Category Archives: Gesetz

Was sie schon immer über die DSGVO wissen wollten

Toni Hegewald/pixelio.de

häufig gestellte Fragen zum Beschäftigten-Datenschutz

und die Antworten darauf

Seit 25.5.2018 ist die Europäische Datenschutzgrundverordnung in Kraft und gilt in der gesamten Europäischen Union. Dadurch erhält das Thema Beschäftigtendatenschutz großen Auftrieb. Der Umgang mit den personenbezogenen Daten von Beschäftigten (z.B. Personalakte, Vordienstzeiten, Heiratsurkunden, Gehalt, Fotos, etc.) wirft Fragen auf.

Wir haben die häufigsten Fragen, die bei unserer Beratungstätigkeit in den letzten Monaten gestellt wurden, für euch zusammengefasst.

Was bedeutet Beschäftigtendatenschutz?

Die DSGVO bestimmt erstmals, dass es überhaupt einen eigenen Beschäftigtendatenschutz gibt – bislang hatte nur Deutschland einen solchen rechtlich vorgesehen. Der Artikel 88 zur „Datenverarbeitung im Beschäftigungskontext“ stellt nun klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten (z.B. als KonsumentIn oder StaatsbürgerIn, etc.) verarbeitet werden. Im Artikel 88 der DSGVO ist nun festgehalten, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Die Themen, die sozialpartnerschaftlich geregelt werden können, umfassen: Regelung zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.

Was sind „sensible Daten“ (die nun in der DSGVO „besondere Kategorien personenbezogener Daten“ genannt werden), die besonders zu schützen sind?

Die „besonderen Kategorien personenbezogener Daten“ sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Besondere Kategorien sind: politische Meinung, Gewerkschaftszugehörigkeit, ethnische oder rassische Herkunft, Gesundheitsdaten, sexuelle Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen.

Im Allgemeinen ist es laut DSGVO verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen oder, weil ein Gesetz es vorschreibt. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat, oder eine gesetzliche Vorschrift es verlangt (z.B. Arbeits- und Sozialversicherungsrecht), oder aufgrund der öffentlichen Gesundheitsvorsorge. Dazu gehören auch die notwendigen arbeitsmedizinischen Daten.

Was ist das Grundrecht auf Datenschutz?

Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten, so wie zum Beispiel auch das Recht auf die freie Meinungsäußerung, oder das Recht auf Erwerbsfreiheit, oder das Verbot von Sklaverei und Folter. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person an wen weitergeben werden.

Was sind eigentlich die Ziele der DSGVO?

Mit der DSGVO sollte die alte EU-Richtlinie zum Datenschutz von 1995 aktualisiert werden. In der DSGVO sollen die individuellen Grundrechte der Menschen gewahrt werden und zugleich soll die DSGVO den freien Datentransfer für Unternehmen innerhalb der EU sicherstellen. Man kann sich vorstellen, dass das ein breites Spektrum an Anliegen und Interessen umfasst und daher ein ziemlicher „Spagat“ gemacht werden musste.

Was bedeutet das „Marktortprinzip“?

Dieses legt fest, dass jede Geschäftstätigkeit auf dem Territorium der EU der DSVGO unterliegt. Dies hat zur Folge, dass auch nicht in der EU ansässige AnbieterInnen von Apps oder digitalen Dienstleistungen sich an die DSVGO halten müssen. Daher müssen Nicht-EU Unternehmen, die in der EU tätig sind, eine/n VertreterIn benennen, der/die AnsprechpartnerIn für die nationale Datenschutzbehörde ist. Die neue DSGVO ist an das EU-weite Wettbewerbsrecht angelehnt und es gilt daher das Marktortprinzip.

Was sind die Grundprinzipien der DSVGO?

Jede Datenverwendung muss einen rechtmäßigen Zweck verfolgen. Die Zweckbindung der personenbezogenen Daten ergibt sich aufgrund gesetzlicher, kollektivvertraglicher oder privatrechtlicher Vorschriften bzw. Verträge (Rechtmäßigkeit). Schreibt zum Beispiel der Kollektivvertrag ein Jubiläumsgeld vor, so muss dem BR das Eintrittsdatum, den Namen und das Monatsgehalt des betroffenen Kollegen/der betroffenen Kollegin bekannt sein, weil sonst eine Auszahlungskontrolle für den BR nicht möglich wäre.

Dabei ist zu beachten, dass ausschließlich für den Zweck notwendige personenbezogene Daten verwendet werden (Sparsamkeitsprinzip). Bezogen auf das Jubiläumsgeld wird der BR wie oben angeführt den Namen, das Eintrittsdatum sowie das Monatsgehalt der betroffenen Person wissen müssen.

Erlischt der Zweck für den die notwendigen personenbezogenen Daten benötigt wurden, so sind die Daten ebenfalls zu löschen (Datenminimierung), außer man muss sie aus gesetzlichen Vorschriften noch aufbewahren (z.B. Steuerrecht). Damit der BR überprüfen kann, ob der AN das jeweilige zustehende Jubiläumsgeld erhalten hat, wird er die dafür notwendigen Daten solange aufbewahren müssen, bis der Anspruch auf Jubiläumsgeld erloschen ist. Verlangt der AN Auskunft, über welche und zu welchem Zweck seine Daten verwendet werden, so muss nun auch die vorgesehene Speicherdauer angegeben werden (Transparenz). Dabei ist immer auf die Richtigkeit der verwendeten Daten zu achten.

Auch muss der Verantwortliche (= meist der/die ArbeitgeberIn) nachweisen können, dass sämtliche Grundsätze bei der Datenverwendung eingehalten werden (Rechenschaftspflicht).

Müssen ArbeitnehmerInnen ihnen von dem/der ArbeitgeberIn vorgelegte „Datenschutz- und Geheimhaltungserklärungen“ unterschreiben?

NEIN. Dies ist datenschutzrechtlich nicht erforderlich. Die hier geforderte Geheimhaltung und Einhaltung des Datenschutzes ergibt sich ohnehin aus dem Arbeitsverhältnis und der Loyalität, die ArbeitnehmerInnen den ArbeitgeberInnen schulden.

Beschäftigte werden häufig mit „Datenschutzerklärungen“ (§ 6 DSG 2018) konfrontiert, die Konventionalstrafen bei Nichteinhaltung des Datenschutzes androhen. Das zu unterschreiben führt zu einer Änderung des Einzelvertrages. Dieser Passus sollte also jedenfalls gestrichen werden. Im Zweifelsfall bei uns in der GPA-djp beraten lassen.

Einer Unterschrift im Sinne von „ich habe die Belehrung gelesen und halte personenbezogene Daten aus dem Arbeitsverhältnis geheim“ steht nichts im Wege. Das ist dann eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen, die ohnehin aus der Loyalitätspflicht im Arbeitsverhältnis entsteht. Auch die Zustimmung zu einer Datenweitergabe an den/die ArbeitgeberIn betreffend personenbezogener Daten, die zur Abwicklung des Dienstverhältnisses erforderlich sind, ist wohl nicht problematisch.

Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?

Nein, sie müssen nur der neuen DSGVO angepasst werden. Hier ist vor allem darauf zu achten, dass die Verweise auf gesetzliche Vorschriften noch richtig sind. Wenn beispielsweise in einer BV bereits von einem/r betrieblichen Datenschutzbeauftragte/n die Rede war, muss diese Regelung jetzt überprüft werden, ob nicht in der DSGVO vielleicht etwas Anderes steht. Auch allfällige Verweise auf den Gesetzestext des alten Österreichischen Datenschutzgesetzes (DSG 2000) müssen dem neuen Datenschutzgesetz 2018 angepasst werden. Die Verpflichtungen Betriebsvereinbarungen gemäß Arbeitsverfassungsgesetz §§ 96-97 abzuschließen, bleiben wie sie sind.

Was hat es mit der Datenschutz-Folgenabschätzung auf sich?

Diese muss erfolgen, wenn aus der Datenverwendung durch den Verantwortlichen ein großes Risiko für Eingriffe in die Grundfreiheiten der Betroffenen entsteht, wie z.B. beim permanenten GPS-Tracking oder der Videoüberwachung der ArbeitnehmerInnen. Ebenfalls notwendig ist eine solche Folgenabschätzung bei der systematischen und umfassenden Bewertung persönlicher Aspekte von Personen (z.B. profiling), oder der Verwendung von besonderer Datenkategorien.

Welche Mitspracherechte hat der Betriebsrat bei der Folgenabschätzung?

Grundsätzlich hat der/die ArbeitgeberIn die Pflicht im Sinne des § 91 Abs 2 ArbVG den Betriebsrat zu informieren, welche Arten von personenbezogene ArbeitnehmerInnendaten er aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht. Auf Verlangen des Betriebsrates kann dieser die Grundlagen der Verarbeitung und Übermittlung der Daten überprüfen. Daher muss bei einer Folgenabschätzung der Betriebsrat von Anfang an informiert und einbezogen werden.

Außerdem steht in der DSGVO, dass bei der Folgenabschätzung „der Standpunkt der Betroffenen oder ihrer Vertreter“ einzuholen ist. Also muss wohl auch der Betriebsrat mit an Bord genommen werden.

Was ist neu bei Datentransfer in Drittstaaten und welche Rechte hat der Betriebsrat/ die Betriebsrätin?

Da für alle Mitgliedsstaaten der EU die DSGVO, so wie sie ist, anzuwenden ist (sie muss also nur in bestimmten Angelegenheiten noch zusätzlich in nationalstaatliches Recht umgesetzt werden, wie z.B. bei Datenverarbeitung im Beschäftigungskontext, den Aufgaben der Datenschutzbehörden oder der Bestellung von betrieblichen Datenschutzbeauftragten), haben alle EU-Mitgliedsstaaten das gleiche Datenschutzniveau und bedarf es keiner zusätzlichen besonderen Regelungen für Datentransfer innerhalb der EU.

Bei Datentransfer außerhalb der EU müssen zusätzlich rechtliche Maßnahmen getroffen werden, denn Drittstaaten müssen erst „beweisen“, dass personenbezogene Daten bei ihnen genauso gut geschützt sind, wie innerhalb der EU.

Die DSGVO enthält einige rechtliche Möglichkeiten. Manche davon gibt es schon länger (z.B. Standardvertragsklauseln oder einen Angemessenheitsbeschluss, wie er für alle Länder des EWR-Raumes sowie Israel, Chile gegeben ist) andere sind neu hinzugekommen (z.B. Zertifizierungen). Für Datentransfer in die USA können sich dort ansässige Unternehmen dem so genannten „Privacy Shield“ unterwerfen (Auf der Seite des US-amerikanischen Handelsministeriums https://www.privacyshield.gov/list kann man diese Firmen aufgelistet finden).

Alle diese Transfermöglichkeiten in Dritt-Staaten folgen aber strengen Auflagen und müssen von der nationalen Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt worden sein.

Bei den Mitspracherechten des Betriebsrates in diesem Fall sei auch hier auf die Informationsrechte gemäß § 91 Abs 2 ArbVG verwiesen. Zusätzlich kann der Betriebsrat, wenn durch den Datentransfer personenbezogene Daten oder besondere Kategorien personenbezogener Daten von ArbeitnehmerInnen betroffen sind, den Abschluss einer Betriebsvereinbarung im Sinne des § 96a ArbVG verlangen. Solange eine solche Betriebsvereinbarung nicht abgeschlossen ist, können die Daten nicht transferiert werden (außer die Schlichtungsstelle des Arbeits- und Sozialgerichts hat nach deren Anrufung durch den Arbeitgeber/ die Arbeitgeberin ihre Zustimmung erteilt).

Was muss beachtet werden bei der Nutzung von Firmen eigenen Handys und Computern?

Die Geschäftsführung kann einseitig Regeln zum allgemeinen Datenschutz im Betrieb festlegen. (Wenn die Datenschutzbehörde diese genehmigt, können sie auch als Grundlage für Datentransfer in Dritt-Staaten dienen.) Diese Datenschutzvorschriften können auch Regelungen bezüglich der privaten Nutzung von Handys und Laptops beinhalten. Trotzdem muss mit dem Betriebsrat eine Betriebsvereinbarung (BV) über die Nutzung von Diensthandys und Laptops abgeschlossen werden (§ 96a ArbVG) . Es ist ratsam auch die private Nutzung der IKT-Geräte in einer BV zu regeln. Es sollte klar vereinbart sein, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte seitens des Unternehmens bestehen. Die GPA-djp bietet Muster-Vereinbarungen und Beratung durch den/die betriebsbetreuende/n Regionalsekretär/in auch zu diesem Thema an.

Welche Mitspracherechte hat der Betriebsrat bei Branchen- oder konzernweiten Verhaltensrichtlinien?

Konzerne oder ganze Branchen können sich auf einheitliche Datenvorschriften einigen und von der nationalen Datenschutzbehörde genehmigen lassen. Solche Vorschriften sind dann auch Rechtsgrundlage für Datentransfers in Nicht-EU-Länder, wenn also zum Beispiel Daten von MitarbeiterInnen an die Konzernzentrale in Florida oder in der Ukraine geschickt werden. Diese Vereinbarungen müssten natürlich die Grundprinzipien der DSGVO beinhalten (z.B. Zweckbindung, Speicherfristen, datenschutzfreundliche Technikgestaltung). Die DSGVO selbst sieht explizit keine speziellen Mitbestimmungsrechte des Betriebsrates vor.

