Guidelines für das Arbeitsleben mit und ohne der Stopp-Corona-App

Dieser Beitrag ist am 4.5.2020 am Blog Arbeit und Technik erschienen.

Die von Rotem Kreuz und Accenture programmierte Stopp-Corona-App soll zur Eindämmung der Corona-Epidemie beitragen, indem sämtliche physische Begegnungen, die näher als einen Meter stattfinden, gespeichert werden und bei Kontakt mit einer infizierten Person bzw. deren Handy eine Warnung ausgeschickt wird. Es wird immer betont, dass die App nur ein freiwilliges Hilfsmittel zur Eindämmung der Corona-Pandemie ist.

„Mit wem warst du zuletzt vernetzt?“ das soll die App wissen und so vor einer möglichen Infektion warnen.

Wie Funktioniert die App?

Die App basiert auf den Technologien Bluetooth und Wifi Direct, mittels derer ein „Handshake“ erfolgt sobald sich zwei Geräte länger als 15 Minuten innerhalb von zwei Metern Distanz aufhalten. Dieser „Handshake“ kann auch manuell durch die NutzerInnen erfolgen. Diese „digitalen Handschläge“ werden lokal auf den Smartphones der NutzerInnen gespeichert, um bei Infektion eines/einer Beteiligten, alle Kontakte über eine Covid-19-Infektion zu informieren.

Dieser Vorgang benötigt für die Kommunikation zwischen Android-Geräten keine Internetverbindung und überträgt dabei keine Daten an Dritte, da die notwendige Kommunikation schließlich direkt mittels Bluetooth stattfindet (Nearby Connections API). Falls ein iOS-Gerät am digitalen Handshake beteiligt ist, wird im Zuge des Handshakes eine zufällig generierte Kennzahl („Token“) generiert, welche mithilfe der Google-Cloud-Plattform durch die Handshake-Partner abgeglichen wird (Nearby Messages API).

aus den FAQs des Roten Kreuzes zur Stopp-Corona-App

Auf den Datenschutz wurde beim Programmieren der App viel Wert gelegt. Daten werden vorrangig lokal auf dem jeweiligen Smartphone gespeichert. Die Server für die zum Funktionieren der App benötigten Daten stehen in Europa. Metadaten werden nach 14 Tagen gelöscht, der „digitale Handschlag“ wird nach 7 Tagen gelöscht (bei einer Infektionsmeldung nach 30 Tagen) und lokal auf dem Handy gespeicherte Daten werden mit Löschen der App entfernt. Mit Ende der Epidemie (wann auch immer das sein wird) werden sämtliche Daten gelöscht.

In einer Datenschutzfolgenabschätzung, die erfreulicher Weise öffentlich zugänglich ist, wurde die App einer ausführlichen Prüfung unterzogen.

Corona-Warnung, was dann?

Ungeklärt ist, was nach einer Warnung durch die App passieren soll. Sollten Arbeitgeber*innen also die Installation der App auf den beruflich verwendeten Geräten verlangen, ist unbedingt in einer Betriebsvereinbarung auf Basis des Arbeitsverfassungsgesetztes (oder einer Einzelvereinbarung in Betrieben ohne Betriebsrat) zu klären, welche Folgen eine Installation der App und ganz besonders welche Folgen eine Warnung durch die App hat.

Darf der/die ArbeitgeberIn die Beschäftigten anweisen, die Stopp-Corona-App auf dem Privathandy zu installieren?

Nein, das darf er / sie nicht. Zum Privatleben der Beschäftigten darf ein/e ArbeitgeberIn keine Vorgaben erteilen. Da niemand ein Smartphone besitzen muss, mitführen muss oder aufgedreht haben muss, wird ein solches Verlangen ohnehin leicht ins Leere laufen.

Darf der/die ArbeitgeberIn vorschreiben, die Stopp-Corona-App auf dem Arbeitshandy zu installieren?

Ja, das kann er / sie. Solange es sich um die Hardware des Arbeitgebers/ der Arbeitgeberin handelt, darf der/die ArbeitgeberIn bestimmen, welche Programme darauf laufen müssen. Nachdem es sich dabei allerdings um eine Ordnungsanweisung handelt, ist in Betrieben mit Betriebsrat dazu eine Betriebsvereinbarung abzuschließen.

Darf der/die ArbeitgeberIn vorschreiben das Arbeitshandy in der Freizeit dabei zu haben um die Stopp-Corona-App zu nutzen?

Nein, ein zwingendes Mitführen des Diensthandys in der Freizeit kann keinesfalls verlangt werden.

Muss es für die Verwendung der Stopp-Corona-App eine Betriebsvereinbarung geben?

Da die Daten der App pseudonymisiert sind und keine Bewegungsprofile erstellt werden, wird die Anordnung des Arbeitgebers/ der Arbeitgeberin zur Installation der App in der Regel wohl eine Ordnungsvorschrift sein (§ 97 Abs 1 Z 1). In Betrieben mit Betriebsrat ist dazu eine Betriebsvereinbarung erzwingbar.

In der Betriebsvereinbarung ist zu regeln, was bei einer Warnung durch die App konkret zu passieren hat.

Als gänzlich freiwillig angebotenes Instrument, wäre die App auch einer freiwilligen Betriebsvereinbarung zugänglich, da es sich um Maßnahmen zum Schutz der Gesundheit der Arbeitnehmer*innen handelt (§ 97 Abs 1 Z 8 ArbVG).

Darf ein/e ArbeitgeberIn Daten über Infektionsfälle an Gesundheitsbehörden melden?

Liegt tatsächlich eine nachgewiesene Infektion vor, muss der/die ArbeitgeberIn über Infektionsfälle Auskunft erteilen (§ 5 Abs. 3 Epidemiegesetz 1950).

