Jusletter IT

Laut einer aktuellen FORBA-Studie, in der österreichische Betriebsräte befragt wurden, sind bei knapp 99% der Befragten Internet und E-Mail im Einsatz¹. Betriebsvereinbarungen dazu wurden aber in weniger als der Hälfte der Betriebe abgeschlossen. SAP ist bei zwei Drittel der Befragten im Einsatz, davon verfügen aber nur knapp 40 Prozent über eine Betriebsvereinbarung. Dies kann einerseits geringes Problembewusstsein widerspiegeln, ebenso aber schwierige juristische, institutionelle und organisatorische Rahmenbedingungen der Betriebsratsarbeit. In jedem Fall ist dieser Befund kein guter Indikator für den Beschäftigtendatenschutz (BSD). Wie die Erfahrungen aus der Beratungstätigkeit der Gewerkschaften und Arbeiterkammern zeigen, hat BSD nur in jenen Betrieben eine Chance, in denen 1. ein Betriebsrat existiert, 2. sich dieser für das Thema Beschäftigtendatenschutz interessiert und 3. darauf besteht, verbindliche Regeln in Betriebsvereinbarungen niederzuschreiben und diese auch mit Leben zu erfüllen.

Die Rechtsgrundlagen, auf die sich Beschäftigte und Betriebsräte dabei stützen können, sind nicht besonders reichhaltig, da der explizite Beschäftigtendatenschutz sowohl in der bisherigen europäischen Datenschutz-Richtlinie 95/46/EG als auch im österreichischen Datenschutzgesetz 2000² nur eine marginale Rolle spielt. Wichtig sind vor allem die Kontroll-, Informations- und Mitbestimmungsrechte im Arbeitsverfassungsgesetz³, die jedoch die Existenz eines Betriebsrates voraussetzen. Für Unternehmen ohne Betriebsrat – und das betrifft die Mehrheit der in der Privatwirtschaft Beschäftigten – gibt es zwar eine Auffangbestimmung in § 10 AVRAG. Die Konfliktfähigkeit vereinzelter Beschäftigter dürfte sich in der Praxis jedoch in Grenzen halten. Denn «wo es keinen Betriebsrat gibt, können MitarbeiterInnen ihre Rechte auf Schutz ihrer personenbezogenen Daten, die sich aus dem Datenschutzgesetz (DSG) ableiten, nur individuell einfordern. In solchen Betrieben werden daher Regelungen, z.B. zur Internetnutzung, häufig im Rahmen des Dienstvertrages vereinbart. Diese begünstigen dann jedoch üblicherweise mehr die Interessen des Arbeitgebers als die des Arbeitnehmers bzw. der Arbeitnehmerin.»⁴ Dazu kommt, dass je kleiner die Unternehmen, desto seltener ein Betriebsrat existiert. Die institutionellen Voraussetzungen für den BDS sind in KMU daher eher dürftig.

In die Diskussion ist jedoch Bewegung gekommen. In Deutschland gab es nach öffentlich stark beachteten Datenschutzskandalen in Großunternehmen einen Anlauf zu einer Ergänzung des Bundesdatenschutzgesetzes durch einige Bestimmungen zum BDS.⁵ In Österreich gab es 2012 wieder einen Versuch, im Datenschutzgesetz einen betrieblichen Datenschutzbeauftragten zu verankern.⁶ Dieses Thema wird auch in dem Entwurf der EU-Kommission zu einer europäischen Datenschutz-Grundverordnung (DS-GVO) vom Jänner 2012 angesprochen⁷, so dass die nationalen Gesetzgebungsprozesse vorerst auf «Abwarten» eingestellt sind. Aufgrund des starken Lobbyings der Unternehmerseite hat der Kommissions-Entwurf beachtliches Interesse geweckt.⁸

Vor dem Hintergrund dieser Diskussion über eine europäische DS-GVO möchte ich einige grundlegende Fragen aufgreifen:

• Gibt es einen Unterschied zwischen dem DS für abhängig Beschäftigte und dem DS im Allgemeinen bzw. in anderen Bereichen? Was ist das Besondere am BSD?
• Vor welchen Herausforderungen steht der Datenschutz angesichts der Entwicklungsdynamik in Technik, Arbeitsorganisation und -beziehungen?
• Wie können praktikable Regulierungen des BSD aus Sicht der Beschäftigten aussehen?

Im Zuge von Bewerbungsverfahren bei einem großen internationalen Unternehmen wurden Gesundheitsvorsorgeuntersuchungen angeboten. Diese Untersuchungen wurden für sämtliche Bereiche angeboten, also etwa auch für die Verwaltung und nicht etwa bloß für besondere Gefährdungsbereiche. Die Untersuchungen wurden mit Einwilligung der BewerberInnen vorgenommen.⁹ Für diese ist es faktisch gar nicht möglich, in der Bewerbungssituation freiwillig in solche Gesundheitsvorsorgeuntersuchungen einzuwilligen oder aber sie abzulehnen. Eine freie Entscheidung ist hier nicht möglich.