Allerdings ist auch hier auf die Informations- und Mitbestimmungsrechte zu verweisen sobald personenbezogene Daten von ArbeitnehmerInnen betroffen sind (§§ 89, 90, 91, 92, 96 und 96a ArbVG) . Also jeder einzelne Betrieb hat seinen Betriebsrat über Weitergabe personenbezogener ArbeitnehmerInnen-Daten in Drittländer im Vorhinein zu informieren (§ 91 ArbVG). Auf Verlangen des Betriebsrates sind entsprechende Beratungsgespräche zu führen und die Prüfung der Grundlagen für die Übermittlung und Verarbeitung zu ermöglichen (§§ 91, 92 ArbVG). Dabei muss festgestellt werden, ob Betriebsvereinbarungen abzuschließen sind (§§ 96 und 96a ArbVG).

Wann muss ein/e betriebliche/r Datenschutzbeauftragte/r eingeführt werden?

Wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Datenverarbeitung ist (z.B. Verkehrsüberwachung mit Kameras) bzw. wenn besondere Kategorie von personenbezogenen Daten verarbeitet werden (z.B. Gesundheitsdaten). Behörden haben immer einen zu bestellen. Viele Unternehmen  – vor allem international tätige – entscheiden sich im Zweifelsfall für die Ernennung eines/einer Datenschutzbeauftragten, da sie sich damit besser absichern können.

Was ist die Aufgabe des/ der betrieblichen Datenschutzbeauftragten?

Aufgabe des/der Datenschutzbeauftragten ist die Kontrolle der Einhaltung des DSGVO, Beratung des Managements, die Schulung und Information der ArbeitnehmerInnen, KundInnen und GeschäftspartnerInnen. Er/Sie ist Schnittstelle und AnsprechpartnerIn für die Datenschutzbehörde.

Kann der/ die betriebliche Datenschutzbeauftragte auch gleichzeitig der/ die IT-Sicherheitsbeauftragte eines Betriebes sein?

Grundsätzlich ja, im Gesetz ist das nicht verboten. Doch erscheint es wenig sinnvoll, da MitarbeiterInnen der IT in erster Linie für die Daten- und Netzsicherheit zuständig sind. So könnten in manchen Bereichen durchaus Interessenskonflikte entstehen.

Haftet der/ die Datenschutzbeauftragte falls Bußgelder verhängt werden?

Nein, da sie oder er nur berät, kontrolliert und schult, aber nicht entscheidet wie mit personenbezogene Daten umgegangen wird. Der/die betriebliche Datenschutzbeauftragte kann nicht bestimmen, wie das Unternehmen mit personenbezogenen Daten umgeht, nur beraten, schulen, und Ähnliches. Daher haftet er/sie auch nicht – außer er/sie missachtet seine/ihre Befugnisse, überschreitet sie, verletzt selbst Datenschutzbestimmungen, oder verhält sich sonst wie strafbar.

Gilt die DSGVO auch bei Akten in Papierform oder bei einzelnen Blättern im Hängeordner?

Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z.B. ein Personalverwaltungsakt) unterliegt der DSGVO (vgl. Art 2 Abs 1). Also müssen auch analog aufbewahrte Daten gemäß den Vorgaben der DSGVO behandelt werden. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen, der Ordner „Privat“ oder die lose Sammlung von Visitenkarten zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.

Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?

Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln oder „nur“ das Verhalten von Menschen in der EU beobachten, müssen sie die Grundprinzipien einhalten und die Grundrechte der Menschen wahren, egal ob sie im EU-Raum über eine reale Niederlassung verfügen oder nicht (siehe Art 3 und EG 22-25). Dieses neue Prinzip ist auch unter dem Titel „Marktortprinzip“ bekannt.

Gibt es in der DSGVO ein Privileg für Konzerne, damit diese Datentransfers einfacher durchführen können?

JEIN, es wurden mit der DSGVO mehrere Möglichkeiten innerhalb des Konzerns geschaffen, die den internationalen Datentransfer erleichtern sollen. Es gibt aber keine generelle „Freigabe“ für Konzerne, damit diese die personenbezogenen Daten der ArbeitnehmerInnen ohne Schranken durch die „Weltgeschichte“ schicken dürfen.

Wie ist das mit Datenverarbeitungen im Betriebsratsbüro?

Wer jetzt neugierig geworden ist und Betriebsrat oder Betriebsrätin ist und sich auf der Homepage der GPA-djp einloggt, kann zusätzlich Antworten zur Datenverarbeitung im Betriebsratsbüro bekommen.

Neue Datenschutzregeln in Kalifornien

Quelle: Bilderbox

Die DSGVO wird nun in anderen Teilen der Welt zum Vorbild genommen

In Europa herrschte in den letzten Wochen und Monaten große Aufregung über das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO), deren Entstehungsgeschichte unter anderem auf diesem Blog  intensiv begleitet wurde. So wurden Vorwürfe erhoben, die gesetzlichen Neuerungen, die die DSGVO mit sich brachte, würden große bürokratische Hürden insbesondere für kleine und mittelständische Unternehmen aufstellen.   die Vorteile für Einzelpersonen, die sich nun unmittelbar auf die Bestimmungen der Verordnung berufen und ihre Rechte in Bezug auf den Schutz ihrer personenbezogenen Daten besser durchsetzen können, oftmals weniger diskutiert.

Für stärkeren Datenschutz wurde kampagnisiert…

Inzwischen scheinen die Inhalte der DSGVO jedoch bereits über das Gebiet der Europäischen Union hinaus auszustrahlen. Die Verordnung wird in anderen Teilen der Welt geschätzt und zum Vorbild für ähnliche legislative Maßnahmen genommen. So konstituierte sich in den vergangenen Monaten im US-Bundesstaat Kalifornien eine BürgerInneninitiative und machte sich für ein strengeres Datenschutzrecht auf bundesstaatlicher Ebene stark. Der Auslöser für die Beschäftigung mit dem Thema Datenschutz war der Initiatorin zufolge ein privates Gespräch mit einem Google-Mitarbeiter. Dieser habe eingeräumt, die Menschen würden sich wohl stärker um ihre Privatsphäre sorgen, wenn ihnen bekannt wäre, was Google alles über sie weiß.

Gefordert wurde insbesondere ein Widerspruchsrecht zum Verkauf von NutzerInnendaten durch Technologieunternehmen wie Google oder Facebook an Dritte sowie eine Verantwortlichkeit jener Unternehmen für den Fall von data breaches. Zudem sollte NutzerInnen gegenüber offengelegt werden, welche ihrer Daten verarbeitet und an wen sie verkauft werden. Entsprechend ablehnend reagierten die zu einem Teil auch in Kalifornien ansässigen Technologiekonzerne und starteten unter hohem finanziellem Aufwand eine Gegenkampagne.

…und dieser letztlich auch umgesetzt.