Dafür besteht eine entsprechende Rechtsgrundlage im Datenschutzgesetz (Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 1 DSG).

Darf ein/e ArbeitgeberIn die privaten Kontaktdaten von ArbeitnehmerInnen erheben, um diese schnell über einen Verdacht oder eine Infektion am Arbeitsplatz zu informieren?

Zur Risikoprävention ist es zulässig, dass ArbeitgeberInnen die privaten Kontaktdaten (Handynummer, Emailadresse,…) der ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über eine Infektion am Arbeitsplatz warnen zu können und sie allenfalls zu informieren, dass sie nicht am Arbeitsplatz erscheinen müssen. Die erhobenen privaten Kontaktdaten sind nach Ende der Epidemie zu löschen und dürfen nicht anderweitig verwendet werden.

Die ArbeitnehmerInnen können zu dieser Bekanntgabe nicht gezwungen werden. Es darf keine Konsequenzen haben, falls Beschäftigte ihre privaten Kontakte (Email, Handynummer,…) nicht bereitstellen wollen.

Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten zur Verfügung. Das Musterformular deckt alle datenschutzrechtlichen Vorgaben ab (Widerspruchsrecht, Informationspflichten gemäß Art. 13 DSGVO).

Welche Angaben darf die Gesundheitsbehörde über Infizierte haben?

Gesundheitsbehörden dürfen nach § 4 Abs. 4 Epidemiegesetz 1950 jedenfalls folgende Datenkategorien von Infizierten verarbeiten:

• Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen (bPK) gemäß § 9 E-GovG),
• die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) und Labordaten,
• Daten zum Umfeld des Erkrankten, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, und
• Daten zu den getroffenen Vorkehrungsmaßnahmen.

Insgesamt bewertet: gut, aber…

Generell ist der Mehrwert für das Berufsleben fraglich. Mit Erkrankten in Kontakt gewesen zu sein, wird im Arbeitszusammenhang ohnehin festgestellt werden (z.B. bei mobiler Pflegetätigkeit). Ein Kontakt mit Erkrankten im Privatleben wird den ArbeitgeberInnen ohnehin geemldet werden, um weitere Ansteckungen zu vermeiden. Das Epidemiegesetz sieht ohnehin die Übermittlung von Informationen im Falle einer Infektion an die Gesundheitsbehörde vor.

Für Menschen die viel unterwegs sind, viel Kontakte mit unbekannten Menschen haben und ihr Smartphone immer dabei haben, kann es durchaus nützlich sein, sich die Appden Privatgebrauch zu installieren. Für ArbeitgeberInnen kann es nur auf eine freiwillige, mit Betriebsvereibarung abgesicherte Nutzung hinauslaufen. Denn auch in Zeiten der Corona-Pandemie müssen die Persönlichkeitsrechte und Arbeitnehmerinnenrechte gewahrt werden.

Video-Telefonie bringt uns in Zeiten des analogen Abstands digital näher zusammen. Praktisch, effizient und schnell. Aber auch datenschutzfreundlich? Was sind die wichtigsten Fragen? Was sollte dabei beachtet werden?

Viele ArbeitnehmerInnen gehen momentan ihrer Arbeit zu Hause nach. Der Home-Office–Arbeitsplatz benötigt viele technische und rechtliche Mittel. Um auch die soziale Komponente abzudecken, oder Wichtiges effizient(er) besprechen zu können, verwenden viele sogenannte Video-Konferenz-Tools. Trotz der schnellen Digitalisierungswelle im Zusammenhang mit der Corona-Krise, dürfen wir aber den Schutz unserer Daten nicht vergessen! Aber welche Tools sind datenschutzfreundlich(er) und wie kann ich feststellen, welche ich verwenden kann und von welchen ich lieber meine Maus lasse? Welche Fragen sollte man ich vorab stellen?
Wir haben eine Checkliste mit den wichtigsten Fragen erstellt.

Bevor man mit einer Video-Konferenz startet, sollte man sich über das gewählte Tool und dem Datenschutz-Verständnis dessen Anbieters informieren. Die folgende Liste versammelt die wichtigsten Fragen, die man sich stellen sollte, ehe man eines der vielen Video-Konferenz-Tools installiert:

1. Zuerst ist es wichtig, sich im eigenen Unternehmen darüber zu informieren, ob es nicht bereits ein eigenes, unternehmensinternes Videochat-Tool gibt? Oder muss doch auf ein Saas-Lösung (Software as a Service) zurückgegriffen werden?

2. Welche Angebote an Software stammen aus der EU und welche nicht?
   Man sollte hier auf jeden Fall auf einen europäischen Dienst bevorzugen, da diese der DSGVO unterliegen. Stammt er beispielsweise aus den USA, sollte vorab geklärt werden, ob ein angemessenes Schutzniveau (in diesem Fall eine Privacy-Shield-Zertifizierung) vorhanden ist.

3. Welche Versionen gibt es an verfügbaren Tools? Und gibt es davon auch eine für Unternehmen? Oftmals gelten für „Business“-Tools und kostenpflichtige Abos erhöhte Datenschutzstandards.

4. Was hält der/die zuständige Datenschutzbeauftragte/r von diesem Tool? Auf jeden Fall muss mit einer Saas-Lösung ein Auftragsverarbeitungsvertrag abgeschlossen werden (Art. 28 DSGVO).

5. Dann sollten die technischen und organisatorischen Maßnahmen geprüft werden:
   • Werden die Daten verschlüsselt übertragen? Kann das Tool dies überhaupt?
   • Können die Datenschutz-Einstellungen manuell angepasst werden?
   • Werden Aufzeichnungen des Gesprächs angeboten? Und falls ja, wie lange und wo werden diese Aufzeichnungen gespeichert? Wie wird sichergestellt, dass die Teilnehmer:innen über die Aufzeichnung benachrichtig werden? Und wer kann auf diese zugreifen?
   • Werden die in einer Konferenz geteilten Dateien und Chat-Nachrichten gespeichert? Wenn ja, wo und wie lange?

