1.
Einleitung ^
Die Rechtsgrundlagen, auf die sich Beschäftigte und Betriebsräte dabei stützen können, sind nicht besonders reichhaltig, da der explizite Beschäftigtendatenschutz sowohl in der bisherigen europäischen Datenschutz-Richtlinie 95/46/EG als auch im österreichischen Datenschutzgesetz 20002 nur eine marginale Rolle spielt. Wichtig sind vor allem die Kontroll-, Informations- und Mitbestimmungsrechte im Arbeitsverfassungsgesetz3, die jedoch die Existenz eines Betriebsrates voraussetzen. Für Unternehmen ohne Betriebsrat – und das betrifft die Mehrheit der in der Privatwirtschaft Beschäftigten – gibt es zwar eine Auffangbestimmung in § 10 AVRAG. Die Konfliktfähigkeit vereinzelter Beschäftigter dürfte sich in der Praxis jedoch in Grenzen halten. Denn «wo es keinen Betriebsrat gibt, können MitarbeiterInnen ihre Rechte auf Schutz ihrer personenbezogenen Daten, die sich aus dem Datenschutzgesetz (DSG) ableiten, nur individuell einfordern. In solchen Betrieben werden daher Regelungen, z.B. zur Internetnutzung, häufig im Rahmen des Dienstvertrages vereinbart. Diese begünstigen dann jedoch üblicherweise mehr die Interessen des Arbeitgebers als die des Arbeitnehmers bzw. der Arbeitnehmerin.»4 Dazu kommt, dass je kleiner die Unternehmen, desto seltener ein Betriebsrat existiert. Die institutionellen Voraussetzungen für den BDS sind in KMU daher eher dürftig.
In die Diskussion ist jedoch Bewegung gekommen. In Deutschland gab es nach öffentlich stark beachteten Datenschutzskandalen in Großunternehmen einen Anlauf zu einer Ergänzung des Bundesdatenschutzgesetzes durch einige Bestimmungen zum BDS.5 In Österreich gab es 2012 wieder einen Versuch, im Datenschutzgesetz einen betrieblichen Datenschutzbeauftragten zu verankern.6 Dieses Thema wird auch in dem Entwurf der EU-Kommission zu einer europäischen Datenschutz-Grundverordnung (DS-GVO) vom Jänner 2012 angesprochen7, so dass die nationalen Gesetzgebungsprozesse vorerst auf «Abwarten» eingestellt sind. Aufgrund des starken Lobbyings der Unternehmerseite hat der Kommissions-Entwurf beachtliches Interesse geweckt.8
- Gibt es einen Unterschied zwischen dem DS für abhängig Beschäftigte und dem DS im Allgemeinen bzw. in anderen Bereichen? Was ist das Besondere am BSD?
- Vor welchen Herausforderungen steht der Datenschutz angesichts der Entwicklungsdynamik in Technik, Arbeitsorganisation und -beziehungen?
- Wie können praktikable Regulierungen des BSD aus Sicht der Beschäftigten aussehen?
2.
Umfang der Erfassung personenbezogener Daten ^
Eine Kellnerin wurde entlassen, weil einer ihrer Facebook-Freunde auf ihrer Seite einen abfälligen Kommentar über den Chef gepostet hatte.12
Die Praxis der Erhebung personenbezogener Daten ist vielfältig. Gemeinsam ist den meisten Fällen, dass die Daten entweder aus elektronischen Anwendungen stammen oder dort landen, und daher die Entwicklung der IKT die Datenerhebung, -verarbeitung und -speicherung erheblich erleichtert. Personenbezogene Daten im Arbeitsverhältnis werden vor allem mit folgenden Systemen und Technologien verarbeitet. 13
- Systeme der Personalverwaltung (Der Einsatz in diesem Bereich ist stark von der Erfüllung und Dokumentation gesetzlicher Verpflichtungen getrieben):
- Lohn- und Gehaltsverrechnung
- Digitaler Personalakt
- Elektronische Zeiterfassung
- Gesundheitsdatenerfassung
- Systeme zur Personalentwicklung und Weiterbildung
- Bewerbungsmanagement
- Systeme zur Leistungserfassung und -steuerung (bzw. Verhaltenskontrolle):
- Controllingsysteme wie z.B. Vertriebssteuerungssysteme
- Fertigungsmanagementsysteme/MES (Manufacturing Execution System)
- Call Center Anwendungen
- Qualitätssicherungssysteme
- Compliance- und Dokumentationsanforderungen im Finanzsektor
- (Klassische) Kommunikationssysteme (Verbindungs- und Inhaltsdaten):
- Telefonanlage, Voice over IP
- Instant Messaging
- Videokonferenzsysteme
- Internet und Social Media-Anwendungen
- Steuerungs- und Verwaltungssoftware:
- Remote Software
- MDM-Lösungen (Mobile Device Management)
- Branchenlösungen:
- Projektmanagement
- Mobile Datenerfassung
- Erfassung externer Wartungstätigkeiten
- GPS-/GSM-Ortung
- Fahrtenschreiber, Fahrzeugdatenauswertung
- Überwachungssysteme:
- Zutrittskontrolle (RFID, biometrische Systeme)
- Videoüberwachung (analog bzw. digital)
- Allein die Anzahl der Daten pro Beschäftigten aufgrund gesetzlicher Vorschriften aus dem Arbeits-, Sozial- und Steuerrecht bewegt sich im dreistelligen Bereich.