Unter dem Druck der Initiative wurde im vergangenen Juni tatsächlich der California Consumer Privacy Act of 2018  beschlossen und soll mit 2020 in Kraft treten. Mit einer im Vergleich zu den Forderungen der Initiative nicht unwesentlichen Änderung: Unternehmen müssen bloß Auskunft darüber geben, an welche „Kategorie“ von Unternehmen NutzerInnendaten weiterverkauft werden, die EmpfängerInnen der Daten müssen jedoch nicht benannt werden.

Zumindest im Sinne der KonsumentInnen werden ab 2020 in Kalifornien also die Regeln über den Datenschutz gestärkt. Zwar werden die hohen Standards, die von der EU-DSGVO vorgegeben werden, nicht erreicht und insbesondere auch nicht dieselbe Fülle an individuellen Rechten gewährt. Immerhin wird künftig aber auch in Kalifornien für Unternehmen, die mit dem Verkauf von NutzerInnendaten Geschäfte machen, der Rechtfertigungsdruck steigen.

12-Stunden-Tag? NEIN Danke!

arbeiten bis zum Umfallen? Lieber nicht!

was die Regierung zur Arbeitszeit plant – und was die Gewerkschaft dagegen unternimmt

Möchten sie Magenschmerzen, Schlafstörungen, Alkoholprobleme und weniger selbst bestimmte Freizeit? Dann hat diese Regierung genau das richtige Paket für sie geschnürt. Es ist nämlich erwiesen, dass längere Arbeitstage massive Auswirkungen auf die Gesundheit haben.

Per Initiativantrag  – also ohne ausreichende Möglichkeit zur Stellungnahme geschweige denn vorherige Verhandlungen – sollen am 4.Juli 2018 im Parlament die täglichen Arbeitszeiten auf 12 Stunden, die wöchentlichen auf 60 Stunden erhöht und die Durchrechnungszeiträume auf den St. Nimmerleinstag verschoben werden. Und wer das Regierungsvorhaben bis zum Schluss weiter liest, sieht eine – datenschutzrechtlich nicht ganz unbedenkliche – Gesetzesänderung für die Krankenkassen: eine Analyse aller Versicherten soll „ungewöhnliche“ Krankenstände besser erkennen können – man könnte es auch „Spy-Software“ nennen.

Die Regierung sagt: 12 Stunden am Tag, 5 Tage die Woche, 9 Wochen am Stück; das ist modern.

Die Gewerkschaft stellt fest: Arbeitszeiten gehören verkürzt, nicht verlängert. In Notsituationen und mit Zustimmung des Betriebsrates ist ein 12-stündiger Arbeitstag auch jetzt schon möglich – aber mit entsprechendem Ausgleich. Das jetztige Vorhaben ist ein riesiger Rückschritt.

Die Regierung sagt: Das sind flexible Arbeitszeiten.

Die Gewerkschaft stellt fest: Flexibilität muss auf beiden Seiten bestehen und darf nicht zum Wunschkonzert für ArbeitgeberInnen werden. Die Möglichkeit zu Mehr- und Überstundenarbeit bestehen bereits jetzt – wenn der Kollektivvertrag es vorsieht bzw. die Arbeitsmediziner bestätigen, dass es unbedenklich ist. Damit sind längere Arbeitszeiten besser abgesichert als bei dem neuen Vorhaben.

Die Regierung sagt: Überstunden sind freiwillig.

Die Gewerkschaft hält fest: Das ist in dem neuen Vorhaben nicht wirklich festgehalten. Die ArbeitnehmerInnen müssten begründen, warum sie nicht länger bleiben wollen und der Arbeitgeber bestimmt, ob er den Grund akzeptiert oder nicht. Wer oft ablehnt, wird den Job wohl nicht lange behalten. Außerdem wird in Österreich schon jetzt mehr gearbeitet als in den meisten anderen EU-Ländern geleistet.

Die Regierung sagt: Überstunden werden weiterhin ausbezahlt.

Die Gewerkschaft stellt fest: Bei Gleitzeit werden die Überstundenzuschläge nicht mehr fällig.

Die Regierung sagt: Mit dem Risiko- und Auffälligkeitsanalyse-Tool können Missbräuche bei Krankenständen besser aufgedeckt werden.

Die Gewerkschaft hält fest: Damit steigt der Rechtfertigungsdruck, weil den Beschäftigten generell einmal unterstellt wird, dass sie „krank feiern“. Außerdem werden damit Gesundheitsdaten für Zwecke verwendet, für die sie nicht gesammelt wurden.

Es ist eindeutig: diese Vorlage ist ein Angriff auf die Geldbörsen, die Gesundheit und das Familienleben bzw. die Freizeit der Arbeitnehmerinnen und Arbeitnehmer.

Dagegen wird von Seiten der Gewerkschaft mobilisiert:

Am 25.6. findet um 16 Uhr im ÖGB eine Versammlung 

für alle Betriebsräte und Betriebsrätinnen Wiens zu der Attacke der Regierung auf die Arbeitszeit statt. In allen anderen Bundesländern finden zwischen 21. und 25.6. ebensolche Veranstaltungen statt. Welche Bundesländer sich wann und wo versammeln, steht hier.

Am 30.6. wird um 14 Uhr eine Demo am Westbahnhof

gegen den 12-Stunden-Tag statt finden. Zahlreiche Beschäftigte und BetriebsrätInnen haben schon angekündigt, dass sie da ihrer Empörung Ausdruck verleihen werden.

Der ÖGB richtet von Montag, 25.6. bis Freitag, 5.7., Mo-Fr von 9:00 bis 18:00 Uhr eine Hotline ein für alle Arbeitnehmerinnen und Arbeitnehmer, die sich zu dem Regierungsvorhaben informieren wollen: 0800 22 12 00 60.

Wer möchte, kann die Kampagne unterstützen, indem man die Email-Signatur ändert. Hier gibt es die Grafik dazu zum Download.

Auf einer eigenen Seite findet ihr alle Informationen und Materialen , Einschätzungen, Analysen, Demoaufruf, etc.

Eine Richtigstellung der Falschmeldungen betreffend der 4-Tage-Woche von Regierungsseite hat die GPA-djp zusammengestellt.

Zeigen wir alle gemeinsam der Regierung, WAS wir VON ihreM aRBEITSZEITGESETZ HALTEN!

Urteile deutscher Arbeitsgerichte zur Mitbestimmung

Quelle: Bilderbox

Ein datenschutzrechtlicher Blick zu den NachbarInnen in Deutschland…

Natürlich ist ein Urteil aus dem Nachbarland keine Garantie dafür, dass ein/eine RichterIn in Österreich das genauso sehen würde. Nachdem sich aber die Rechtslage sehr ähnelt – was bei und Arbeitsverfassungsgesetz heißt, läuft in Deutschland unter dem Namen Betriebsverfassungsgesetz – ist doch eine gewisse Aussagekraft vorhanden.