6. Die KommunikationsteilnehmerInnen sind über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten zu informieren (Art. 12, 13 DSGVO). Dies gilt auch für deren Verarbeitung im Rahmen einer Telefonkonferenz. Sowohl die Aufnahme in die Datenschutzerklärung als auch das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) könnte hier erforderlich sein. Daher muss unbedingt der zuständige Datenschutzbeauftragte informiert werden!

7. Welche Schulungen benötigen die MitarbeiterInnen, um das Tool überhaupt verwenden zu können? Gibt es dazu bereits schriftliche Informationen oder Videos, die einen schnellen Überblick verschaffen? Sind diese auch für weniger IT-affine KollegInnen verständlich?

Berücksichtigt man vorab all diese Fragestellungen ist man einer datenschutzfreundlichen Variante der online Video-Kommunikation auf jeden Fall ein Stückchen näher.

Vorab genaue Informationen einzufordern und diese wichtigen Fragen zu stellen, ist auch in Zeiten einer Krise wichtig!

Vorbilder unserer Checkliste findet man hier und hier

Dieser Beitrag ist am 9.4.2020 am Blog Arbeit und Technik erschienen.

Die europäische Datenschutzgrundverordnung bringt konkrete Veränderungen mit sich. Eine davon ist die Datenschutzfolgenabschätzung, die in vielen Betrieben durchgeführt wird. BetriebsrätInnen erzählen.

Einiges an Aufgaben, die zuvor zentral bei der Datenschutzbehörde angesiedelt waren (z.B. Melderegister, Prüfung bestimmter Datenverarbeitungen) ist zu denjenigen verlagert worden, die über die Verwendung personenbezogener Daten entscheiden – direkt in die Betriebe. Dazu zählt die Verpflichtung, eine Datenschutzfolgenabschätzung durchzuführen.

Was ist eine Datenschutzfolgenabschätzung?

Eine Datenschutzfolgenabschätzung bedeutet die genaue Überprüfung der Auswirkungen von betrieblichen Anwendungen, Systemen, Programmen, etc.

Verantwortlich für diese Folgenabschätzung sind – wie der Name schon vermuten lässt – die in der Grundverordnung so genannten „Verantwortlichen“. Auf betrieblicher Ebene sind das die ArbeitgeberInnen. Doch können sie die Folgenabschätzung nicht im Alleingang durchziehen; betriebliche Datenschutzbeauftragte, allenfalls Behörden und jedenfalls Betroffene müssen hinzugezogen werden. Das Einzigartige an dieser Regelung ist, dass dem Betriebsrat explizit eine entscheidende Rolle zukommt, was sonst in der Grundverordnung kaum gegeben ist – um genau zu sein kommt eine Interessenvertretung der ArbeitnehmerInnen nur noch an einer anderen Stelle vor, nämlich wenn es im Artikel 88 DSGVO um das Abschließen von Kollektivverträgen oder Betriebsvereinbarungen geht.

Wann ist eine Datenschutzfolgenabschätzung erforderlich?

Eine Datenschutzfolgenabschätzung ist für die Verantwortlichen bei Inbetriebnahme oder Entwicklung neuer oder die Privatsphäre gefährdender Datenverarbeitungen verpflichtend. Eine DSFA muss zwar nicht immer erfolgen, aber immer dann, wenn „ein hohes Risiko für die Rechte der Betroffenen“ vorliegt, wenn besonders heikle Daten verarbeitet werden (zB Gesundheitsdaten ohne dass eine ausdrückliche gesetzliche Verpflichtung dazu besteht), wenn besonders viele Menschen erfasst werden (zB automatische Auto-Kennzeichen-Kontrollen im öffentlichen Raum) oder wenn weitgehend neue Technologien zum Einsatz kommen sollen (zB Biometrie). Aber auch das Machtungleichgewicht zwischen jenen, die für den Technikeinsatz verantwortlich sind und jenen, die von ihm betroffen sind, ist relevant bei der Beurteilung, ob eine DSFA gemacht werden muss. Die Gesetzgeber in Österreich haben dieses Machtungleichgewicht explizit in den Erläuterungen zu § 2 Abs 2 Z 4 zur Verordnung zur Datenschutzfolgenabschätzung erwähnt und dabei das Arbeitsverhältnis ebenso aufgezählt, wie das Verhältnis zwischen ÄrztInnen und PatientInnen.

Mit einer einmaligen Folgenabschätzung ist es allerdings nicht getan. Vielmehr stellt die DSFA einen kontinuierlichen Prozess dar, der die Anwendung technischer Systeme, die personenbezogene Daten verarbeiten, ein Leben lang begleiten soll.

Gab es das früher auch schon?

Früher (unter dem Regime der alten Datenschutzgesetzgebung) gab es auch eine ähnliche Abschätzung. Sie hieß „Vorab-Prüfung“ und war von der Datenschutzbehörde durchzuführen. In der Datenschutzgrundverordnung sind nun die Bedingungen wann eine solche Überprüfung gemacht werden muss und wie sie durchgeführt werden muss EU-weit einheitlich festgelegt. Und der Betriebsrat, definiert als „Vertreter der Betroffenen“, muss mit einbezogen werden (Artikel 35 Abs 90 DSGVO) .

Nachgefragt: wie funktioniert das mit der Datenschutzfolgenabschätzung im Betrieb?

