünschen der ArbeitnehmerInnen entsprechende Betriebsvereinbarung dazu gab. Andreas Schlitzer aus der Pro-Ge hat dabei die rechtliche Beratungsarbeit geleistet.

Auch bei den ÖBB-BCC stellt die Digitalisierung ein wesentliches Thema dar. Ein so wesentliches, dass man gemeinsam mit dem Ministerium, der Forba und der Gewerkschaft vida ein eigenes Projekt dazu auf die Beine gestellt hat. „Und ihr werdet es nicht glauben“ sagte der Betriebsrat Josef Brenner „was das geändert hat, dass wir einmal nicht den Entwicklungen hinten nach gelaufen sind, sondern als Betriebsrat aktiv begonnen haben, ein eigenes Projekt dazu aufzusetzen.“

Alle Präsentationen und Handouts zur Veranstaltung finden sich hier.

Alles kann natürlich in einem Nachmittag nicht besprochen, diskutiert und gelöst werden. Wenn nun Interesse entstanden sein soll, freuen sich Arbeiterkammer und Fachgewerkschaften; zu Wirkungen und Nebenwirkungen der Digitalisierung und der neuen Gesetzeslage wenden sie sich vertrauensvoll an ihre Interessenvertretung oder ihre Fachgewerkschaft.

digitale Grundrechte

wo gibt’s denn so was?

in der EU – vielleicht, hoffentlich bald

Warum geht’s hier in letzter Zeit eigentlich ständig um Europa?

Weil Daten grenzüberschreitend unterwegs sind, weil mit europaweit einheitlichen Grundsätzen und Regelungen Datenverwendungen einfacher rechtlich zu beurteilen und damit einzuschränken sind und weil ein einheitlicher Wirtschaftsraum auch einen einheitlichen Sozial- und Schutzraum verlangt.

Einige EU-BürgerInnen haben sich daher in den letzten Monaten mit Menschenrechten im digitalen Zeitalter auseinandergesetzt und stellten am 30. November die Charta der digitalen Grundrechte der Öffentlichkeit vor. Die Charta beinhaltet Grundsätze, wie im Zeitalter von Big Data, Robotik, künstlicher Intelligenz und Massenüberwachung das Menschenrecht auf Datenschutz zu erhalten ist. Hier ein kleiner Auszug:

  •  Die Verwendung von automatisierten Verfahren darf nicht dazu führen, dass Menschen vom Zugang zu Gütern, Dienstleistungen oder von der Teilhabe am gesellschaftlichen Leben ausgeschlossen werden. Dies gilt insbesondere im Bereich Gesundheit, Schutz vor elementaren Lebensrisiken, Recht auf Arbeit, Recht auf Wohnen, Recht auf Bewegungsfreiheit und bei Justiz und Polizei.
  • Eine anlasslose Massenüberwachung findet nicht statt.
  • Eine Zensur findet nicht statt.
  • Profiling durch staatliche Stellen oder Private ist nur auf gesetzlicher Grundlage zulässig.
  • Die Kriterien automatisierter Entscheidungen sind offenzulegen.
  • Ethisch-normative Entscheidungen können nur von Menschen getroffen werden.
  • Jeder hat das Recht, über seine Daten selbst zu bestimmen.
  • Jeder hat ein Recht auf Verschlüsselung seiner Daten.
  • Das Recht, an Wahlen und Abstimmungen teilzunehmen, darf nicht an den Zugang zu digitalen Medien gebunden werden.
  • Jeder hat das Recht auf eine nicht-personalisierte Nutzung digitaler Angebote.

Die Charta verdient sich viele viele Unterzeichnerinnen – auch wenn das Kapitel zum ThemaArbeitausbaufähig ist. Hier würde ein explizites Verbot heimlicher Überwachung ebenso wie ein Verbot bezüglich dem Erstellen „Schwarzer Listen“ oder der übermäßigen Leistungs- und Verhaltenskontrolle die digitale Grundrechte-Charta noch wesentlich aufwerten.

Ein wenig schräg ist auch, dass gerade eine Stiftung der Zeitung „die Zeit“ hier federführend an der Erarbeitung der Charta beteiligt ist, wo doch auf ihrer online-Variante fleißig weitergeleitet wird (siehe AK: „kommerzielle digitale Überwachung im Alltag„, S. 64.).