Der Outlook-Kalender als Überwachungsmaßnahme?

Microsoft Outlook wird in vielen Unternehmen als Mailprogramm und internes Kommunikationstool verwendet. Das ist rechtlich problematisch.

Dabei steht weniger die Email-Funktion im Fokus als die Kalenderfunktion. So ist es möglich und durchaus üblich, dass Gruppenkalender eingerichtet werden, auf die sämtliche Mitglieder einer Abteilung zugreifen, um einerseits zu sehen, wann ein/eine bestimmter/bestimmte MitarbeiterIn verfügbar ist und andererseits auch selbst Termine in fremden Kalendern eintragen zu können.

Mit einer Rechtsfrage rund um den Einsatz eines Outlook-Kalenders hatte sich Anfang 2017 auch das deutsche Landesarbeitsgerichts Nürnberg (Urteil vom 21.02.2017, GZ 7 Sa 441/16) zu befassen. Im konkreten Fall wurde ein Arbeitnehmer von seinem Vorgesetzten angewiesen, den Outlook-Gruppenkalender zur Verwaltung seiner betrieblichen Termine zu verwenden. Das Problem dabei: Auch der Vorgesetzten nutzte diesen Kalender, weshalb der Arbeitnehmer dieses Ansinnen ablehnte. In der Folge wurde der Arbeitnehmer abgemahnt woraufhin er Klage erhob.

Wurde das Mitbestimmungsrecht des Betriebsrats gewahrt?

Er brachte vor, mithilfe des Gruppenkalender lasse sich ein Verabredungsprofil erstellen, überdies stelle der Kalender nach deutscher Rechtslage eine mitbestimmungspflichtige technische Einrichtung dar. Jedoch sei der Outlook-Kalender ohne eine Betriebsvereinbarung eingeführt worden und somit unrechtmäßig. Der Kläger könne also nicht zu einer Verwendung verpflichtet werden und die Abmahnung sei daher aus dem Personalakt zu entfernen.

Der Arbeitgeber, entgegnete, es bestehe sehr wohl eine Betriebsvereinbarung über die Nutzung von Informations- und Kommunikationstechnologie, in der geregelt sei, dass der Arbeitgeber Zugang zu allen relevanten dienstlichen Informationen habe.

Ein Outlook-Gruppenkalender ist zustimmungspflichtig

Das Gericht bestätigte, dass die beklagte Partei den Kläger zu Unrecht abgemahnt habe. Der Gruppenkalender ist nach Ansicht des Gerichts ein Überwachungsinstrument und er ist objektiv geeignet, Verhaltens- oder Leistungsinformationen der ArbeitnehmerInnen zu erheben und aufzuzeichnen. Dabei kommt es auf eine subjektive Überwachungsabsicht des/der ArbeitgeberIn nicht an. Die von der beklagten Partei erwähnte Betriebsvereinbarung regelt in erster Linie die private Nutzung von Informations- und Kommunikationstechnologie und kann daher nicht als vorweggenommene Zustimmung des Betriebsrates zur Einführung des Outlook-Kalenders gewertet werden.

Keine Privatsphäre bei Apple?

Die Videoüberwachung am Arbeitsplatz ist fast schon ein „klassisches“ datenschutzrechtliches Problem Der Technologieriese Apple überwacht in seinen Stores MitarbeiterInnen bei der Arbeit. Das Arbeitsgericht Frankfurt (Urteil vom 08.11.2013, GZ 22 Ca 9428/12) erkannte das als unzulässig.

Schadenersatz für umfassende Überwachung?

Ein Arbeitnehmer, der in einem Hamburger Store als „Genius“, also als Techniker, der die Geräte von KundInnen reparierte, beschäftigt war, klagte das Computerunternehmen und brachte vor, dass dieses seine Beschäftigten dauerhaft bei der Arbeit filmen würde. So seien Kameras in allen Räumen installiert, überwacht würden nicht bloß auf die Verkaufsflächen, sondern auch den hinteren, nicht für die Öffentlichkeit zugänglichen Bereich des Geschäfts. Dort befinden sich sowohl die Arbeitsplätze der TechnikerInnen sowie ein auch als Pausen- und Umkleideraum genutztes Besprechungszimmer. Ferner loggen sich die MitarbeiterInnen hier ins Zeiterfassungssystem ein. Die Überwachung bezog sich nach Meinung des Klägers also nicht nur auf die Arbeitstätigkeit als solche, sondern auch auf Pausen und Zeiten des Umkleidens.

Beim Kläger sei aufgrund der umfassenden Videoüberwachung eine psychische Belastung in Form eines latenten Überwachungs- und Anpassungsdrucks eingetreten, welche zu Angst, Misstrauen und Unsicherheit geführt sowie die Unbefangenheit seines menschlichen Verhaltens beeinträchtigt und das Gefühl des Ausgeliefert-Seins bewirkt habe, weshalb er Schmerzengeld begehrte.

Apple hat sich eine Zustimmungserklärung unterschreiben lassen

Apple Deutschland bestritt die Videoüberwachung nicht und erklärte, die Überwachung diene der Aufklärung möglicher Diebstähle, Unterschlagungen und ähnlicher Straftaten, nicht jedoch der gezielten Überwachung der MitarbeiterInnen. Außerdem habe der Kläger freiwillig ein Formular zur Einwilligung in die Videoüberwachung unterschrieben, das allerdings im Personalakt des Klägers nicht mehr aufgefunden und daher auch nicht als Beweismittel vorgelegt werden konnte.

Abgesehen davon, dass die tatsächliche Zustimmung also nicht nachgewiesen werden konnte, ist es auch höchst zweifelhaft, ob diese überhaupt gültig gewesen wäre. Schließlich handelt es sich im Arbeitsverhältnis immer um ein Machtungleichgewicht, wo nur selten von tatsächlicher „Freiwilligkeit“ die Rede sein kann.

Umfassende Videoüberwachung am Arbeitsplatz ist nicht erlaubt

Das Arbeitsgericht Frankfurt entschied, dass die allumfassende Videoüberwachung am Arbeitsplatz einen schwerwiegenden und grundsätzlich nicht erlaubten Eingriff in das allgemeine Persönlichkeitsrecht darstellt. Sie ist also unzulässig. Das Gericht sprach dem Kläger Schmerzengeld in der Höhe von EUR 3500,00 zu. Dass die Videokameras offen und nicht verdeckt angebracht waren und sich der Kläger zeitweise aus dem Sichtbereich der Kameras bewegen konnte, ändert an der Unzulässigkeit nichts. Da nicht nur öffentliche, sondern auch nicht-öffentliche Bereiche des Geschäfts überwacht wurden, könne sich Apple auch nicht darauf berufen, mit den Kameras einen Abschreckungseffekt der Öffentlichkeit gegenüber erzielen zu wollen.