Die Betriebsrätin eines großen Finanzdienstleisters hat erstmalig im Betrieb Informationen zur Datenschutzfolgenabschätzung eingeholt und durfte positiv überrascht feststellen, dass eine DSFA für einige Anwendungen durchgeführt wird. Zwar dürfte man sich dabei vorrangig um die Datenverarbeitungen bei KundInnen kümmern, aber immerhin gibt es ein Prozedere, das eingehalten wird und Ansprechpersonen, die sich darum kümmern. Zwar vermutet sie, dass es noch ein wenig dauern wird, bis sie alle Informationen zusammengetragen hat, aber „Hartnäckigkeit war noch nie ein Problem für mich“. (Zur Osterzeit ist das Suchen ja eine durchaus traditionelle Beschäftigung.) Nebeneffekt der betriebsrätlichen Recherche war die Information, dass im Unternehmen gleich drei betriebliche Datenschutzbeauftragte mit jeweils unterschiedlichen Zuständigkeitsbereichen beschäftigt sind.

Die Einführung einer Überwachungstechnik konnte abgewendet werden

Eine Betriebsrätin, die ebenfalls aus der Finanzbranche kommt, konnte im Zuge einer DSFA in Kooperation mit der betrieblichen Datenschutzbeauftragten sogar die Einführung einer neuen Technologie für die Beschäftigten verhindern. Bereits bei der Vor-Frage, ob nämlich eine DSFA erforderlich sei, stellte die Datenschutzbeauftragte fest, dass das geplante Überwachungs-Instrument jedenfalls einer DSFA – und auch einer Betriebsvereinbarung – bedarf. So weit kam es aber erst gar nicht, weil die Geschäftsführung davon Abstand nahm, die Technologie einzuführen.

Fragt man den Betriebsrat eines weltweit tätigen IT-Unternehmens, so ist er recht zufrieden damit, wie die Datenschutzfolgenabschätzung im Betrieb gehandhabt wird. Die DSFA wird frühzeitig vorgenommen. Es gibt fixe Abläufe, die eingehalten werden. Wenn es um die personenbezogenen Daten der Beschäftigten geht, wird der Betriebsrat mit einbezogen. „Im Großen und Ganzen“ meint er „läuft das bei uns ganz gut. Wahrscheinlich liegt das aber auch daran, dass wir ein großer IT-Konzern sind und man sich das gar nicht anders erlauben kann.“

Manche BetriebsrätInnen erhielten kaum Informationen

So geschehen in einem Betrieb des Sozial- und Gesundheitswesens. Dort arbeitet die betriebliche Datenschutzbeauftragte „im stillen Kämmerlein“ vor sich hin, erstellt eine DSFA, die von der Geschäftsführung abgenickt wird, aber nicht den Vorgaben der Datenschutzgrundverordnung entspricht. Der Betriebsrat wird nicht beratend hinzugezogen und weiß wenig über das Zustandekommen der DSFA.

Ähnlich dürfte es in einem Gewerbeunternehmen der Metallbranche aussehen. Zahlreiche Angelegenheiten, die mit der Datenschutzgrundverordnung zu tun haben, wurden an einen externen Dienstleister ausgelagert – so auch die Folgenabschätzung. Der Betriebsrat muss sich sämtliche Auskünfte erst mühsam einholen. Er nennt es: „Die kleine Pflanze Datenschutz muss ich erst langsam zum Blühen bringen.“

Der Beitrag ist erstmals am Blog http://arbeitundtechnik.gpa-djp.at/ erschienen.

Am 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Wir beantworten die häufigsten Fragen, die uns seither gestellt wurden.

Was bedeutet „Beschäftigtendatenschutz“?

Die DSGVO stellt klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten verarbeitet werden. Im Artikel 88 steht, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Dazu gehören Regelungen zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, zu Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.

Was ist das Grundrecht auf Datenschutz?

Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten – so wie z. B. das Recht auf die freie Meinungsäußerung. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person wozu verwendet werde, an wen Daten weitergeben werden, wie lange sie aufgehoben werden etc.

Was sind „sensible Daten“?

In der DSGVO heißen die früher „sensibel“ genannten Daten nun „besondere Kategorien personenbezogener Daten“. Das sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Sie werden in der DSGVO konkret aufgezählt: politische Meinung, Gewerkschaftszugehörigkeit, ethnische Herkunft, Daten zur Gesundheit, zur sexuellen Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen. Im Allgemeinen ist es verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat oder eine gesetzliche Vorschrift es verlangt (z. B. Arbeits- und Sozialversicherungsrecht). Dazu gehören auch die notwendigen arbeitsmedizinischen Daten. Diese Daten müssen besonders gut geschützt werden, damit sie nicht in die falschen Hände geraten.

Was hat sich geändert durch die DSGVO?

Die Rechte der Betroffenen wurden gestärkt, die Transparenz verbessert, die Löschpflichten strenger. Neu ist, dass nun für alle EU-Länder einheitliche Regeln gelten und die Strafen empfindlich erhöht wurden: Höchstausmaß ist 20 Millionen Euro bzw. 4 Prozent des weltweiten Unternehmensumsatzes.

Gilt die DSGVO auch bei Akten in Papierform?

Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z. B. ein Personalverwaltungsakt) unterliegt der DSGVO. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen oder der Ordner „Privat“ zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.
Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?
Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln, müssen sie die Grundprinzipien einhalten, egal ob sie im EU-Raum eine reale Niederlassung haben oder nicht. Dieses neue Prinzip ist auch unter dem Namen „Marktortprinzip“ bekannt.

Müssen ArbeitnehmerInnen die vom Arbeitgeber vorgelegte „Datenschutz- und Geheimhaltungserklärung“ unterschreiben?