Mitmachen Dennoch erwünscht

Beteiligen an der Forderung, die Charta der digitalen Grundrechte in EU-Recht aufzunehmen, kann sich jeder und jede ab jetzt und hier.

Einige der Formulieren finden sich bereits in der Europäischen Datenschutzgrundverordnung , die ja im Mai 2018 in Kraft tritt; damit werden europaweit einheitliche Regeln geschaffen (zB muss eine Einwilligung zur Datenverwendung eindeutig erfolgen und die Betroffenen müssen informiert werden).

Datenschutz am Arbeitsplatz kann man regeln – muss aber nicht

Für den Beschäftigten-Datenschutz kann sich jedes EU-Land eigene, spezielle gesetzliche Vorgaben schaffen (sog. Öffnungsklausel). Kollektivverträge und Betriebsvereinbarungen bleiben gültig und können auch den Beschäftigten-Datenschutz regeln.

Die deutsche Bundesministerin für Arbeit und Soziales, Andrea Nahles, kündigt im „Weißbuch Arbeit 4.0“ einige Vorhaben zum Beschäftigtendatenschutz an:

  • Erhalt der Regelungen zum betrieblichen Datenschutz,
  • Datenschutz-Index für Betriebe
  • interdisziplinärer ExpertInnen-Beirat aus ArbeitsrechtlerInnen, ArbeitsmedizinerInnen, ITlerInnen, betrieblichen Praktikerinnen und SozialpartnerInnen, der den Bestand betrieblicher DS-Regelungen aufnimmt, regelmäßig evaluiert und an die technologischen Entwicklungen anpasst.

Sobald sich etwas Konkretes in Österreich dazu tun, wird in diesem Blog berichtet; versprochen!

Schutz für Whistle-Blower muss her

pfeiferl2europäische Initiative für bessere rechtliche Absicherung

Es soll vorkommen, dass es schwerwiegende Missstände in Unternehmen gibt. Es soll auch vorkommen, dass derartige Missstände das Licht der Öffentlichkeit scheuen. Es soll mitunter passieren, dass Menschen diese Missstände doch ans Tageslicht bringen – und dann ins „Dunkel der Geschichte“ abtauchen (müssen), weil ihnen nicht geglaubt wird, weil sie als „Nestbeschmutzer“ gebrandmarkt werden oder sie schlicht und einfach aus dem Betrieb gemobbt/gebosst werden.

(Nähere Beispiele wurden in diesem Blog-Beitrag geschildert.)

was ist Whistle-Blowing

Nicht jedes Melden von Missständen oder unangebrachtem Verhalten ist gleich Whistle-Blowing. Als Whistle-Blowing  wird es nur bezeichnet, wenn der Vorfall von größerer Tragweite ist (zB Korruption und/ oder Bestechung im großen Stil), wenn Tatsachen aufgedeckt werden, wenn die Öffentlichkeit ein Interesse daran hat (zB Umweltverschmutzung, Ausgaben der öffentlichen Hand)

Whistle-Blowing leicht(er) gemacht

Um derartige Meldungen im Bereich der finanziellen Geschäfte (zB Bestechung, Betrug) außerhalb der betrieblichen Infrastruktur zu ermöglichen, hat die österreichische Korruptionsstaatsanwaltschaft eine entsprechende Stelle eingerichtet. Um verbotene Inhalte im Internet (zB Kinderpornographie, NS-Wiederbetätigung,…) melden zu können, haben die österreichischen Internet-Provider eine öffentliche Hotline eingerichtet. Viele Betriebe haben interne Meldestellen installiert, an die sich die Mitarbeiterinnen (manchmal auch anonym) wenden können. Amerikanische börsenotierte Konzerne, Banken und Pharmaunternehmen sind per Gesetz verpflichtet Whistle-Blowing-Hotlines zu errichten.

Was aber geschieht mit jenen, die Missstände melden?

Der weltweit wohl berühmteste Whistle-Blower lebt derzeit in einem Hotel in Moskau und hat seine Familie seit Jahren nicht mehr (live) gesehen. Andere landen im Militär-Gefängnis. Wieder andere halten dem Druck, der nach der Enthüllung auf sie ausgeübt wird, nicht stand. Von den meisten aber hört und sieht man nichts. Whistle-Blower, die Missstände bei ihren ArbeitgeberInnen aufzeigen, werden oftmals verleumdet, versetzt oder aus dem Betrieb verabschiedet.