„Bei uns tät‘ es das nicht geben“

In Österreich ist eine derartige Kamerainstallation an sich rechtswidrig. Sie widerspricht folgendem Gesetzestext aus dem DSG 2018: „Unzulässig ist 1. eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich, 2. eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,…“

Eine Kamera in Umkleideräumen, Toiletten oder Pausenräumen kommt somit gar nicht in Frage und sie darf grundsätzlich nur zum Schutz von Personen oder Sachen verwendet werden.

Überdies würde ein österreichisches Gericht wohl in Fragen von Datenschutzverletzungen wohl auch kein Schmerzengeld zusprechen.

Für die umfassende Videoüberwachung, der Apple Deutschland seine MitarbeiterInnen unterwirft, wurde Apple im Jahr 2013 übrigens mit dem datenschutzrechtlichen Negativpreis Big Brother Award ausgezeichnet.

Die Datenschutzgrundverordnung aus Sicht der Arbeitnehmer_innen

Die Europäische Datenschutzgrundverordnung aus Sicht der ArbeitnehmerInnen

Broschüre der GPA-djp völlig neu  überarbeitet

Nach einer vierjährigen Diskussionsphase in den EU-Gremien und einer Vorbereitungsphase von zwei Jahren für die EU-Mitgliedsstaaten ist ab Mai 2018 die Datenschutzgrundverordnung (DSGVO) gültig. Mit 25.5. geht’s also los – dann gibt es für alle EU-Mitgliedsländer ein – weitgehend – einheitliches Datenschutzregime.

Die tägliche Beratungsarbeit der Abteilung Arbeit & Technik der GPA-djp zeigt, dass der Schutz der Privatsphäre ein immer wichtigeres Gut der Arbeitnehmer und Arbeitnehmerinnen wird. Betriebsrätinnen und Betriebsräte sind zunehmend darum bemüht, dieses Gut effektiv am Arbeitsplatz zu schützen. Damit man sie hat wenn man sie braucht, wurde daher in der vorliegenden Broschüre zusammengefasst, was an der DSGVO innerbetrieblich von Belang ist. Wer wissen möchte, was es mit dem neuen Gesetz auf sich hat und was das für die betriebliche Praxis bedeutet, für diese Leserinnen eignet sich die Broschüre. Es sind kurz und knapp die wichtigsten Inhalte der DSGVO dargestellt, die häufigsten Fragen aus Sicht von Betriebsrätinnen und Betriebsräten beantwortet und praktischer Weise ist im Anhang der Gesetzestext widergegeben, sodass man ihn immer als Hilfs- und „Beweismittel“ zur Hand hat.

Einige Elemente in der DSGVO sind tatsächlich neu, einige sind adaptiert und aktualisiert worden und Einiges ist beim Alten geblieben. Was man im Betriebsratsgremium beachten sollte, was es mit dem neuen „Marktortprinzip“ auf sich hat, wie die technischen Aspekte berücksichtigt werden sollten, wie die Betroffenenrechte aussehen, das Alles und noch viel mehr verrät die Broschüre.

Soviel sei schon gespoilert:

  • auch Firmen außerhalb der EU sind nicht ganz aus dem Schneider, wenn sie innerhalb der EU ihre Software/ Apps unter die Leute bringen wollen;
  • die technischen Einstellungen bei Software/ Apps/ Personalverwaltung müssen den Schutz der Privatsphäre für die Nutzer_innen ermöglichen
  • die Betroffenen müssen Auskunft erhalten (das ist nichts Neues) und ihre Daten auch zu anderen Plattformen mitnehmen können (das ist neu)

Wer Mitglied ist und mehr wissen will, erhält die Broschüre hier zum Download oder bestellt sie im Servicecenter der GPA-djp.

Das ideale Weihnachtsgeschenk

…unter dem Weihnachtsbaum des Betriebsrats…

…sollte dieses Werk heuer keinesfalls fehlen!

Was die Autorin dieses Blogs so macht, wenn sie gerade keine Blog-Artikel schreibt, nicht zur Datenschutzgrundverordnung (DSGVO) referiert, Betriebsvereinbarungen begutachtet oder zum Beschäftigtendatenschutz berät?

Sie schreibt gemeinsam mit Datenschutz-Experten ( Andreas Krisch und Thomas Riesenecker-Caba) und Kolleg_innen aus den (Länder-)Arbeiterkammern (wie Martina Chlestil und Nina Rothenender) und anderen Fachgewerkschaften (wie Susi Haslinger) Beiträge zu Fachpublikationen wie dieser:

Beschäftigtendatenschutz, Handbuch für die betriebliche Praxis

Von der Grundsatzfrage „Wozu das alles?“ bis hin zu detaillierten rechtlichen Fragen, was denn nun tatsächlich die Aufgaben eines/einer betrieblichen Datenschutzbeauftragten sind, wird in diesem Band auf alles eingegangen, was mit dem Beschäftigtendatenschutz in Zusammenhang steht. Ob es um eine Betriebsvereinbarung, den Datentransfer zur Konzernmutter in einem Nicht-EU-Mitgliedsland oder die Frage der Bußgelder geht, der Ratgeber gibt umfassend darüber Auskunft, was sich durch die neue Rechtslage ändern wird – und was beim Alten bleibt. Einschlägige Rechtsprechung ist ebenso enthalten wie die häufigsten technischen Systeme und deren datenschutzrechtliche Tücken. Am politischen Werdegang der europäischen Gesetzgebung Interessierte kommen ebenso auf ihre Rechnung, wie juristisch ambitionierte oder IT-affine Leser_innen.

Kurzum:

eine Leseempfehlung

für datenschützende Betriebsräte und Betriebsrätinnen, betriebliche Datenschutzbeauftragte und alle, die wissen wollen, was die neue Rechtslage für ArbeitnehmerInnen bringt. Hier geht’s zur Bestellung.

darf ein Keylogger am Arbeitsplatz installiert werden?

das deutsche Bundesarbeitsgericht sagt: NEIN!

Ein Arbeitnehmer hatte binnen vier Monaten drei Stunden damit verbracht (hauptsächlich in den Pausen) ein Computerspiel zu programmieren und kleine Verwaltungsarbeiten für eine andere Firma zu erledigen. Zugegeben, eine Pflichtverletzung, aber eine, die die sofortige Kündigung rechtfertigt?

Der Gekündigte ging vor Gericht. Das Ar­beits­ge­richt in Her­ne gab dem Kläger recht (Ur­teil vom 14.10.2015, 6 Ca 1789/15). Der Arbeitgeber ging zur nächsten Instanz. Das Landesarbeitsgericht in Hamm war zwar der Meinung, dass durch das Verhalten des Arbeitnehmers die Arbeitspflicht verletzt worden sei, nicht jedoch eine Kündigung gerechtfertigt. Der Arbeitgeber ging zur nächste Instanz. Am Bundesarbeitsgericht in Erfurt wurde im Juli 2017 der Fall abermals verhandelt. (Hier ein genauer Bericht.)