Nicht unbedingt; wenn die Unterschrift eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen darstellt, spricht aber nichts dagegen. Die Pflicht zur Geheimhaltung ergibt sich für den/die ArbeitnehmerIn aber ohnehin aus der Loyalitätspflicht heraus. Auch die Zustimmung zu einer Daten­weitergabe, die sowieso zur Abwicklung des Dienstverhältnisses erforderlich ist, ist nicht problematisch. Beschäftigte werden aber häufig mit „Datenschutz­erklärungen“ konfrontiert, die Konventionalstrafen bei Nicht­einhaltung des Datenschutzes androhen. Hier ist größte Vorsicht geboten: Das zu unterschreiben führt zu einer Änderung des Einzelvertrages! Dieser Passus sollte also jedenfalls gestrichen werden.

Wann muss man eine Datenschutzfolgenabschätzung machen?

Eine Datenschutzfolgenabschätzung muss erfolgen, wenn eine Datenverwendung vermutlich einen Eingriff in die Grundfreiheiten der Betroffenen darstellt (z. B. permanentes GPS-Tracking, Videoüberwachung). Ebenfalls notwendig ist eine solche Folgenabschätzung bei der Verwendung besonderer Datenkategorien (siehe weiter oben). Die Betroffenen oder ihre VertreterInnen müssen dabei miteinbezogen werden; das heißt, im Arbeitsverhältnis muss bei einer Folgenabschätzung der Betriebsrat eingebunden werden. Der Arbeitgeber hat jedoch ohnehin laut Gesetz die Pflicht, den Betriebsrat zu informieren, welche personenbezogenen Daten er aufzeichnet und wie er sie verarbeitet.

Was muss bei der Nutzung von Firmenhandys und Computern beachtet werden?

Die Geschäftsführung kann Richtlinien zum allgemeinen Datenschutz im Betrieb festlegen (z. B. Verwendung von Passwörtern). Diese Vorschriften können aber auch Kontrollmaßnahmen oder Ordnungsvorschriften enthalten (z. B. private Nutzung von Handys und Laptops und deren Überwachung), die mit einer Betriebsvereinbarung zu regeln sind. Somit ist es jedenfalls ratsam, mit dem Betriebsrat eine Betriebsvereinbarung über die Nutzung von Diensthandys, Laptops etc. abzuschließen. Darin kann dann auch stehen, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte der Betriebsrat in diesem Zusammenhang hat.

Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?

Nein, sie müssen nur der neuen DSGVO angepasst werden, und allfällige Verweise auf den Gesetzestext müssen dem neuen österreichischen Datenschutzgesetz 2018 und der DSGVO angepasst werden. Die Verpflichtungen Betriebsvereinbarungen abzuschließen, bleiben wie sie sind.

Haftet der/die Datenschutzbeauftragte wenn z. B. Bußgelder verhängt werden?

Die Funktion des betrieblichen Datenschutzbeauftragten ist tatsächlich neu in der DSGVO. Unternehmen müssen einen Datenschutzbeauftragten ernennen: wenn eine umfangreiche, regelmäßige und systematische Datenverarbeitung stattfindet, oder wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden. Diese haften aber nicht automatisch für Verstöße des Unternehmens. Ihre Aufgaben sind Beratung, Schulung, Kontrolle, Zusammenarbeit mit Behörden.

Die BAWAG-Betriebsrätin Verena Spitz in Interview mit Datenschutzexpertin Clara Fritsch

Clara Fritsch: Ihr habt seit etwas mehr als einem Jahr die Funktion der betrieblichen Datenschutzbeauftragten besetzt. Wie kam es dazu?

Verena Spitz: Beschäftigt hat man sich mit Datenschutz bei uns schon lange. Bei einer Bank ist das nicht weiter verwunderlich. Allerdings ging es dabei meist um die Daten der Kundinnen und Kunden und um die von Geschäftspartnern. Da nun die Europäische Datenschutzgrundverordnung vor der Türe steht, in der betriebliche Datenschutzbeauftragte für Betriebe wie unseren verpflichtend einzuführen sind, wurde beschlossen, diese besser heute als morgen einzuführen. Diese Person muss sich ja auch erst einmal mit der betrieblichen Realität vertraut machen. Das braucht seine Zeit. Wenn die erst am 25.Mai bestellt wird, wenn die Grundverordnung gilt, dann ist es zu spät.

Fritsch: War der Betriebsrat eingebunden bei der Auswahl der betrieblichen Datenschutzbeauftragten?

Spitz: Da hatten wir kein Mitspracherecht. Aber wir wurden über die Ausschreibung, ihre Inhalte, das Ergebnis immer gut informiert und auf dem Laufenden gehalten.

Fritsch: Welche Aufgaben hat die neue Kollegin erhalten? Beziehungsweise wo liegen die Überschneidungen mit euren Aufgaben?

Spitz: Unsere Datenschutzbeauftragte muss sich einen Überblick verschaffen. Also hat sie einen Prozess aufgesetzt und in jedem Bereich Workshops gemacht um diesen Überblick zu erhalten. In jedem Bereich gibt es jetzt eine Verantwortliche oder einen Verantwortlichen an den man sich wenden kann. Alle internen Prozesse mussten an die Datenschutzgrundverordnung angepasst werden.

Überschneidungen gibt es überall dort, wo es um MitarbeiterInnendaten geht. Da informieren wir einander gegenseitig auf dem „kurzen Weg“.

Fritsch: Wieso ist es für die betriebliche Datenschutzbeauftragte sinnvoll, mit euch als Betriebsrat zusammen zu arbeiten?

Spitz: Als Betriebsrat haben wir Betriebsvereinbarungen zum Schutz der Beschäftigten eingefordert; zum Beispiel unsere Whistleblowing-Hotline, die internen Kommunikationsmittel, die Arbeitszeiterfassung, all das ist schon lange so vereinbart, dass die Privatsphäre der Beschäftigten gut geschützt ist. So ist schon lange klar, dass wir da ein wichtiger Gesprächspartner sind. Die Datenschutzbeauftragte braucht teilweise auch diese Betriebsvereinbarungen, damit sie rechtliche Grundlagen für Datenverwendungen vorweisen kann und kommt deshalb auf uns zu.