EU-weit haben nun zahlreiche Gewerkschaften und NGOs eine Initiative zum Schutz der Whistle-Blower gestartet. Mit dem Slogan „Whistleblower brauchen EU-Schutz – Leben, Umwelt und Steuergelder stehen auf dem Spiel“ werden Unterschriften gesammelt, um eine Gesetzesmaßnahme zum einheitlichen und besseren Schutz von Missständen meldenden Menschen zu erreichen.

Beteiligt euch!

3.717 Personen sind euch schon zuvor gekommen!Whistleblowing_Mappe_900

PS: Wer zu Whistle-Blowing im Betrieb noch Informationen braucht und eine Betriebsvereinbarung dazu abschließen will, die/der ist mir der Mappe der GPA-djp gut versorgt.

 

 

 

eine Soziale Säule für Europa

Bild: Clara Fritsch, CC BY-NC

Bild: Clara Fritsch, CC BY-NC

eine tragende oder eine schwankende Säule?

Eigentlich ist es seit den Europäischen Verträgen von Nizza und Lissabon (2001 und 2007) nicht mehr ganz passend, das Bild der „Säulen“ zu verwenden. Offenbar ist die „Säulen“-Sprache aber so einprägsam und anhaltend, dass der – damals neue – Kommissionspräsident Jean-Claude Junker, sie wieder verwendet. Gemeinsam mit anderen KommissarInnen hat Juncker im September 2015 die Soziale Säule vorgestellt.

Soziales Triple-A für Europa

Bei der vielbeachteten Rede wurden – im europäischen Zusammenhang schon lange nicht mehr vernommene – Worte wie „Vollbeschäftigung“, „Sozialpartner“, „Arbeitslosigkeit“ oder „Armut“ ausgesprochen. Kommissarin Marianne Thyssen sprach davon, dass „man Seite an Seite mit den Sozialpartnern“ in Europa für ein „Soziales Triple-A“ sorgen müsse.

Hier eröffnete sich eine Gelegenheit,  stark vernachlässigte (und mitunter durch die Rechtsprechung des EuGh zusätzlich geschwächte) Themen nicht nur mehr Aufmerksamkeit zukommen zu lassen sondern im Idealfall auch soziale Mindeststandards für ganz Europa durchzusetzen.

Mitbestimmung und Arbeitsbedingungen sind wieder Thema

Durch Erfahrung wohl skeptisch geworden, schreibt man im ÖGB-Büro in Brüssel dazu:

„Das Bemühen der Kommission nach zeitgemäßen sozialpolitischen Zielen zu suchen ist grundsätzlich zu begrüßen. Die erneute Bezugnahme auf äußerst kritische frühere Initiativen wie Flexicurity oder Better Regulation, die eher den Sozialabbau vorangetrieben haben, lässt jedoch Zweifel aufkommen.“

Eine ausführlichere Auseinandersetzung mit der sozialen Säule haben Sarah Bruckner und Nikolai Soukup von der Arbeiterkammer für den Blog Arbeit & Wirtschaft verfasst.

so geht soziales Europa

Der Europäische Gewerkschaftsbund hat in einer ausführlichen und kritischen Stellungnahme bereits seine Vorschläge für ein sozialeres Europa umfangreich dargestellt. Ein kleiner Auszug:

  • Soziale Rechte müssen Vorrang vor wirtschaftlicher Freizügigkeit haben!
  • Das Recht sich gewerkschaftlich zusammenzuschließen und Ergebnisse von Kollektivvertragsverhandlungen dürfen nicht untergraben werden!
  • Das Recht, sich von Gewerkschaften vor Gerichten vertreten zu lassen (und zwar gratis, mit Beweislastumkehr und ausreichenden Fristen)!
  • Mindestanforderungen an gerechte Löhne und gerechte Arbeitsbedingungen (zB das Verbot von sogenannten Null-Stunden-Verträgen bei denen zwar Rufbereitschaft gefordert, aber nicht bezahlt wird wie in Großbritannien zunehmend der Fall)!
  • mehr öffentliche Investitionen in die soziale Infrastruktur (zB Krankenhaus, Kinderbetreuung, Forschung und Entwicklung,…)!
  • das Recht auf Wissen darüber, wer der Arbeitgeber/ die Arbeitgeberin ist!
  • überschießende Überwachung bei Bewerbungen aber auch im Arbeitsalltag muss verboten sein!
  • umfangreiche Hintergrund-Checks von Bewerberinnen und Beschäftigten (ich würde hier an Big-Data-Analysen denken) müssen verboten sein!