Stein des Anstoßes war vor allem die Art und Weise wie die „Beweise“ erhoben worden waren: Auf dem Rechner der Mitarbeiter war ein Überwachungsinstrument, ein so genannter „Keylogger“, installiert worden. Die Software konnte sämtliche Tätigkeiten des Arbeitnehmers mit protokollieren(zB wurden Tastaturanschläge ausgewertet und Screenshots gemacht). Mitgeteilt wurde das den Arbeitnehmern nur ganz allgemein ohne dass konkrete Verdachtsmomente vorgelegen hätten. Der Arbeitnehmer wurde für sein Verhalten auch nicht abgemahnt. Die Überwachung wurde dazu verwendet, den Programmierer zu beschuldigen, sich in der Arbeitszeit mit privaten Angelegenheiten auf dem Computer des Arbeitgebers zu betätigen und ihn daraufhin zu kündigen.

Das Bundesarbeitsgericht sah das so:

„Jeder soll selbst über die Preisgabe persönlicher Daten entscheiden können. Dieses Recht gilt natürlich auch im Betrieb“

Zwar könne es Situationen geben, in denen Keylogger ausnahmsweise eingesetzt werden dürften (zB bei konkretem Verdacht auf schwerwiegende Dienstpflichverletzungen bei vorheriger Information), aber nicht flächendeckend und ohne Begründung.

Nachdem die deutsche Betriebsverfassung und die österreichische Arbeitsverfassung in weiten Teilen sehr ähnlich sind, ist anzunehmen, dass das Urteile auch in Österreich so ausfallen würde.

Jedenfalls aber ist das Urteil des Europäischen Gerichtshofs für Menschenrechte gültig, das besagt, das heimliche umfassende Überwachung mittels Keylogger eine Verletzung der Menschenwürde ist. (Näheres in diesem Beitrag)

Privatchat am Arbeitsplatz darf nicht gänzlich verboten werden

Man darf nicht nicht kommunizieren dürfen

richtungweisendes Urteil des Europäischen Gerichtshof für Menschenrechte

Am 5.September 2017 urteilte der Europäische Gerichtshof für Menschenrechte (EGMR) zugunsten von Herrn Barbulescu, der entlassen worden war. Entlassungsgrund: er hatte entgegen der Anordnung seines Arbeitgebers mit seiner Verlobten und seinem Bruder privat kommuniziert.

Der dazu verwendete Messenger-Dienst war zwar auf Geheiß des Arbeitgebers installiert worden, um so besser Kundenkontakte pflegen zu können, allerdings mit dem klaren Hinweise, dass Privatnutzung zu unterlassen sei. Der Software-Entwickler Bogdan Barbulescu hatte das betriebsinterne Reglement offenbar nicht befolgt und ausgiebig mit Verlobter und Bruder gechattet – 45 Seiten legte der Arbeitgeber nach einer Woche dem rumänischen Gericht vor.

Sowohl das Rumänische Gericht vor dem Babulescou gegen die Entlassung klagte (im Juni 2007), als auch die kleine Kammer des Europäischen Gerichtshofes für Menschenrechte (im Jänner 2016) gaben dem Arbeitgeber recht. Die Verwendung von Betriebsmitteln dürfe per Weisung festgelegt werden, eine Missachtung einer solchen Weisung führe nun mal zu einer Entlassung, so die Logik dahinter.

Nun hat sich der Senat im Juni 2016 abermals mit dem Fall befasst und kam zu einem anderen Schluss:

an employer’s instructions cannot reduce private social life in the workplace to Zero“

Wie es dazu kam? Der Europäische Gewerkschaftsbund und die französische Datenschutzbehörde CNIL hatten eine Neuaufnahme gefordert. Die Überwachung auf der die Entlassung fußt, müsse verhältnismäßig sein, die Überwachten müssten informiert werden und insgesamt handle es sich sehr wohl um eine Verletzung der Privatsphäre, die durch Artikel acht der Europäischen Menschenrechtskonvention geschützt ist.

Zum Stolperstein für den Arbeitgeber wurde der von ihm eingesetzte Keylogger, mit dem sämtliche Korrespondenz des Arbeitnehmers mitprotokolliert worden war. Dadurch ist der Arbeitnehmer aber einer permanenten Überwachung ausgesetzt, von der er zuvor nicht einmal informiert worden war.

Heimliche Überwachung geht gar nicht

ArbeitnehmerInnen müssten über die Tatsache sowie den Grund einer Überwachung informiert werden, urteilte der EGMR. Es muss das gelindeste Mittel der Überwachung gewählt werden.

Außerdem beanstandete der Gerichtshof, dass ein absolutes Verbot der Privatnutzung ausgesprochen worden war. Das sei ein Eingriff in die Privatsphäre. Ein Verbot dürfe nur so weit gehen, als es unbedingt erforderlich sei, so der EGMR.

und wie ist das mit der Privaten Kommunikation in Österreich?

Wer sich bei der GPA-djp erkundigt, wird die Auskunft bekommen, dass die Privatsphäre an der Bürotüre und am Werkstor nicht abgegeben wird, dass private Emails vom Arbeitgeber also nicht gelesen werden dürfen. Sobald er/sie erkennt, dass es sich um private Kommunikation handelt, darf er/ sie nicht mehr weiterlesen.

So sieht es auch der EGMR, der europaweit die Judikatur diesbezüglich vergleicht. In seiner Urteilsschrift steht zu lesen, dass ArbeitgeberInnen in Österreich zwar die als „privat“ gekennzeichnete Kommunikation der ArbeitnehmerInnen kontrollieren dürften, ohne allerdings auf den Inhalt zugreifen zu dürfen:

In, Austria, Denmark, Finland, France, Germany, Greece, Italy, Portugal and Sweden, employers may monitor emails marked by employees as “private”, without being permitted to access their content. In Luxembourg employers may not open emails that are either marked as “private” or are manifestly of a private nature. The Czech Republic, Italy and Slovenia, as well as the Republic of Moldova to a certain extent, also limit the extent to which employers may monitor their employees’ communications, according to whether the communications are professional or personal in nature. In Germany and Portugal, once it has been established that a message is private, the employer must stop reading it.

Somit gibt es nun neben dem Arbeitsverfassungsgesetz einen weiteren triftigen Grund, warum man die private Nutzung von Kommunikationsmitteln in einer Betriebsvereinbarung regeln muss.

Datenschutzanpassungsgesetz wurde beschlossen

Vor- und Nachteile des Datenschutzanpassungsgesetzes (DSAG)

Entgegen den Befürchtungen, dass in dieser Legislaturperiode kein Datenschutzgesetz mehr zustande kommen wird, hat der Nationalrat am Donnerstag 29.6.2017 die Anpassung an die Datenschutzgrundverordnung der EU beschlossen.