Wir konnten ihr immer wieder auch überbetrieblich wichtige Informationen geben. Zum Beispiel, dass die österreichische Datenschutzbehörde Treffen für betriebliche Datenschutzbeauftragte veranstaltet und man sich da überbetrieblich vernetzen kann. Diese Information hat der Kollegin sehr geholfen, weil der Informationsaustausch mit anderen Datenschutzbeauftragten für sie wichtig war.

Fritsch: Inwieweit könnt ihr von ihr als Kooperationspartnerin profitieren?

Spitz: Wir können dieses Thema jetzt gemeinsam besser bearbeiten. Wir sind da Gesprächspartnerinnen auf Augenhöhe. Sie nimmt unsere Vorschläge zur Gestaltung von innerbetrieblichen Abläufen meist ganz gerne an. Erst kürzlich wurde bei uns zum Beispiel in jeder Abteilung Projekte gestartet, damit das Verarbeitungsverzeichnis vollständig ist. In jeder Abteilung wurde eine zuständige Person ernannt, ein sogenannter SPOC eingerichtet; das steht für „single point of contact“. Jetzt sind wir als Betriebsrätinnen und Betriebsräte besser informiert, welche Datenanwendungen wo eigentlich überhaupt laufen.

Es ist ein gegenseitiger Nutzen. Wir fragen in der Geschäftsführung nach: „Sind die Vorhaben schon mit der Datenschutzbeauftragten abgesprochen?“ und sie fragt in der jeweiligen Fachabteilung, die Datenverarbeitungen mit den Beschäftigtendaten durchführt: „Wurde dazu schon eine Betriebsvereinbarung abgeschlossen?“

Fritsch: Welche drei wichtigsten Tipps würdest du BR-Kolleginnen geben, die ebenfalls mit der oder dem betrieblichen Datenschutzbeauftragten zusammenarbeiten möchten?

Spitz: Erstens sollte man von sich aus aktiv auf die neue Kollegin zugehen und ein Kooperationsangebot machen.

Zweitens sollten die relevanten Informationen für die betriebliche Datenschutzbeauftragte zur Verfügung gestellt werden

Drittens hilft es, die betriebliche Datenschutzbeauftragte als gleichberechtigte Partnerin zu verstehen.

Fritsch: Ich danke für das Interview.

Spitz: Bitte gerne.

Zum Abschluss noch ein Link-Tipp für all jene, die sich weiter mit den betrieblichen Datenschtzbeauftragten, ihren Aufgaben, Rechten und Pflichten beschäftigen möchte, findet bei der europäischen Artikel-29-Datenschutzgruppe einen guten Leitfaden.

Das Interview wurde auf dem Blog http://arbeitundtechnik.gpa-djp.at/ erstmals publiziert.

Persönliche Daten von ArbeitnehmerInnen und KonsumentInnen sollen nicht am Altar der digitalen Wirtschaft geopfert werden, meinen Gewerkschaften und NGOs. Für einen stärkeren EU-weiten Schutz kann sich auch die Bevölkerung einsetzen.

Haben Sie schon einmal bei einem Versandhaus oder einem Online-(Buch-)Händler etwas bestellt? Dann werden Sie nach dem Kauf „Empfehlungen“ für Artikel oder Bücher zugeschickt bekommen haben, die wieder ziemlich genau Ihrem Geschmack entsprechen. Das funktioniert, weil dank Internet viel mehr Angaben als nur der Name der KäuferInnen gespeichert werden.

Das elektronische Netz ermöglicht uns in Europa seit knapp 20 Jahren unzählige Möglichkeiten zur Information und Kommunikation, zum Shoppen, Musik hören oder Filme anschauen. Die Verlockung ist so groß, dass meist unbedacht bleibt, wie viel Informationen dabei über die „Personal Computer“ (PC) preisgegeben werden und an große Unternehmen fließen. Oder die KonsumentInnen nehmen nolens volens in Kauf, dass diese Firmen Gesetzeslücken zu Verkaufszwecken (aus-)nützen. Das soll sich jetzt in der EU ändern.

EU-Verordnung

Die Europäische Kommission möchte den Schutz der persönlichen Daten verbessern. Bis zu den Wahlen zum Europäischen Parlament im Mai 2014 soll es dazu eine Verordnung geben, ein EU-Gesetz, das in allen Mitgliedstaaten einheitlich gilt. Dass dabei die beste Lösung für ihre BürgerInnen herauskommt, dazu sind jedoch die Länder, ihre Regierungen, Minister und Abgeordneten selbst gefordert. Sie können – und sollen – sich seit zwei Jahren im Rahmen des EU-Gesetzgebungsprozesses einbringen, Stellungnahmen, Änderungswünsche und Ideen abgeben.

„Kraut und Rüben“ herrschen EU-weit nämlich, beschreibt Clara Fritsch von der GPA-djp die großen Unterschiede in Sachen Datenschutz, aber auch im jeweiligen Arbeitsrecht der Mitgliedsländer. Die Datenschutz-Expertin hält in der GPA-djp Weiterbildungsseminare für BetriebsrätInnen zum „Betriebliche/n Datenschutzbeauftragte/n“ ab und schreibt im Internet regelmäßig im Blog „Arbeit und Technik“ über Fragen des ArbeitnehmerInnen-Datenschutzes.