Der ÖGB ist dabei, zusätzliche Schwerpunkte und Ergänzungen auszuarbeiten und auch die Arbeiterkammer bereitet eine eigene Stellungnahme vor.

Im März 2016 wurde die Konsultation zur sozialen Säule eröffnet. Alle EU-BürgerInnen, Organisationen und Institutionen sind aufgerufen, sich daran zu beteiligen – entweder indem sie den eher eingeschränkten dafür schneller zu erledigenden Fragebogen beantworten oder eine eigenes Dokument an die Kommission schicken.  Wer jetzt Lust bekommen hat, sich unter die über 300 Personen und Organisationen zu mischen, die sich EU-weit bereits beteiligt haben, und sich selbst mal in eine Konsultation einzumischen, kann das hier und jetzt tun.

Schutzschild gegen Datenmissbrauch?

Brandungtransatlantischer Datentransfer erneuert

Die nächste Welle transatlantischer Verhandlungskünste brandet heran. Statt dem Abkommen über den „Sicheren Hafen“ soll nun das Abkommen „Pricacy Shield“ die personenbezogenen Daten von EU-BürgerInnen in den USA vor Missbrauch bewahren.

Schon lange bevor das Safe-Harbor-Abkommen zum Datenverkehr zwischen USA und EU vom EuGh gekippt worden war (die GPA-djp hat berichtet), war klar, dass bessere Regelungen her mussten – sonst hätte man sich wohl nicht bereits 2013 an den Verhandlungstisch gesetzt, um den gegenseitigen Datentransfer besser in den Griff zu bekommen.

Von europäischer Seite ging es vor allem darum, anlasslose Massenüberwachungen zu verhindern und EU-BürgerInnen einen besseren Rechtsschutz in den USA zu verschaffen – so wie er auch umgekehrt USA-BürgerInnen in Europa zusteht. Am 12. Juli 2016 haben die Europäischen Kommission und die us-amerikanische Wettbewerbs- und Verbraucherschutzbehörde (Federal Trade Commission, FTC) das sogenannte „Privacy Shield Framework“ unterschrieben. Ab 1. August können sich us-amerikanische Firmen nach den neuen Regelungen zertifizieren lassen.

VERBESSERUNGEN

Die freiwillige Zertifizierung nach dem neuen Abkommen wird von der FTC stärker kontrolliert werden.

Die Weitergabe von personenbezogenen Daten an Dritte ist nicht mehr möglich.

Eine ausführliche Beschreibung der neuen Regelungen und ihres Zustandekommens hat die deutschen Gesellschaft für Datenschutz und Datensicherheit zusammengefasst.

weiterhin Massen-DatensammEln möglich

Doch Einiges ist auch beim Alten geblieben. Die Gruppe der europäischen Datenschutzbehörden kritisiert in ihrer Stellungnahme zum Privacy Shield insbesondere, dass es keinen genügenden Schutz vor massenhaften und willkürlichen Datensammlungen gewährt (man muss nur den Zweck der Datenanwendung ändern und schon sei das Ganze nicht mehr ganz so verboten) und dass die Zuständigkeiten der sogenannten „Ombudsperson“, an die sich europäische BürgerInnen mit ihren (rechtlichen) Datenschutz-Anliegen wenden können, nicht ausreichend geklärt sind (der direkte Zugang zu ordentlichen Gerichten ist nach wie vor nicht möglich).

Weiter Kritikpunkte sind:

  • der Geltungsbereich bezieht sich nur auf einige Branchen
  • Datenlöschung wenn diese nicht mehr gebraucht werden, ist nicht explizit festgehalten
  •  Schutz vor automatisierten Einzelentscheidungen (Stichwort: profiling) ist nicht ausreichend

… Fortsetzung folgt…

Böse Zungen behaupten, dass sich auch bei diesem „Datenschutz“-Abkommen früher oder später jemand finden wird, der oder die es genau wissen will und die ganze Materie zum Europäischen Gerichtshof trägt…