Firmen verlangen von Bewerbern gelegentlich, ihren Unterlagen einen Versicherungsdatenauszug der österreichischen Sozialversicherung beizulegen. Darin sind nicht nur alle Vordienstzeiten lückenlos aufgelistet, sondern auch die jährliche Beitragsgrundlage, Zeiten längerer Krankenstände und der Arbeitslosigkeit. Also wesentlich mehr, als in einem klassischen Lebenslauf.¹⁰

Die Post stattete 2012 über 9000 ZustellerInnen mit Handhelds aus, die technisch eine Ortung per GPS ermöglichen. Hintergrund dafür ist der Rationalisierungsdruck in einem liberalisierten Postmarkt. Die österreichische Post muss sich jetzt auch bei der Briefzustellung für den Markteintritt von Konkurrenten wappnen. Damit dieser Rationalisierungswettlauf nicht auf dem Rücken der Beschäftigten ausgetragen wird, hat die Postgewerkschaft in einer Betriebsvereinbarung Regeln für die GPS-Nutzung durchgesetzt. So darf die Ortungsfunktion nur mit dem Wissen der ZustellerInnen und maximal drei Mal pro Jahr für je einen Monat aktiviert werden.¹¹

Eine Kellnerin wurde entlassen, weil einer ihrer Facebook-Freunde auf ihrer Seite einen abfälligen Kommentar über den Chef gepostet hatte.¹²

Die Praxis der Erhebung personenbezogener Daten ist vielfältig. Gemeinsam ist den meisten Fällen, dass die Daten entweder aus elektronischen Anwendungen stammen oder dort landen, und daher die Entwicklung der IKT die Datenerhebung, -verarbeitung und -speicherung erheblich erleichtert. Personenbezogene Daten im Arbeitsverhältnis werden vor allem mit folgenden Systemen und Technologien verarbeitet. ¹³

• Systeme der Personalverwaltung (Der Einsatz in diesem Bereich ist stark von der Erfüllung und Dokumentation gesetzlicher Verpflichtungen getrieben):
• Lohn- und Gehaltsverrechnung
• Digitaler Personalakt
• Elektronische Zeiterfassung
• Gesundheitsdatenerfassung
  • Systeme zur Personalentwicklung und Weiterbildung
• Bewerbungsmanagement
• Systeme zur Leistungserfassung und -steuerung (bzw. Verhaltenskontrolle):
  • Controllingsysteme wie z.B. Vertriebssteuerungssysteme
  • Fertigungsmanagementsysteme/MES (Manufacturing Execution System)
  • Call Center Anwendungen
  • Qualitätssicherungssysteme
  • Compliance- und Dokumentationsanforderungen im Finanzsektor
• (Klassische) Kommunikationssysteme (Verbindungs- und Inhaltsdaten):
  • Telefonanlage, Voice over IP
  • Email
  • Instant Messaging
  • Videokonferenzsysteme
• Internet und Social Media-Anwendungen
• Steuerungs- und Verwaltungssoftware:
  • Remote Software
  • MDM-Lösungen (Mobile Device Management)
• Branchenlösungen:
  • Projektmanagement
  • Mobile Datenerfassung
  • Erfassung externer Wartungstätigkeiten
  • GPS-/GSM-Ortung
  • Fahrtenschreiber, Fahrzeugdatenauswertung
• Überwachungssysteme:
  • Zutrittskontrolle (RFID, biometrische Systeme)
  • Videoüberwachung (analog bzw. digital)

Aus der Sicht des dispositiven unternehmerischen Handelns ist die Motivation klar: Je besser die Informationslage des Managements über den «Produktionsfaktor Arbeit», desto besser kann die Auswahl und der Einsatz erfolgen. Dabei fallen erhebliche Datenmengen an, die für EDV prädestiniert sind:¹⁴

• Allein die Anzahl der Daten pro Beschäftigten aufgrund gesetzlicher Vorschriften aus dem Arbeits-, Sozial- und Steuerrecht bewegt sich im dreistelligen Bereich.
• Personaldaten werden für unterschiedlichste Zwecke verarbeitet, das einzelne Datum ist also multidimensional. So dient z.B. die Arbeitszeiterfassung der gesetzlichen Aufzeichnungspflicht für Arbeitszeit und Entlohnung, der Berechnung von Gleitzeitmodellen, wie auch der Kontrolle von arbeitsvertraglich übernommenen Verpflichtungen.
• Die meisten Verarbeitungen von Personaldaten nach sich wiederholenden gleichbleibenden Algorithmen fallen regelmäßig immer wieder an.
• Zu einem großen Teil sind die Auswertungen von Personaldaten stark formalisierbar und bedürfen keiner komplexen inhaltlichen Bewertungen.
• Die automationsunterstützte Verarbeitung von Personaldaten erhöht die Transparenz und Objektivität und erleichtert somit dem mittlerem und unterem Management, seine Entscheidungen zu legitimieren – nach unten wie nach oben hin.