Datenschutzbeauftragte

Dass Beschäftigungsdaten ohne Wissen der Beschäftigten verarbeitet werden, wollen VertreterInnen der ArbeitnehmerInnen verhindern. Dabei geht es zum Beispiel um die Zeiterfassung oder (heimliche) Überwachung in Umkleide- oder Ruheräumen und Toiletten. Es gibt auch Unternehmen, die geheime Listen mit unliebsamen ArbeitnehmerInnen erstellen, weil sie etwa gewerkschaftlich aktiv sind; diese „schwarzen Listen“ sollen ebenfalls verboten werden. In der Datenschutz-Grundverordnung der EU ist zudem vorgesehen, dass Unternehmen mit mehr als 250 MitarbeiterInnen „Datenschutzbeauftragte“ haben.

In Deutschland, wo der Datenschutz und die Netzfreiheit große Tradition haben, befürchtet man dadurch sogar eine Verschlechterung. Hier sind in den Bundesländern derzeit schon in Kleinunternehmen Datenschutz-Beauftragte vorgeschrieben. Solche existieren in Österreich in lediglich 16 Prozent der Unternehmen, auf freiwilliger Basis. Sie werden künftig EU-weit zwar nicht den Status wie BetriebsrätInnen haben, sie sollten aber beispielsweise das Recht auf Weiterbildung in der Arbeitszeit erhalten.

KundInnen können wählen

„In Bezug auf den Arbeitgeber kann man nicht einfach einen anderen nehmen“, stellt Clara Fritsch zu persönlichen Daten von Beschäftigten klar. Sehr wohl einen anderen Händler können sich KundInnen beim Online-Shopping aussuchen. Selbst da soll es eine Verschärfung geben. Auch vermeintlich kostenlose Angebote wie Apps etc. sind nicht gratis, „sondern man bezahlt mit den Daten“, gibt Fritsch zu bedenken. Betroffene sollen der Nutzung ihrer Daten in Zukunft erst ausdrücklich, also durch sichtbare Zeichen, zustimmen. Stillschweigendes Akzeptieren der Geschäftsbedingungen oder vorangekreuzte Kästchen bei Buchungen oder Bestellungen im Internet sollen der Vergangenheit angehören.

Noch wehren sich daher WirtschaftsvertreterInnen und finanzstarke Lobbygruppen gegen Mehrauflagen und befürchten negative Auswirkungen auf die Zukunft der digitalen Wirtschaft. Doch ein starker Datenschutz sei nicht nur ein Grundrecht, sondern gerade auch aus wirtschaftlichen Überlegungen notwendig, meint der oberösterreichische SPÖ-EU-Abgeordnete Josef Weidenholzer. „Datenschutz ist eine Voraussetzung für das Funktionieren des Binnenmarktes (grenzenloses Einkaufen und Arbeiten in der EU, Anm.). Ein starker Datenschutz stärkt das Vertrauen der Kunden und ermöglicht damit nachhaltiges Wachstum.“

Lobbying in Brüssel

Die Datenschutzreform soll ebenso für Unternehmen gelten, die ihren Sitz außerhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Betroffen davon wären auch potente US-amerikanische Konzerne wie Facebook und Google. Also versuchen sie, auf die Änderung des Datenschutzes in Europa Einfluss zu nehmen. Das Gesetz steht noch im April im zuständigen Ausschuss des EU-Parlaments zur Abstimmung an – mit unfassbaren 1.571 Änderungsanträgen auf 1.297 A4-Seiten. Dabei haben wirtschaftsnahe EU-Abgeordnete auch Lobbying-Vorstöße von Großkonzernen wie Ebay und Amazon sowie Wirtschaftsverbänden abgeschrieben und in ihre Anträge übernommen, wie die Internet-Plattform „LobbyPlag“ aufdeckte.

Wer verhindern möchte, dass diese Plagiate EU-Gesetz werden, kann auch selbst aktiv werden. Die Bevölkerung kann sich an der Initiative „Wir wollen Datenschutz“ im Internet beteiligen. Unterstützt wird sie auch von der GPA-djp. Die bundesländerweite Kampagne, betrieben von der „Initiative für Netzfreiheit“ rund um einige „netzpolitisch interessierte und engagierte Österreicher“, also ebenfalls eine Nicht-Regierungsorganisation (NGO), wirbt für ein starkes europäisches Datenschutzrecht und die Wahrung der digitalen Bürgerrechte. Zusätzlich gibt es die internationale Kampagne „Privacy Campaign“. Sie ruft die Bevölkerung zur Aufforderung an das Bundeskanzleramt in Wien auf, dass sich Österreich im (gesetzgebenden) EU-Rat für einen strengeren Datenschutz einsetzt.

www.privacycampaign.eu

ArbeitnehmerInnen brauchen einen besseren Schutz ihrer Daten, insbesondere in multinationalen Konzernen. Die Gewerkschaften versuchen in Brüssel die Rechte der Beschäftigten zu stärken.

Arbeitgeber haben Zugang zu vielen personenbezogenen Daten ihrer Beschäftigten: über die persönlichen Lebensumstände und die Gesundheit, aber auch über Verkaufszahlen oder die berufliche Vorgeschichte.

Digitale Profile

„Leider ist es in der globalisierten Geschäftswelt üblich geworden, lieber mehr als weniger Daten auszutauschen. So schicken österreichische Tochtergesellschaften multinationaler Konzerne nicht selten personenbezogene Daten quer über alle Ozeane zur Konzernzentrale. Dabei wird oft nicht überprüft, welche Daten gemäß dem Datenschutzgesetz tatsächlich weitergegeben werden dürften und ob diese Fülle an preisgegebenen Informationen wirklich notwendig wäre“, kritisiert Clara Fritsch, Datenschutzexpertin der GPA-djp. In den Zentralen der Konzerne entstehen so digitale Profile der Beschäftigten, die zu unsachlichen Kategorisierungen verleiten und in keinem Zusammenhang mit den jeweiligen Erfordernissen an die Beschäftigten mehr stehen.