Viele Regelungen sind in der Europäischen Datenschutzgrundverordnung ohnehin festgelegt und können von den einzelnen Mitgliedsstaaten nicht mehr abgeändert werden. Sogenannte „Öffnungsklauseln“ ermöglichen aber spezielle Regelungen auf nationaler Ebene. Einige Öffnungsklauseln wurden nun vom österreichischen Gesetzgeber genutzt, andere nicht.

Die gute Nachricht:

Die betriebsrätliche Mitbestimmung (das Arbeitsverfassungsgesetz) ist abgesichert. Damit gilt in  Sachen Beschäftigtendatenschutz das Arbeitsverfassungsgesetz 1:1.

Die Videoüberwachung zum Zweck der MitarbeiterInnenkontrolle ist weiterhin untersagt.

Die schlechte Nachricht:

Es wird kein Verbandsklagerecht geben, wie es zB im Konsumentenschutz besteht. Zwar haben Vereine und NGOs aufgrund der Europäischen Grundverordnung das Recht im Namen von einzelnen Betroffenen eine Klage einzureichen, ohne die Bereitschaft von Einzelnen ihre Datenschutzrechte einzuklagen ist dies jedoch nicht möglich. Das heißt, Arbeiterkammern oder Gewerkschaften können nicht – wie beispielsweise im Konsumentenschutz – von sich aus gegen einen Missstand klagen, sondern immer nur im Namen von direkt Betroffenen.

Es wurde verabsäumt, zusätzlich zum Arbeitsverfassungsgesetz spezifische Regelungen zum Beschäftigtendatenschutz einzuführen oder die Bestellung des betrieblichen Datenschutzbeauftragten genauer zu regeln.

Dass der Gesetzgebungsprozess letztendlich überhastet abgelaufen ist und die zahlreichen Stellungnahmen aufgrund des kurzfristigen Beschlusses von Abänderungsanträgen im zuständigen Verfassungsausschuss nicht mehr genau durchgearbeitet werden konnten, soll nicht verschwiegen werden. Allerdings ist die Anpassung nun seit über einem Jahr fällig und eine weitere Verzögerung hätte vermutlich nicht unbedingt zu Verbesserungen geführt.

österreichischer Gesetzesentwurf zur europäischen Grundverordnung liegt vor

aber wann wird das Datenschutz-Anpassungsgesetz tatsächlich verabschiedet?

Der Entwurf aus dem Bundeskanzleramt zum Datenschutz-Anpassungsgesetz liegt im Parlament. Nach einem Jahr voll Abwägung, Abwarten und Anpassen gibt es nun einen Gesetzesentwurf zum Datenschutz. Fraglich ist ob das „freie Spiel der Kräfte“ noch diese Legislaturperiode das Spiel beenden wird können.

Die europäische Datenschutzgrundverordnung steht vor der Tür; am 25. Mai 2018 wird sie in Kraft treten. Sie enthält neben einer Vereinheitlichung im EU-Raum auch einiges an nationalen Gestaltungsmöglichkeiten für die Mitgliedsstaaten, so genannte „Öffnungsklauseln“. Für ArbeitnehmerInnen interessant sind dabei vor allem die Öffnungsklauseln zum Datenschutz im Beschäftigungskontext, zur Verbandsklage und zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Mitbestimmung bleibt

Erfreulich ist, dass im Gesetzesentwurf ausdrücklich festgehalten ist, dass die betriebsrätlichen Rechte aus dem Arbeitsverfassungsrecht unbestritten sind. Diese Feststellung besteht seit dem ersten österreichischen Datenschutzgesetz, das 1978 das Licht der Welt erblickte. Diese Bestimmung illegalisiert die leider weit verbreitete Praxis, den BetriebsrätInnen zustehende Informationen mit Hinweis auf den „Datenschutz“ vorzuenthalten.

keine Videoüberwachung der Beschäftigten zur Kontrolle

Erfreulich ist auch, dass im Gesetzesentwurf des Bundeskanzleramtes eine Video- und akustische Überwachung zur Mitarbeiterkontrolle verboten ist. Diese Bestimmung findet sich seit der Novelle 2010 im österreichischen Datenschutzgesetz. Diese Klarstellung wurde wohl erforderlich weil derartiges immer öfter praktiziert wurde.

kollektive Klage möglich

Erfreulich ist außerdem, dass Betroffene sich nun von Vereinen/ Organisation gemeinsam vertreten lassen können, wenn sie ihre Datenschutzrechte verletzt sehen. Diese Verbandsklagerecht gibt es zB im Konsumentenschutz schon seit langem.

Leider wurden ArbeitnehmerInnenvertretungen nicht per se als datenschutzrelevante Vereine definiert (was im Zuge einer Öffnungsklausel aber möglich gewesen wäre) und haben auch nicht das Recht erhalten von sich aus – also ohne Initiative von Betroffenen – gerichtlich aktiv zu werden. Die GPA-djp fordert daher im Sinne der fairen Arbeitsverhältnisse, dass überbetriebliche Interessenvertretungen ihre Mitglieder (mit oder ohne aktiven Auftrag) in Datenschutzangelegenheiten vertreten dürfen.

Es darf vermutet, werden dass das Datenschutz-Anpassungsgesetz ohne den Einsatz von Kammern und Gewerkschaften weitaus weniger günstige Regelungen zum Schutz der ArbeitnehmerInnen enthalten würde.

Die wichtigsten Forderungen zum ArbeitnehmerInnen-Datenschutz sind enthalten

Dass zahlreiche Öffnungsklauseln – darunter die zur Bestellung des/ der betrieblichen Datenschutzbeauftragten –  in der nationalen Gesetzgebung nicht näher festgelegt wurden, erklärt man in den Erläuterungen damit, dass diese nicht dem allgemeinen Datenschutz zuzurechnen sein, sondern es sich dabei um spezielle Themen handelt. Diese müsse man allenfalls in den jeweils entsprechenden „Materiengesetzen“ (wie sie in der Juristerei genannt werden)  festlegen. Sprich: der Datenschutz für die ArbeitnehmerInnen müsste demnach ins Arbeitsrecht fallen.

Ob sich eine Verabschiedung des Datenschutz-Anpassungsgesetztes noch diese – aufgrund der bevorstehenden Neu-Wahlen nicht mehr sehr langen – Legislaturperiode ausgeht, bleibt abzuwarten.

Am 23. Juni endet die Begutachtungsfrist. Bis dahin können noch Stellungnahmen abgegeben werden. Genutzt wurde diese Gelegenheit bislang von Unternehmen wie A1 und ÖBB, Organisationen wie dem Städtebund, dem Verband der Markt- und Meinungsforscher und der Rechtsanwaltskammer und auch Einzelpersonen wie dem renommierten Datenschützer Prof. Dietmar Jahnel.