So zweckmäßig Personalinformationssysteme im Hinblick auf eine rationelle, wettbewerbsorientierte Unternehmensführung also sind, so entfalten sie für die Beschäftigten dennoch ein vielschichtiges Bedrohungspotential. Darauf einzugehen ist notwendig, weil Rechtsetzung und -sprechung an Begriffen wie «Berühren der Menschenwürde» oder dem «berechtigten Zweck» i.S.d. DSG anknüpfen. Dabei sind strukturelle und funktionale Faktoren zu unterscheiden.¹⁵

 

Strukturelle Faktoren sind solche, die für den EDV-Einsatz typisch sind, sich aber je nach Interessenlage und Betroffenheit positiv oder negativ auswirken. So ermöglicht der EDV-Einsatz aus Sicht des Managements einen rationelleren Personal- und Ressourceneinsatz – was natürlich vielfach auch im Interesse der Beschäftigten ist. Für diese verdichtet sich aber vor allem die Arbeitet und die Kontrolle. Als solche strukturelle Faktoren wirken

• die Aktualität der Daten, deren quantitative und qualitative Ausweitung,
• ihre Verknüpfbarkeit,
• Kontextverlust, Ent-Individualisierung und Scheinobjektivität,
• der Zwangscharakter – vor allem der Datenerhebung,
• die Sensibilität von gesundheitlichen, familiären, biometrischen oder genetischen Daten,
• die Ausweitung der unternehmensinternen und -übergreifenden Datenzugriffsmöglichkeiten durch die zunehmende Vernetzung der Systeme
• und schließlich der zunehmende Informationsvorsprung des Managements gegenüber den Beschäftigten und der Belegschaftsvertretung.

Für die abhängig Beschäftigten bedeutet EDV-Einsatz daher meist Verdichtung der Arbeit, Intensivierung der Kontrolle, Auflösung geschützter privater Bereiche und Verstärkung der persönlichen Abhängigkeit.

Funktionale Faktoren beziehen sich auf die jeweilige Art der Nutzung bestimmter EDV-Anwendungen im Personalwesen wie Erfassung der Arbeitszeit und Arbeitsleistung oder Krankenständen, die Entgeltfindung oder Mitarbeiterbeurteilung. Beispielweise kann die Leistungserfassung in einer Werbeagentur dazu dienen, die Abrechnung gegenüber den Kunden auf eine transparentere Basis zu stellen. Diese Daten werden jedoch zu Kontrolldaten, sobald sie im Hinblick auf die individuelle Leistung der einzelnen Beschäftigten ausgewertet werden. Was bedeutet es, wenn ein Beschäftigter 70 Prozent seiner Arbeitszeit über die Leistungsabrechnung erfasst und abrechnet, ein anderer vergleichbarer Beschäftigter jedoch nur 50 Prozent? Die Bedrohung entspringt also dem Funktionswandel und möglichen Missbrauch ursprünglich neutraler Daten.

Vielfach lässt sich die Kontrollfunktion der Daten gar nicht erkennen, denn regelmäßig besteht Ungewissheit darüber, welche Daten in welcher Form miteinander verknüpft werden, welche Entscheidungskriterien das Management in die Auswertungen einbaut, welche Ergebnisse daraus abgeleitet werden und mit welchen Konsequenzen Beschäftigte im Falle von negativen Ergebnissen zu rechnen haben.

Die Kontrollfunktion der Personaldatenverarbeitung bewirkt eine Gleichrichtung der funktionalen Faktoren. So ist jederzeit eine Kontrolle auf Basis aktueller und historischer Daten möglich. «Die Daten (z.B. augenblickliche Arbeitsleistung) des kontrollierten Arbeitnehmers können unmittelbar mit … den Durchschnitts- oder Vergangenheitsdaten anderer Arbeitnehmer, mit den aktuellen Daten anderer Arbeitnehmer … verglichen werden. … Die Datenverarbeitung kennt keine ,Gnade des Vergessens. ,Vergangenheit bleibt Gegenwart».¹⁶ Die Personaldatenverarbeitung wird zu einer unüberschaubaren, komplexen Kontrollinstanz, die einen Druck erzeugen kann, der einem Berühren der Menschenwürde gleichkommt.

Die Ausprägung dieser Systeme entfaltet sich mit zunehmender Größe der Unternehmen. Bemerkenswert ist, dass es aber auch in einem Teil der Großunternehmen keine oder nur wenige Betriebsvereinbarung zur Datenverarbeitung gibt.¹⁷

Möchte man sich mit dem BDS systematisch auseinandersetzen, kommt man nicht umhin, sich dasjenige Merkmal genauer anzusehen, das das Arbeitsverhältnis in juristischer Hinsicht konstituiert – den Arbeitsvertrag. Beispielhaft beziehe ich mich hier auf die Argumentation von Brodil.¹⁸ Er sieht in der Wahrung der Privatsphäre im Arbeitsverhältnis «seit jeher ein zentrales Thema im arbeitsvertraglichen Kontext». Worin besteht dieser Zusammenhang zwischen Wahrung der Privatsphäre bzw. Schutz der persönlichen Daten einerseits und Arbeitsvertrag andererseits?

Wesentliches Merkmal des Arbeitsvertrages in juristischer Sicht ist die persönliche Abhängigkeit des sogenannten Arbeit-«nehmers», die sich in der höchstpersönlichen Arbeitspflicht, der sachlichen und persönlichen Weisungsunterworfenheit, der Eingliederung in die betriebliche Hierarchie, der wirtschaftlichen Abhängigkeit, der Kontrollunterworfenheit und der damit verbundenen disziplinären Verantwortung des Beschäftigten ausdrückt.

Dem Arbeitgeber müsse gegenüber seinen Beschäftigten eine umfassende Kontrollbefugnis zustehen, «weil er nur dann seine Arbeitskräfte im Rahmen sinnvoller Zusammenarbeit einsetzen kann.» Dies diene dem Arbeitgeber dazu, «seine typischer Weise gegliederten Produktionsabläufe in hinreichend vernünftiger Form organisieren zu können.» Die umfassende Befugnis des Arbeitgebers zur Kontrolle seiner Arbeitnehmer werde verständlicher, «wenn man sich vor Augen hält, dass die intensiven Kontroll- und Weisungsbefugnisse des Arbeitgebers erst eine sinnvolle Gestaltung der Arbeitsabläufe erleichtern bzw. ermöglichen.» Brodil sieht in dieser intensiven Kontrollbefugnis die «Grundlage der Existenz von Arbeitsrecht überhaupt». Dieses solle in seiner Schutzfunktion einen Ausgleich für die persönliche Abhängigkeit gewähren.

Brodil beschreibt mit dem Arbeitsverhältnis als Arbeits-, Dienst- oder Anstellungsvertrages die juristische Form, den rechtliche Mantel eines ökonomischen Verhältnisses. Dieses beinhaltet ein statisches und ein dynamisches Moment. Das statistische Moment ist die Verteilung des im Arbeitsprozess geschaffenen Wertes, die Primärverteilung – im Wesentlichen die Reproduktionskosten der Arbeitskraft für die Beschäftigten, und der Rest – der Mehrwert bzw. Gewinn – für die Eigentümer der Produktionsmittel. Das dynamische Moment drückt sich in der Tendenz zur Steigerung der Profitrate aus – unter anderem durch Hebung der Effizienz in Entwicklung, Leistungserstellung und Vertrieb. Um dies durchzusetzen, muss das Management Kontrolle ausüben über Entwicklungs- und Produktionsprozesse und die darin Tätigen. Dies erfordert umfassende Informationen über Märkte, Technologien, betriebliche Prozesse sowie die Beschaffenheit der sachlichen und menschlichen Ressourcen.

Brodil bezeichnet die Kontrollunterworfenheit bzw. die Kontrollbefugnisse des Arbeitgebers als Informationsbeschaffung. Dabei handle es sich immer um dasselbe strukturelle Grundproblem: «Regelmäßig stehen einander im Arbeitsverhältnis die Kontroll- bzw. Informationsinteressen des Arbeitgebers und die schützenswerte Persönlichkeitssphäre des Arbeitnehmers gegenüber.»¹⁹

Diese Auseinandersetzung um die Verfügungsgewalt über personenbezogene Daten der Beschäftigten ist immer auch eine Konfrontation um die Bedingungen betrieblicher Verhältnisse und darum, wer diese in welchem Ausmaß kontrolliert. Es geht dabei nicht nur um den Schutz bzw. die Kontrolle der individuellen Privatsphäre der einzelnen Beschäftigten als Selbstzweck, sondern darüber hinaus auch um die individuelle und kollektive Kontrolle der Arbeitsbedingungen, des Arbeitsverhältnisses und letztlich auch der Verteilungsbedingungen. Dies könnte erklären, warum die Installation eines betrieblichen Datenschutzbeauftragten in Österreich nicht voran kommt, warum in Deutschland die Novelle zum BDS wieder auf Eis gelegt wurde, und warum auf EU-Ebene zum Entwurf einer Datenschutz-Grundverordnung von Unternehmerseite heftigste Lobbyarbeit betrieben wird.²⁰

In dem Maße, in dem sich fortgeschrittene Volkswirtschaften von einer industriellen über eine Dienstleistungs- zu einer Wissensökonomie weiter entwickeln (und dementsprechend auch unsere gesamte Gesellschaft), produzieren wir immer mehr Daten, nicht nur über Dinge, sondern auch personenbezogene Daten über die an der Ökonomie beteiligten und in ihr tätigen Menschen.

Wenn man einige derzeit in Entwicklung befindliche Technologien mit nur geringem Fantasie-Aufwand in die Zukunft fortschreibt, kommt man zu einer beeindruckenden Vision:

• Intranets mit Social-Media-Anwendungen à la Facebook, die den internen Mailverkehr sowie einen guten Teil der internen Telefonate weitgehend ersetzen. Die Verbindungs- und Inhaltsdaten dieser Kommunikation können dauerhaft gespeichert werden. Ein Argument dafür ist die Erfüllung von Compliance-Anforderungen, insbesondere im Finanzsektor.
• Ständige Ortung über GPS und Telekommunikationsdienste im Fahrzeug (Honsel 2012), vor allem aber über Smart Phone, Tablet und Datenbrille (Beuth 2013).
• Unified Communication Systeme verwandeln das Smart Phone im Gebäude des Unternehmens in eine Nebenstellenanlage des Festnetzes – die ihren Standort zusammen mit ihrem Inhaber von einem Raum zum nächsten wechselt. Daraus lässt sich hausintern ein lückenloses detailliertes Bewegungsprofil ableiten.
• Augmented Reality Devices wie Googles Datenbrille, ermöglichen es, arbeitsrelevante Zusatzinformationen ins Gesichtsfeld der Arbeitenden einzublenden, oder Audio-Anweisungen zu übermitteln. Zugleich können über integrierte Videokamera und Mikro die Umgebung und auch die Manipulationen des Trägers erfasst werden. Damit werden umfassende Zustandsinformationen über den Träger erzeugt, übermittelt und gespeichert: Ort, Lage, Bewegungsrichtung, Manipulationen, sprachliche Äußerungen.²¹ Schon jetzt gibt es solche Anwendungen im Bereich der Montage und Wartung von Flugzeugen oder bei der Wartung von Servern in Rechenzentren.
• Möglich ist es, Fahrzeuglenkern und Maschinenführern – aus Sicherheitsgründen – ständig Messdaten über ihre körperlichen und psychischen Aktivitäten abzunehmen: Puls, Atmung, Hautwiderstand, Hirnströme. Es ist ein Paradoxon, dass die Steuerung großer, komplexer Systeme nach wie vor nicht völlig an Maschinen delegiert werden kann, dass der Mensch aber zugleich das größte Sicherheitsrisiko darstellt – weshalb er dauernd überwacht werden muss.
• Dateneingabe statt mit Tastatur und Maus über die Stimme und schließlich via Gedankensteuerung (Keßler 2012). Und ebenso die Datenausgabe via akustischer Knochenübertragung vom Brillenbügel, über Einblendungen in das Gesichtsfeld der Datenbrille und schlussendlich über virtuelle Sprache, die direkt im Gedankenstrom erscheint – wobei sämtliche Datenein- und -ausgaben auf Servern bzw. in der Cloud gespeichert werden können. Zumindest für die Verbindungsdaten könnte es ja eine Verpflichtung zur Vorratsdatenspeicherung geben.

Entscheidend ist nicht, ob dieser Technologien in drei, zehn oder dreißig Jahren zum Einsatz kommen. Entscheidend ist die Entwicklungstendenz, die sich damit abzeichnet. Einige der genannte Anwendungen werden vielleicht wieder verschwinden, nur um später in anderer Form wieder aufzutauchen, so wie Apples Newton im iPhone und iPad seine Wiedergeburt erlebte. Die neuen Informations- und Kommunikationstechnologien sind im Hinblick auf Effizienzsteigerung, flexibles und vernetztes Arbeiten ja sehr attraktiv. «Mehr Video- und Telefonkonferenzen, gemeinsames Arbeiten an einem Dokument, auf das von überall zugegriffen werden kann, und ein anderer Managementstil kommen auf uns zu. ... Der Einsatz neuer Kommunikationstechnologien ermöglicht es, auch Mitarbeiter in virtuelle Teams einzubinden, die nicht am selben Ort agieren.»²² Aus Sicht des Unternehmens mag das positiv sein und wird auch von vielen Beschäftigten gerne angenommen. Auf der anderen Seite schreitet damit die Entgrenzung von Berufs- und Privatleben voran, Erwerbsarbeit breitet sich auch außerhalb der vereinbarten Arbeitszeit immer weiter aus. Zugleich wird die Arbeit immer dichter, die erholsamen und kommunikativen Leerläufe können forthin produktiv genutzt werden.

Einer besonderen Legitimation bedarf es dazu nicht, denn es ist in unserer Gesellschaft allgemein akzeptiert, «dass die intensiven Kontroll- und Weisungsbefugnisse des Arbeitgebers erst eine sinnvolle Gestaltung der Arbeitsabläufe erleichtern bzw. ermöglichen.» ²³ Dazu kommt, dass viele Menschen gewohnt sind, als Konsumenten im Internet oder als Flaneure in den sozialen Medien und in der Augmented Reality gerne und freiwillig ausführlich persönliche Daten preiszugeben. Warum also nicht auch im Betrieb?²⁴

Der Unterschied besteht darin, dass Online-Konsumenten oder Flaneure im Netz keinem Dauerschuldverhältnis unterliegen, wie abhängig Beschäftigte im Betrieb. Durch die IKT-Entwicklung entsteht die Möglichkeit, dass sich das Arbeitsverhältnis zu einer Rundum-Kontrollbeziehung wandelt, dass abhängig Beschäftigte zu Cyborgs mutieren. «Die große Gefahr besteht aus der Kombination aller technischen Möglichkeiten und aus der jederzeitigen Rekonstruierbarkeit von Abläufen innerhalb betrieblicher Sphären. Wenn alles, was wir tun, dokumentiert werden kann, etwa durch Bilder oder durch Bewegungsprofile, die erstellt werden, dann gibt es keine Möglichkeit des devianten Verhaltens mehr, ohne, dass man Angst haben muss, dass dies garantiert rauskommt.»²⁵

All diese Entwicklungen werden in den nächsten Jahren massentauglich werden und werden im Rahmen einer Arbeitswelt eingesetzt werden, deren rechtliche Grundfiguren («Dienstnehmer» und «Dienstgeber») in eine vorindustrielle Ära zurück reichen. Die 1995 in Kraft getretene DS-RL stammt aus einer Vor-Internet-Zeit und soll jetzt kurz vor ihrem 20. Geburtstag von einer neuen DS-GVO abgelöst werden. Es ist nicht unwahrscheinlich, dass diese wiederum 20 Jahre in Kraft bleiben wird. In diesem Zeitraum werden nicht nur die oben genannten Technologien breit zum Einsatz kommen, sondern es wird auch ganz neue, heute noch unbekannte Entwicklungen geben. Auch 1995 hatte niemand eine Ahnung vom Aufstieg der sozialen Medien à la Facebook.²⁶

Was folgt daraus für die Entwicklung eines neuen Datenschutz-Regulatives?

Die Politik muss sich der Herausforderung stellen, dass Datenschutz im Betrieb und für abhängig Beschäftigte etwas anderes bedeutet, als Datenschutz beim Kauf eines Buches bei Amazon oder bei Partyvideos mittels einer Datenbrille, weil im Arbeitsverhältnis noch die Dimension der Arbeitsbeziehung und der Kontrollunterworfenheit hinzukommt. Da sich einzelne Beschäftigte gegenüber dem Management grundsätzlich in der schwächeren Position befinden, sind besondere institutionelle Voraussetzungen für eine kollektive Interessenvertretung auch in Datenschutzangelegenheiten in der DS-GVO zu verankern.

Angesichts der rasanten technischen Entwicklung dürfen sich Datenschutznormen nicht auf einen bestimmten Stand der Technologien beziehen, sondern müssen weitgehend technik-neutral sein bzw. offen für neue Entwicklungen. Das bedeutet zweierlei: Einerseits sollen die Datenschutz-Regeln so beschaffen sein, dass sie auch für noch unbekannte Technologien und Anwendungen ein brauchbares Regulativ abgeben. Andererseits sollten sie die Entwicklung neuer Technologien und Anwendungen nicht unnötig hemmen. Dazu gibt es allerdings auch Stimmen, die sich von der vorgeschlagenen DS-GVO geradezu Innovationsimpulse erwarten. ²⁷

Welche Technologien entwickelt und eingesetzt werden, entscheiden in unserer derzeitigen Rechtsordnung weitgehend die Eigentümer. Im sonst so expansiven Wirtschaftsrecht hat sich kein «Technikrecht» entwickelt, das den Einsatz von Technologien analog dem Umweltrecht an den Bedürfnissen der Bevölkerung und der Beschäftigten misst, wenn man vom Energiesektor absieht. Das führt dazu, dass die Technik regelmäßig einen großen Vorsprung gegenüber den rechtlichen Regulierungen hat. «Die politisch durchaus gewollten Marktfreiheiten setzen hierfür die entscheidende Ursache. Eine solche Struktur fördert ganz gewiss die Innovation – gleichzeitig kanalisiert sie den Erfindungsreichtum jedoch auf marktgängige, gewinnträchtige Erzeugnisse. Soziale Nützlichkeit spielt nur insoweit eine Rolle, als sie sich auch in Euro und Cent ausdrückt.»²⁸

Es ist zu überlegen, ob eine starre und detaillierte Ausformulierung der materiellen Datenschutzansprüche und komplexe Verfahrensregeln beiden Seiten wirklich dienlich sind. Als Beispiel aus einem verwandten Bereich sei der allgemeine Kündigungsschutz genannt, der im deutschen oder italienischen Arbeitsrecht stärker ausformuliert ist, als im österreichischen. Die beschäftigungspolitischen Ergebnisse sprechen eher für den flexiblen österreichischen Weg. Dazu kommt, dass – sobald ein Problem oder Konflikt als Rechtsstreit ausgetragen wird – ein spezifischer Prozess in Gang kommt. «Das Gericht konstruiert jeden Konflikt als Einzelfall. Kläger und Beklagte stehen sich als vor dem Recht gleiche Parteien gegenüber. Das bedeutet allerdings auch, dass der Konflikt zu einem großen Teil aus dem gesellschaftlichen Zusammenhang gerissen und individualisiert wird. … Dies kann dazu führen, dass das massenhafte Auftreten von Problemen aus dem Blick gerät. Genauso werden allerdings andere Formen der Konfliktbearbeitung, die sich auf die Organisierung der Beschäftigten … stützen, durch die Individualisierung untergraben.» (Becksteiner 2010, S. 50)

Dazu kommt, dass die Beschäftigten in Kleinunternehmen – meist ohne Betriebsrat oder Datenschutzbeauftragten – selten über die Ressourcen verfügen, um einen Prozess durchzustehen. Wie im allgemeinen Arbeitsrecht würden Ansprüche aus der Verletzung von Datenschutzrechten dann meist erst nach Auflösung des Arbeitsverhältnisses geltend gemacht.

Dass ein EU-weit tätiges Unternehmen sich nicht mit 25 verschiedenen Datenschutzregulativen herumschlagen soll, ist das wesentliche Motiv für die Vorlage eines Entwurfes zu einer Datenschutz-Grundverordnung. Was sich auf EU-Ebene abspielt, gilt aber genauso für die globale Ebene. Eine europäische Regelung bedarf daher einer starken Flankierung durch die Weiterentwicklung internationaler Übereinkommen.

Recherche im Internet und in sozialen Medien nach der Vergangenheit von BewerberInnen und Beschäftigten kann man rechtlich verbieten, aber kaum unterbinden. Und Beschäftigte, die sich als Online-Konsumenten und Flaneure im Internet an die Offenbarung ihrer persönlichen Daten gewöhnt haben, werden möglicherweise auch in der Arbeit einiges an Datenschutzverletzungen hinnehmen. Der Gesetzgeber muss also ein waches Auge dafür haben, ob die hehren materiellen Rechte möglicherweise durch die technische und soziale Praxis unterlaufen werden.

Dass fortschrittliche Regelungen des BDSes nicht utopisch sind, zeigen einige nationale Vorbilder:²⁹

• In Finnland gibt es ein eigenes Gesetz zum Schutz der Privatsphäre am Arbeitsplatz. Die Kontrollbehörde für den Datenschutz ist mit jener für Sicherheit und Gesundheit am Arbeitsplatz gekoppelt, so dass ihr wesentlich größere Ressourcen zur Verfügung stehen.
• In Schweden haben Betriebsräte das Recht, Datenschutzangelegenheiten für ihre Beschäftigten vor den Datenschutzkontrollbehörden einzuklagen. Das erleichtert den Zugang zum Recht, weil einzelne Betroffene sich dann nicht mehr «in die Auslage» stellen müssen.
• In Belgien sind Datenschutz-Angelegenheiten explizit in Kollektivverträgen zu regeln.
• In Deutschland gibt es die betrieblichen Datenschutzbeauftragten. Ein weitergehender Gesetzesentwurf zum ArbeitnehmerInnen-Datenschutz war schon in Begutachtung, wurde im Hinblick auf die EU-Grundverordnung aber auf Eis gelegt.

Wichtigster Punkt ist wohl, den BDS nicht nur als individuelle, auf dem Klagsweg zu entscheidende Angelegenheit aufzufassen, sondern als kollektive Problemlage, die auch kollektive Instrumente erfordert. Institutionen wie Datenschutzbehörden, betriebliche Datenschutzbeauftragte oder sozialpartnerschaftliche Vereinbarungen können eine wichtige Rolle bei der zeitgemäßen Interpretation und Anwendung sowie Weiterentwicklung der DS-GVO spielen. Diese kann Raum geben für flexible Vereinbarungen auf betrieblicher und kollektivvertraglicher Ebene, die die Anwendung von Datenschutzgrundsätzen auf aktuelle technische Entwicklungen und Anwendungen herunter brechen.

Für Konzerne soll es laut Grundverordnungs-Entwurf EU-weit nur einen Datenschutzbeauftragten geben, unabhängig von der Größe und Struktur der Tochterunternehmen und der Verteilung auf verschiedene Mitgliedsstaaten. Tatsächlich kann es in einem Konzern aber kein Ressourcenproblem sein, mehrere Datenschutzbeauftragte einzurichten. Das ist vielmehr eine Frage der Wertung.

Wenn betriebliche Datenschutzbeauftragte wie im Entwurf vorgesehen erst ab 250 Beschäftigten installiert würden, hieße das für Österreich und viele andere EU-Staaten, dass für die Mehrheit der Beschäftigten Datenschutz-Garantien zwar auf dem Papier stünden, ihnen ein wesentliches Instrument zur Durchsetzung dieser Rechte aber vorenthalten wird.

Betriebliche Datenschutzbeauftragte dürfen sich nicht nur als Hüter der Kundendaten verstehen, sondern müssen mit dem klaren Auftrag zum Schutz der Beschäftigtendaten ausgestattet werden. Daher sollte bei ihrer Bestellung dem Betriebsrat ein Vetorecht zustehen. Als Vertrauenspersonen der Beschäftigten sollen sie mit Informationsrechten und Schutz vor Motivkündigung ausgestattet werden. Dennoch bleibt der Betriebsrat die gewählte Interessenvertretung der Beschäftigten und sollte weiterhin über Datenschutzkompetenzen verfügen und diese mittels Verbandsklagerecht durchsetzen können.

Im ArbeitnehmerInnenschutz hat sich das Instrument der Evaluation eingebürgert. Das könnte auch für den BDS ein Vorbild sein.

Der Gesetzgeber schafft geradezu einen Anreiz für Verletzungen des BDS, wenn für daraus gewonnene Informationen in arbeitsrechtlichen Verfahren kein Beweisverwertungsverbot gilt, und zugleich solche Datenschutzverletzungen in der Praxis nicht sanktioniert werden. Dahinter stehen häufig noch weitere Datenschutzverletzungen, bei denen es nicht zum Verfahren kam. Diese Schieflage bedarf einer Korrektur.

Schließlich könnten Beschäftigte und ihre Interessenvertretungen neben einer EU-Grundverordnung auch andere Instrumente aufgreifen, z.B. Rechtsfortbildung durch Inanspruchnahme des Europäischen Gerichtshofs für Menschenrechte auf Basis des Art. 8 EMRK (Recht auf Achtung des Privat- und Familienlebens und Schutz der Korrespondenz) und des Europäischen Gerichtshofes auf Basis der Art. 7 (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) der Grundrechtscharta.³⁰

Datenschutz ist komplex, es spielen dynamische technische, ökonomische und juristische Faktoren auf verschiedenen Ebenen ineinander. Umso wichtiger sind klare Ziele. Der Hamburger Datenschutzbeauftragte Johannes Caspar auf die Frage, wie man der totalen Überwachung am Arbeitsplatz begegnen könne: «Möglichst keine Daten auf Vorrat zu erheben, möglichst keine heimlichen Daten zu erheben und da, wo Daten erhoben werden, dies transparent werden zu lassen.»³¹

ARGE DATEN. (9 June 2012). DSG-Novelle 2012 – Datenschutzbeauftragter soll Unternehmen entlasten. ARGE DATEN. Retrieved from http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=38815ngi

Beuth, P., Zukunftsvision Die analoge Welt ist nur die halbe Realität. Die Zeit. Hamburg. Retrieved from http://www.zeit.de/digital/internet/2012-10/augmented-reality-der-neue-digitale-graben, 19 October 2012

Beuth, P., Google Glass: Die Anti-Cyborgs. Die Zeit. Hamburg. Retrieved from http://www.zeit.de/digital/datenschutz/2013-03/stop-the-cyborgs-google-glass, 21 march 2013

Brodil, W., Internetnutzung am Arbeitsplatz. Beschränkungen und Kontrollmaßnahmen aus arbeits – und datenschutzrechtlicher Sicht. In Datenschutzgespräche 2011 – Datenschutz im Unternehmen. (pp. 61–72), Jan Sramek Verlag: Wien 2011

Caspar, J., Privacy at workplace – Kontrolle und Überwachung der Arbeitnehmer. Retrieved from http://pawproject.eu/de/sites/default/files/page/interview_caspar_de.pdf, 18 May 2011

Däubler, W., Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz (5., umfassend bearb. und aktualisierte Aufl.), Bund-Verlag: Frankfurt am Main 2010

Der Standard, Kellnerin wegen Facebook-Eintrag entlassen. Der Standard. Wien. Retrieved from http://derstandard.at/1333528619320/Nichts-selbst-geschrieben-Kellnerin-wegen-Facebook-Eintrag-entlassen, 4 June 2012

Europäische Kommission, G. J. Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). , Pub. L. No. KOM(2012) 11 endgültig (2012). Retrieved from http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf

Fritsch, C., Sozialversicherungsauszug als Bewerbungsschein ? | Arbeit & Technik. Retrieved from http://arbeitundtechnik.gpa-djp.at/2012/07/25/sozialversicherungsauszug-als-bewerbungsschein, 25 July 2012

futurezone/dpa, Datenschutz: Erneut Kritik an Lobbying bei EU | Netzpolitik. futurezone.at: Technology-News. Retrieved from http://futurezone.at/netzpolitik/14556-datenschutz-erneut-kritik-an-lobbying-bei-eu.php, 3 September 2013

Grünanger, J., Grundrechtsaspekte des Datenschutzes von Arbeitnehmern. In Nothing to hide – nothing to fear? : Datenschutz, Transparenz, Solidarität (pp. 258–266), Böhlau: Wien 2013

Günther, O. / Hornung, G. / Rannenberg, K. / Roßnagel, A. / Spiekermann, S. / Waidner, M., Datenschutz-Verordnung: Auch anonyme Daten brauchen Schutz. Die Zeit Hamburg. Retrieved from http://www.zeit.de/digital/datenschutz/2013-02/stellungnahme-datenschutz-professoren/, 14 February 2013 14

Leitner, M., Postler können sich via GPS überwachen lassen | Digital Life | futurezone.at: Technology-News. futurezone.at. Retrieved 20 March 2013, from http://futurezone.at/digitallife/14641-postler-koennen-sich-via-gps-ueberwachen-lassen.php, 14 March 2013

Löschnigg, G., Datenermittlung im Arbeitsverhältnis, ÖGB-Verlag: Wien 2009. Retrieved from http://www.oegbverlag.at/servlet/ContentServer?pagename=V01/Page/Index&n=V01_4.2.7.a&cid=1241788939717

Löschnigg, G., Datenermittlung im Arbeitsverhältnis, 2009

Mashable, The History of Social Media. Mashable. Retrieved from http://mashable.com/2011/01/24/the-history-of-social-media-infographic/, 25 January 2011

Musger, G. (Ed.), Gesund, sozial und nachhaltig managen, ÖGB-Verlag: Wien 2013. Retrieved from http://www.oegbverlag.at/servlet/ContentServer?pagename=V01/Page/Index&n=V01_0.a&cid=1361287958189

Riesenecker-Caba, T. / Bauernfeind, A., Verwendung personenbezogener Daten und Grenzen betrieblicher Mitbestimmung: Datenschutz in der Arbeitswelt, AK Wien: Wien 2011, Abt. Sozialpolitik. Retrieved from http://wien.arbeiterkammer.at/online/page.php?P=68&IP=63103&AD=0&REFP=2843

Schnepfleitner, S., Überwachung der Mitarbeiter am Arbeitsplatz. Karl-Franzens-Universität, Graz. Retrieved from http://www.forschungsnetzwerk.at/downloadpub/Schnepfleitner_Graz_Mitarbeiter_am_ Arbeitsplatz.pdf, November 2008

Verlag Dr. Otto Schmidt. (n.d.). Entwurf eines Beschäftigtendatenschutzgesetzes. Der Arbeits-Rechts-Berater. Retrieved from http://www.arbrb.de/gesetzgebung/16992.htm

---

 

Christian Wachter, Verlag des ÖGB, Wien.