Die europäische Datenschutzgrundverordnung bringt konkrete Veränderungen mit sich. Eine davon ist die Datenschutzfolgenabschätzung, die in vielen Betrieben durchgeführt wird. BetriebsrätInnen erzählen.
Einiges an Aufgaben, die zuvor zentral bei der Datenschutzbehörde angesiedelt waren (z.B. Melderegister, Prüfung bestimmter Datenverarbeitungen) ist zu denjenigen verlagert worden, die über die Verwendung personenbezogener Daten entscheiden – direkt in die Betriebe. Dazu zählt die Verpflichtung, eine Datenschutzfolgenabschätzung durchzuführen.
Was ist eine Datenschutzfolgenabschätzung?
Eine Datenschutzfolgenabschätzung bedeutet die genaue Überprüfung der Auswirkungen von betrieblichen Anwendungen, Systemen, Programmen, etc.
Verantwortlich für diese Folgenabschätzung sind – wie der Name schon vermuten lässt – die in der Grundverordnung so genannten „Verantwortlichen“. Auf betrieblicher Ebene sind das die ArbeitgeberInnen. Doch können sie die Folgenabschätzung nicht im Alleingang durchziehen; betriebliche Datenschutzbeauftragte, allenfalls Behörden und jedenfalls Betroffene müssen hinzugezogen werden. Das Einzigartige an dieser Regelung ist, dass dem Betriebsrat explizit eine entscheidende Rolle zukommt, was sonst in der Grundverordnung kaum gegeben ist – um genau zu sein kommt eine Interessenvertretung der ArbeitnehmerInnen nur noch an einer anderen Stelle vor, nämlich wenn es im Artikel 88 DSGVO um das Abschließen von Kollektivverträgen oder Betriebsvereinbarungen geht.
Wann ist eine Datenschutzfolgenabschätzung erforderlich?
Eine Datenschutzfolgenabschätzung ist für die Verantwortlichen bei Inbetriebnahme oder Entwicklung neuer oder die Privatsphäre gefährdender Datenverarbeitungen verpflichtend. Eine DSFA muss zwar nicht immer erfolgen, aber immer dann, wenn „ein hohes Risiko für die Rechte der Betroffenen“ vorliegt, wenn besonders heikle Daten verarbeitet werden (zB Gesundheitsdaten ohne dass eine ausdrückliche gesetzliche Verpflichtung dazu besteht), wenn besonders viele Menschen erfasst werden (zB automatische Auto-Kennzeichen-Kontrollen im öffentlichen Raum) oder wenn weitgehend neue Technologien zum Einsatz kommen sollen (zB Biometrie). Aber auch das Machtungleichgewicht zwischen jenen, die für den Technikeinsatz verantwortlich sind und jenen, die von ihm betroffen sind, ist relevant bei der Beurteilung, ob eine DSFA gemacht werden muss. Die Gesetzgeber in Österreich haben dieses Machtungleichgewicht explizit in den Erläuterungen zu § 2 Abs 2 Z 4 zur Verordnung zur Datenschutzfolgenabschätzung erwähnt und dabei das Arbeitsverhältnis ebenso aufgezählt, wie das Verhältnis zwischen ÄrztInnen und PatientInnen.
Mit einer einmaligen Folgenabschätzung ist es allerdings nicht getan. Vielmehr stellt die DSFA einen kontinuierlichen Prozess dar, der die Anwendung technischer Systeme, die personenbezogene Daten verarbeiten, ein Leben lang begleiten soll.
Gab es das früher auch schon?
Früher (unter dem Regime der alten Datenschutzgesetzgebung) gab es auch eine ähnliche Abschätzung. Sie hieß „Vorab-Prüfung“ und war von der Datenschutzbehörde durchzuführen. In der Datenschutzgrundverordnung sind nun die Bedingungen wann eine solche Überprüfung gemacht werden muss und wie sie durchgeführt werden muss EU-weit einheitlich festgelegt. Und der Betriebsrat, definiert als „Vertreter der Betroffenen“, muss mit einbezogen werden (Artikel 35 Abs 90 DSGVO) .
Nachgefragt: wie funktioniert das mit der Datenschutzfolgenabschätzung im Betrieb?
Die Betriebsrätin eines großen Finanzdienstleisters hat erstmalig im Betrieb Informationen zur Datenschutzfolgenabschätzung eingeholt und durfte positiv überrascht feststellen, dass eine DSFA für einige Anwendungen durchgeführt wird. Zwar dürfte man sich dabei vorrangig um die Datenverarbeitungen bei KundInnen kümmern, aber immerhin gibt es ein Prozedere, das eingehalten wird und Ansprechpersonen, die sich darum kümmern. Zwar vermutet sie, dass es noch ein wenig dauern wird, bis sie alle Informationen zusammengetragen hat, aber „Hartnäckigkeit war noch nie ein Problem für mich“. (Zur Osterzeit ist das Suchen ja eine durchaus traditionelle Beschäftigung.) Nebeneffekt der betriebsrätlichen Recherche war die Information, dass im Unternehmen gleich drei betriebliche Datenschutzbeauftragte mit jeweils unterschiedlichen Zuständigkeitsbereichen beschäftigt sind.
Die Einführung einer Überwachungstechnik konnte abgewendet werden
Eine Betriebsrätin, die ebenfalls aus der Finanzbranche kommt, konnte im Zuge einer DSFA in Kooperation mit der betrieblichen Datenschutzbeauftragten sogar die Einführung einer neuen Technologie für die Beschäftigten verhindern. Bereits bei der Vor-Frage, ob nämlich eine DSFA erforderlich sei, stellte die Datenschutzbeauftragte fest, dass das geplante Überwachungs-Instrument jedenfalls einer DSFA – und auch einer Betriebsvereinbarung – bedarf. So weit kam es aber erst gar nicht, weil die Geschäftsführung davon Abstand nahm, die Technologie einzuführen.
Fragt man den Betriebsrat eines weltweit tätigen IT-Unternehmens, so ist er recht zufrieden damit, wie die Datenschutzfolgenabschätzung im Betrieb gehandhabt wird. Die DSFA wird frühzeitig vorgenommen. Es gibt fixe Abläufe, die eingehalten werden. Wenn es um die personenbezogenen Daten der Beschäftigten geht, wird der Betriebsrat mit einbezogen. „Im Großen und Ganzen“ meint er „läuft das bei uns ganz gut. Wahrscheinlich liegt das aber auch daran, dass wir ein großer IT-Konzern sind und man sich das gar nicht anders erlauben kann.“
Manche BetriebsrätInnen erhielten kaum Informationen
So geschehen in einem Betrieb des Sozial- und Gesundheitswesens. Dort arbeitet die betriebliche Datenschutzbeauftragte „im stillen Kämmerlein“ vor sich hin, erstellt eine DSFA, die von der Geschäftsführung abgenickt wird, aber nicht den Vorgaben der Datenschutzgrundverordnung entspricht. Der Betriebsrat wird nicht beratend hinzugezogen und weiß wenig über das Zustandekommen der DSFA.
Ähnlich dürfte es in einem Gewerbeunternehmen der Metallbranche aussehen. Zahlreiche Angelegenheiten, die mit der Datenschutzgrundverordnung zu tun haben, wurden an einen externen Dienstleister ausgelagert – so auch die Folgenabschätzung. Der Betriebsrat muss sich sämtliche Auskünfte erst mühsam einholen. Er nennt es: „Die kleine Pflanze Datenschutz muss ich erst langsam zum Blühen bringen.“
Der Beitrag ist erstmals am Blog http://arbeitundtechnik.gpa-djp.at/ erschienen.