Ausufernder Datenaustausch

Auch Helmut Wolff, Betriebsratsvorsitzender bei einem großen Anbieter von  Kommunikationslösungen, warnt vor den Gefahren des ausufernden Datenaustausches: „Es ist gefährlich, viele Daten zentral zusammenlaufen zu lassen. Dies verleitet dazu, Äpfel mit Birnen zu vergleichen und willkürliche Entscheidungen zu treffen, die zwar insgesamt kostengünstig erscheinen, aber weder auf die einzelnen Unternehmensstandorte eingehen, noch die Interessen und Fähigkeiten der MitarbeiterInnen berücksichtigen können.“

Anonym statt personenbezogen

Wolff hält es für rechtlich bedenklich und auch gar nicht für notwendig, personenbezogene Umsatzdaten an einen Mutterkonzern weiterzugeben: „Anonymisierte Abteilungszahlen reichen völlig aus, um der Unternehmensleitung das notwendige Material für strategische Entscheidungen in die Hand zu geben“. Werden Provisionen und Umsatzzahlen auf die einzelnen MitarbeiterInnen heruntergebrochen, so werden rasch Vergleiche allein aufgrund der Kosten angestellt. „Das birgt die Gefahr, dass einzelne Unternehmensteile in Billig-Lohn-Länder ausgelagert werden, nur weil dort ein Techniker weniger Gehalt oder Provision bezieht als ein Mitarbeiter in einem Hochpreisland. Dabei wird allerdings übersehen, dass das umfangreiche Wissen hoch gebildeter MitarbeiterInnen auch in wirtschaftlich schwierigen Zeiten eine unschätzbare Ressource für die Betriebe darstellt“, argumentiert Wolff.

Für Wolff ist klar, dass eine Zentrale gewisse Regeln für die Auszahlung variabler Gehaltsbestandteile vorgibt. Die nationalen Unternehmen müssen aber weiterhin über Provisions-, Prämien- und Gehaltszahlungen entscheiden können. „Hier sehe ich keine Notwendigkeit dafür, personenbezogene Daten weiterzugeben“, so Wolff.

Das österreichische Datenschutzgesetz sieht vor, dass personenbezogene Daten nur im unbedingt erforderlichen Ausmaß weitergegeben werden dürfen. BetriebsrätInnen, die die Datenweitergabe beschränken wollen, müssen in der Regel zuerst einmal eine Betriebsvereinbarung aushandeln. Eine mögliche Grundlage bietet das Arbeitsverfassungsgesetz. Darauf basierend kann eine Betriebsvereinbarung abgeschlossen werden, wenn die Menschenwürde berührt wird – ein weitgefasster Begriff über dessen Auslegung sich trefflich streiten lässt.

BetriebsrätInnen stärken

Gewerkschaften und Arbeiterkammer fordern daher eine Vertretungsbefugnis für BetriebsrätInnen beim Datenschutz: „Derzeit können Datenschutzverletzungen vor Gericht nur durch die betroffenen MitarbeiterInnen selber eingeklagt werden. Viele Menschen, die sich in einem Konflikt mit dem Dienstgeber befinden, scheuen vor diesem Schritt zurück. Hier könnten die BetriebsrätInnen sehr viel erreichen“, beschreibt Clara Fritsch die Situation.

Fritsch steht derzeit gemeinsam mit KollegInnen der deutschen Gewerkschaft für Dienstleistungsbranchen (Ver.di) in Gesprächen mit europäischen Spitzenbeamten. Gemeinsam wollen sie im vorliegenden Entwurf für die Datenschutzverordnung noch Verbesserungen für die Beschäftigten auf europäischer Ebene erreichen. „Der Datenschutz für ArbeitnehmerInnen muss besonders verankert werden, denn in Arbeitsverhältnissen gibt es stärkere persönliche und wirtschaftliche Abhängigkeiten als in anderen Lebensbereichen“, argumentiert Fritsch. Die Beratungspraxis innerhalb der Gewerkschaft hat gezeigt, dass die meisten Anfragen der Beschäftigten auch wirklich zum Thema „Konzern-interne Datentransfers“ kommen. „Die Menschen sind beunruhigt über die Geschwindigkeit und die Breite, mit der ihre Daten rund um die halbe Welt verteilt werden“, so Fritsch.

Datenschutzbeauftragte

Konkret wünscht sich Fritsch für den Datenschutz der ArbeitnehmerInnen auf europäischer Ebene eine spezielle Vertrauensperson: „Wir schlagen die gesetzliche Verankerung von Datenschutzbeauftragten vor, die – ähnlich den Sicherheitsvertrauensleuten im Betrieb – weisungsfrei handeln können und kündigungsgeschützt sind.“ Diese Datenschutzbeauftragten sollen eine vermittelnde Rolle zwischen Geschäftsführung, Beschäftigten und BetriebsrätInnen ausfüllen, in Datenschutzfragen Auskunft geben und beurteilen, ob eine Datenverwendung im konkreten Fall wirklich notwendig und auch zulässig ist. Die Datenschutzbeauftragten müssten rechtlich so gestellt sein, dass sie Datenschutzagenden auch in multinationalen Konzernen grenzübergreifend wahrnehmen können.

Das langfristige Ziel der GPA-djp ist es, einen effizienten rechtlichen Rahmen zu schaffen, der einen EU-weiten Standard zum Schutz der Privatsphäre von ArbeitnehmerInnen setzt. „Langfristig gelänge dies am besten durch die Schaffung einer eigenen europäischen Richtlinie zum ArbeitnehmerInnendatenschutz“, so Fritsch.

Info: Die europäische Datenschutzrichtlinie

Auf europarechtlicher Ebene harmonisiert die Datenschutzrichtlinie (RL 95/46/EG) den Datenschutz innerhalb der EU und unterwirft den Export personenbezogener Daten aus der europäischen Union strengen Bedingungen. Die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation.