Viele Unternehmen kontrollieren ihre Angestellten auf Schritt und Tritt. Die neue Europäische Datenschutzgrundverordnung könnte nun zum Anlass genommen werden, mit Daten sparsamer umzugehen.
Manche Callcenter würden gerne alle Telefonate mitschneiden und archivieren. Andere ArbeitgeberInnen benutzen die Videokamera, die vor Einbruch schützen soll, auch gleich zur Überwachung von MitarbeiterInnen. Von Unternehmensseite stark begehrt ist zudem der uneingeschränkte Zugang zum Mailverkehr der Angestellten. Pauschal erlaubt ist all das allerdings nicht. Und was bisher schon im Datenschutzgesetz klar geregelt war, bekommt mit der Europäischen Datenschutzgrundverordnung, die im Lauf des Mai 2018 schlagend wird, nochmals mehr Gewicht.
Teure Verstöße
Verstöße können demnach künftig mit zwei bis vier Prozent des weltweiten Jahresumsatzes geahndet werden – gedeckelt wurde bei 20 Millionen Euro. „Viele Unternehmen erkennen das als brandgefährlich“, betont Michael Lohmeyer, Betriebsrat der Tageszeitung Die Presse und Konzernbetriebsrat des Medienhauses Styria. „Das ist eine neue Dimension des Datenschutzes. Da geht es um etwas.“ Das Medienunternehmen ist nun dabei, gemeinsam mit dem Betriebsrat für jene Anwendungen, in denen Daten der MitarbeiterInnen erfasst, gespeichert oder verarbeitet werden, Betriebsvereinbarungen auszuarbeiten.
Neben dem hohen Strafausmaß bringt die Europäische Datenschutzgrundverordnung eine Reihe weiterer Neuerungen. Als Eckpunkte nennen Eva Angerler und Clara Fritsch von der Abteilung „Arbeit und Technik“ der GPA-djp, dass Unternehmen nun ein Verfahrensverzeichnis führen müssen, es in vielen Betrieben einen Datenschutzbeauftragten geben muss und auch ein Verbandsklagsrecht vorgesehen ist.
Bei der nationalen Ausgestaltung, die über Öffnungsklauseln eine detailliertere Regelung gewisser Belange in den einzelnen EU-Mitgliedsstaaten erlaubt, wünschen sich Angerler und Fritsch für Österreich möglichst große Mitsprachemöglichkeiten für BetriebsrätInnen, aber auch, dass das Verbandsklagsrecht dezidiert auch für Gewerkschaften und Arbeiterkammern möglich ist. Die nun vorgesehene Datenschutzfolgenabschätzung könnte noch ausgebaut werden.
Recht auf Datenschutz
„Datenschutz im Betrieb ist eine besondere Form von Datenschutz, weil es im Betrieb ein Abhängigkeitsverhältnis des Einzelnen gibt“, betont Angerler. Dadurch tue sich der einzelne Mitarbeiter/die einzelne Mitarbeiterin schwer, seine oder ihre Datenschutzrechte durchzusetzen. Um nun die personenbezogenen Daten der MitarbeiterInnen bestmöglich zu schützen, ohne dass der Einzelne hier aktiv werden muss, ist es am besten, wenn der Betriebsrat Betriebsvereinbarungen mit dem Arbeitgeber ausverhandelt.
Neue Technologien
Der Datenschutz ist kein neues Thema – auch handschriftliche Notizen können, etwa durch Kopie, missbräuchlich verwendet werden. Der technische Fortschritt erleichtert aber das Sammeln, Speichern und vor allem Verknüpfen von Daten. Fritsch nennt als Beispiel das Smartphone, das von AußendienstmitarbeiterInnen sowohl zur Navigation als auch zur Bestätigung, dass der Kunde aufgesucht wurde, genutzt wird. Dem Betrieb sei es so immer leichter möglich, MitarbeiterInnen in der Arbeitszeit nahezu lückenlos zu kontrollieren, wie etwa im Fall einer mobilen Krankenschwester, der von Arbeitgeberseite vorgeworfen worden war, sie haben einen Umweg gemacht, um von einem zum anderen Patienten zu kommen. Es stellte sich heraus, dass sie zwischen den beiden Einsätzen den Stützpunkt angefahren hatte, um auf die Toilette zu gehen. „Da gibt es schon unzulässige Kontrollbegehrlichkeiten“, so Fritsch. „Daher ist es wichtig, im Betrieb an einer guten Datenschutzkultur zu arbeiten“, betont Angerler. Sie empfiehlt die Einrichtung einer innerbetrieblichen Datenschutzkommission – und eben das Ausarbeiten entweder einer Rahmenbetriebsvereinbarung mit Anhängen oder einzelner Betriebsvereinbarungen zu jenen Bereichen und Anwendungen im Betrieb, bei denen mit personenbezogenen Daten hantiert wird. Als ersten Schritt rät sie BetriebsrätInnen, sich damit auseinanderzusetzen, was die Systeme technisch können – aber sich auch schlau zu machen, wie es den MitarbeiterInnen damit geht. Am Ende muss die Regelung so ausgestaltet sein, dass sie auch im Arbeitsalltag lebbar ist. Fazit: „Technische Systeme sollen Menschen unterstützen, aber nicht kontrollieren“, so Angerler.
Herausforderung SAP
Vaillant Österreich bietet Heiz-, Kühl- und Warmwassersysteme an. Mit Jahresbeginn hat das Unternehmen im Personalwesen Software von SAP eingeführt. Die beiden Betriebsräte Gerhard Prochaska und Alfred Sklenar waren zuvor noch nie mit dem System in Kontakt gekommen – eine enorme Hemmschwelle. „Wir haben also zuerst den Kurs von der GPA-djp gemacht, was ist SAP und worauf muss man achten“, erzählt Prochaska. Für ihren Betrieb haben sie daraufhin erkannt: „Entscheidend ist die Kategorisierung der Wertigkeit der Daten selbst.“ Gemeinsam mit dem Arbeitgeber wurden die Daten schließlich kategorisiert, in allgemeine, schützenswerte und hochsensible. Danach wurde zugeordnet, wie mit den jeweiligen Daten umgegangen wird. „Unser Ziel war, den Mitarbeiter so undurchsichtig wie möglich zu machen“, betont Sklenar.
Individuelle Regeln
Warum jeder Betrieb hier individuelle Regelungen braucht, illustriert dieses Beispiel: Dass Personalabteilungen über die Adresse der MitarbeiterInnen verfügen müssen, ist klar. Wird diese Information aber auch vom Vorgesetzten benötigt? Oder von einer anderen Abteilung? Die TechnikerInnen von Vaillant erhalten mit dem sogenannten Nachtsprung in den Nachtstunden Ersatzteile in das in Wohnnähe geparkte Firmenauto geliefert. „Das Lager braucht also die Auskunft, wo der Mitarbeiter wohnt – aber auch, ob er an manchen und dann an welchen Tagen an einer anderen Adresse übernachtet“, so Prochaska.
Eva Wilhelm ist Betriebsrätin in einem Unternehmen, das dem Thema Sicherheit seit jeher einen großen Stellenwert einräumt: das Austrian Institute of Technology (AIT) ging aus dem Forschungszentrum Seibersdorf hervor, das sich vor allem mit Atomforschung befasste. Das AIT forscht heute unter anderem im Bereich digital safety und security. Doch auch was den eigenen Umgang mit Daten anbelangt, wird hier eine sehr bewusste Datenschutzkultur gepflegt. Der interne Datenschutzausschuss tagt regelmäßig. Aktuell wird an einer Betriebsvereinbarung für den elektronischen Personalakt gearbeitet. Im Personalwesen gebe es bis heute viele Informationen immer noch nur auf Papier, erzählt Wilhelm. In dem elektronischen Akt sollen nun neben Dienstverträgen, Leistungsvergütungen und Urlaubstagen zum Beispiel auch die Mitarbeitergespräche dokumentiert werden.
Profiling
Für ein anderes Datenerfassungssystem hat Wilhelm schon vor einigen Jahren eine Betriebsvereinbarung ausverhandelt. Die Forschungseinrichtung arbeitet stark auf drittmittelfinanzierter Basis sowie im Bereich der Auftragsforschung. Dabei gilt es, jedes Projekt transparent zu planen und abzurechnen. Das Kapazitätsplanungstool erleichtert es, zu dokumentieren, wer wie viele Stunden an einem Projekt arbeitet. Rasch könne ein solches System allerdings vom Arbeitgeber dazu missbraucht werden, um die Effizienz des einzelnen Mitarbeiters zu überprüfen. „Das schlimmste Szenario ist hier, ein Profiling zu machen.“
Beim Profiling werden verschiedenste Angaben rein automationsunterstützt verknüpft, etwa, wer im Moment stundentechnisch nicht ausgelastet sei und wenig publiziert habe oder ein bestimmtes Religionsbekenntnis habe oder aber auch Gewerkschaftsmitglied sei. Wilhelm und ihrem Team ging es darum, solchen unsachgemäßen Auswertungen einen Riegel vorzuschieben.
Bewerbungsdatenbank
Über die Begehrlichkeiten des Arbeitgebers kann auch Barbara Budweis ein Lied singen. Die ManpowerGroup-Betriebsrätin begleitete die Implementierung der 2010 im Betrieb eingeführten Bewerbungsdatenbank. Das Arbeitskräfteüberlassungs-Unternehmen erhält je nach Arbeitsmarktlage monatlich zwischen 7.000 und 12.000 Bewerbungen. Bei der Programmierung der neuen Datenbank schwebte der Leitung vor, nahezu alle Daten aus den eingesandten Lebensläufen zu erfassen. In einem langen Prozess wurde schließlich sichergestellt, dass nur das gespeichert wird, „was wirklich für die Bewerbung gebraucht wird“.
Budweis zieht hier insgesamt ein sehr positives Resümee: Durch diese Erfahrung habe sich im Betrieb insgesamt ein viel sensiblerer Umgang mit Daten etabliert. Zur Umsetzung der Europäischen Datenschutzverordnung habe sich die ManpowerGroup zudem entschieden, einen externen Berater ins Haus zu holen, „um Prozesse zu durchleuchten und uns Tipps und Ratschläge zu geben, weil man einfach im Lauf der Jahre betriebsblind wird. Vielleicht kommen wir da auch darauf, dass es Themen gibt, die ebenfalls mit einer Betriebsvereinbarung geregelt gehören“.
ExpertInnen zu Rate zu ziehen, wenn es um das Verstehen neuer elektronischer Systeme geht, das rät Lohmeyer Betriebsrats-KollegInnen prinzipiell. Im Journalismus gebe es das geflügelte Wort „Jedes Schriftl is a Giftl“. „Datensätze sind ja ein Hund: wenn einmal etwas da ist, kann es gehackt, gebraucht, missbraucht werden. Bei gewissen Dingen ist es also besser, wenn es diese Datensätze gar nicht gibt.“ Auch das müsse man vor Einführung neuer Anwendungen mitbedenken. Aus betriebsrätlicher Sicht auf den ersten Blick sehr klar waren dagegen die Bedenken Lohmeyers gegen die Installierung einer 24/7 laufenden Webkamera in einem Radiostudio des Medienhauses Styria. Dadurch wären die MitarbeiterInnen in dem Studio hundert Prozent ihrer Arbeitszeit unter Kontrolle gestanden. In tiefere Gespräche ist man aber gar nicht eingetreten – momentan liegt das Projekt auf Eis.
Oft reicht schon das Aufzeigen datenschutzrechtlicher Relevanz, betonen Angerler und Fritsch. Denn nicht immer haben Unternehmen Kontrolle im Sinn, wenn sie ein neues System einführen. Leicht kann durch die immer neuen technischen Möglichkeiten allerdings ein Kontrollinstrument daraus werden. Um das zu vermeiden, braucht es insgesamt ein erhöhtes Bewusstsein für den Umgang mit Beschäftigtendaten in Betrieben. Die Europäische Datenschutzgrundverordnung wird hier wohl als Katalysator fungieren, damit sich in immer mehr Betrieben eine gute Datenschutzkultur entwickelt.
Sensibler Umgang mit Daten
Kurzkommentar von Eva Angerler
ArbeitgeberInnen werden in den kommenden Monaten verstärkt auf den Abschluss von Betriebsvereinbarungen zum Thema Datenschutz pochen. Ab 25. Mai 2018 muss die neue EU-Datenschutzgrundverordnung angewandt werden. Da Unternehmen, die dagegen verstoßen, hohe Strafen drohen, ist ein gestiegenes Interesse an klaren betriebsinternen Regelungen zu erkennen. Doch selbst wenn von Unternehmensseite keine Initiative kommt, sind BetriebsrätInnen gut beraten, das Thema von sich aus zur Sprache zu bringen. Einerseits sichern Betriebsvereinbarungen zum Datenschutz die Grundrechte der MitarbeiterInnen. Andererseits erhalten sie als BetriebsrätInnen viele strategisch relevante Informationen zum Arbeitsprozess, die sie in ihrer Vertretungsarbeit stärken.
Ein Beispiel: Ein Sozialbetrieb führte ein neues Dokumentationssystem ein, mit dem regelmäßig Auswertungen von Leis-tungsdaten erstellt wurden. Diese zeigten unter anderem, dass die Termintreue der Klientinnen schlecht ist. Der Arbeitgeber ging daher dazu über, für jeden Termin zwei KlientInnen einzubuchen. Doch die Statistik stimmt nicht mit dem Alltag überein, so erschienen zu manchen Terminen zwei KlientInnen. Das setzte die ArbeitnehmerInnen massiv unter Stress. Der Betriebsrat setzte sich schließlich dafür ein, dass die Arbeitsorganisation in Richtung Mischarbeitsplatz geändert wird. Die So-zialarbeiterInnen betreuen jetzt nicht nur KlientInnen, sondern arbeiten auch an Projekten. So muss nicht mehr doppelt ge-bucht werden, aber auch die Zeit ohne KlientInnenkontakt wird produktiv genutzt.