- Personaldaten werden für unterschiedlichste Zwecke verarbeitet, das einzelne Datum ist also multidimensional. So dient z.B. die Arbeitszeiterfassung der gesetzlichen Aufzeichnungspflicht für Arbeitszeit und Entlohnung, der Berechnung von Gleitzeitmodellen, wie auch der Kontrolle von arbeitsvertraglich übernommenen Verpflichtungen.
- Die meisten Verarbeitungen von Personaldaten nach sich wiederholenden gleichbleibenden Algorithmen fallen regelmäßig immer wieder an.
- Zu einem großen Teil sind die Auswertungen von Personaldaten stark formalisierbar und bedürfen keiner komplexen inhaltlichen Bewertungen.
- Die automationsunterstützte Verarbeitung von Personaldaten erhöht die Transparenz und Objektivität und erleichtert somit dem mittlerem und unterem Management, seine Entscheidungen zu legitimieren – nach unten wie nach oben hin.
3.
Strukturelle und funktionale Faktoren bedrohen die Privatsphäre ^
So zweckmäßig Personalinformationssysteme im Hinblick auf eine rationelle, wettbewerbsorientierte Unternehmensführung also sind, so entfalten sie für die Beschäftigten dennoch ein vielschichtiges Bedrohungspotential. Darauf einzugehen ist notwendig, weil Rechtsetzung und -sprechung an Begriffen wie «Berühren der Menschenwürde» oder dem «berechtigten Zweck» i.S.d. DSG anknüpfen. Dabei sind strukturelle und funktionale Faktoren zu unterscheiden.15
- die Aktualität der Daten, deren quantitative und qualitative Ausweitung,
- ihre Verknüpfbarkeit,
- Kontextverlust, Ent-Individualisierung und Scheinobjektivität,
- der Zwangscharakter – vor allem der Datenerhebung,
- die Sensibilität von gesundheitlichen, familiären, biometrischen oder genetischen Daten,
- die Ausweitung der unternehmensinternen und -übergreifenden Datenzugriffsmöglichkeiten durch die zunehmende Vernetzung der Systeme
- und schließlich der zunehmende Informationsvorsprung des Managements gegenüber den Beschäftigten und der Belegschaftsvertretung.
Die Kontrollfunktion der Personaldatenverarbeitung bewirkt eine Gleichrichtung der funktionalen Faktoren. So ist jederzeit eine Kontrolle auf Basis aktueller und historischer Daten möglich. «Die Daten (z.B. augenblickliche Arbeitsleistung) des kontrollierten Arbeitnehmers können unmittelbar mit … den Durchschnitts- oder Vergangenheitsdaten anderer Arbeitnehmer, mit den aktuellen Daten anderer Arbeitnehmer … verglichen werden. … Die Datenverarbeitung kennt keine ,Gnade des Vergessens. ,Vergangenheit bleibt Gegenwart».16 Die Personaldatenverarbeitung wird zu einer unüberschaubaren, komplexen Kontrollinstanz, die einen Druck erzeugen kann, der einem Berühren der Menschenwürde gleichkommt.
4.
Arbeitsbeziehungen sind Informationsbeziehungen ^
5.
Dynamik der technologischen Entwicklung ^
- Intranets mit Social-Media-Anwendungen à la Facebook, die den internen Mailverkehr sowie einen guten Teil der internen Telefonate weitgehend ersetzen. Die Verbindungs- und Inhaltsdaten dieser Kommunikation können dauerhaft gespeichert werden. Ein Argument dafür ist die Erfüllung von Compliance-Anforderungen, insbesondere im Finanzsektor.
- Ständige Ortung über GPS und Telekommunikationsdienste im Fahrzeug (Honsel 2012), vor allem aber über Smart Phone, Tablet und Datenbrille (Beuth 2013).
- Unified Communication Systeme verwandeln das Smart Phone im Gebäude des Unternehmens in eine Nebenstellenanlage des Festnetzes – die ihren Standort zusammen mit ihrem Inhaber von einem Raum zum nächsten wechselt. Daraus lässt sich hausintern ein lückenloses detailliertes Bewegungsprofil ableiten.
- Augmented Reality Devices wie Googles Datenbrille, ermöglichen es, arbeitsrelevante Zusatzinformationen ins Gesichtsfeld der Arbeitenden einzublenden, oder Audio-Anweisungen zu übermitteln. Zugleich können über integrierte Videokamera und Mikro die Umgebung und auch die Manipulationen des Trägers erfasst werden. Damit werden umfassende Zustandsinformationen über den Träger erzeugt, übermittelt und gespeichert: Ort, Lage, Bewegungsrichtung, Manipulationen, sprachliche Äußerungen.21 Schon jetzt gibt es solche Anwendungen im Bereich der Montage und Wartung von Flugzeugen oder bei der Wartung von Servern in Rechenzentren.
- Möglich ist es, Fahrzeuglenkern und Maschinenführern – aus Sicherheitsgründen – ständig Messdaten über ihre körperlichen und psychischen Aktivitäten abzunehmen: Puls, Atmung, Hautwiderstand, Hirnströme. Es ist ein Paradoxon, dass die Steuerung großer, komplexer Systeme nach wie vor nicht völlig an Maschinen delegiert werden kann, dass der Mensch aber zugleich das größte Sicherheitsrisiko darstellt – weshalb er dauernd überwacht werden muss.
- Dateneingabe statt mit Tastatur und Maus über die Stimme und schließlich via Gedankensteuerung (Keßler 2012). Und ebenso die Datenausgabe via akustischer Knochenübertragung vom Brillenbügel, über Einblendungen in das Gesichtsfeld der Datenbrille und schlussendlich über virtuelle Sprache, die direkt im Gedankenstrom erscheint – wobei sämtliche Datenein- und -ausgaben auf Servern bzw. in der Cloud gespeichert werden können. Zumindest für die Verbindungsdaten könnte es ja eine Verpflichtung zur Vorratsdatenspeicherung geben.
Entscheidend ist nicht, ob dieser Technologien in drei, zehn oder dreißig Jahren zum Einsatz kommen. Entscheidend ist die Entwicklungstendenz, die sich damit abzeichnet. Einige der genannte Anwendungen werden vielleicht wieder verschwinden, nur um später in anderer Form wieder aufzutauchen, so wie Apples Newton im iPhone und iPad seine Wiedergeburt erlebte. Die neuen Informations- und Kommunikationstechnologien sind im Hinblick auf Effizienzsteigerung, flexibles und vernetztes Arbeiten ja sehr attraktiv. «Mehr Video- und Telefonkonferenzen, gemeinsames Arbeiten an einem Dokument, auf das von überall zugegriffen werden kann, und ein anderer Managementstil kommen auf uns zu. ... Der Einsatz neuer Kommunikationstechnologien ermöglicht es, auch Mitarbeiter in virtuelle Teams einzubinden, die nicht am selben Ort agieren.»22 Aus Sicht des Unternehmens mag das positiv sein und wird auch von vielen Beschäftigten gerne angenommen. Auf der anderen Seite schreitet damit die Entgrenzung von Berufs- und Privatleben voran, Erwerbsarbeit breitet sich auch außerhalb der vereinbarten Arbeitszeit immer weiter aus. Zugleich wird die Arbeit immer dichter, die erholsamen und kommunikativen Leerläufe können forthin produktiv genutzt werden.
Der Unterschied besteht darin, dass Online-Konsumenten oder Flaneure im Netz keinem Dauerschuldverhältnis unterliegen, wie abhängig Beschäftigte im Betrieb. Durch die IKT-Entwicklung entsteht die Möglichkeit, dass sich das Arbeitsverhältnis zu einer Rundum-Kontrollbeziehung wandelt, dass abhängig Beschäftigte zu Cyborgs mutieren. «Die große Gefahr besteht aus der Kombination aller technischen Möglichkeiten und aus der jederzeitigen Rekonstruierbarkeit von Abläufen innerhalb betrieblicher Sphären. Wenn alles, was wir tun, dokumentiert werden kann, etwa durch Bilder oder durch Bewegungsprofile, die erstellt werden, dann gibt es keine Möglichkeit des devianten Verhaltens mehr, ohne, dass man Angst haben muss, dass dies garantiert rauskommt.»25
6.
Herausforderungen für den Beschäftigtendatenschutz ^
6.1.
Sonderstellung des BDS ^
6.2.
Technikgetriebenheit ^
6.3.
Verrechtlichung ^
6.4.
Globale Verflechtung ^
6.5.
Durchsetzungsfähigkeit des Rechts im Alltag ^
7.
Lösungsansätze ^
- In Finnland gibt es ein eigenes Gesetz zum Schutz der Privatsphäre am Arbeitsplatz. Die Kontrollbehörde für den Datenschutz ist mit jener für Sicherheit und Gesundheit am Arbeitsplatz gekoppelt, so dass ihr wesentlich größere Ressourcen zur Verfügung stehen.
- In Schweden haben Betriebsräte das Recht, Datenschutzangelegenheiten für ihre Beschäftigten vor den Datenschutzkontrollbehörden einzuklagen. Das erleichtert den Zugang zum Recht, weil einzelne Betroffene sich dann nicht mehr «in die Auslage» stellen müssen.
- In Belgien sind Datenschutz-Angelegenheiten explizit in Kollektivverträgen zu regeln.
- In Deutschland gibt es die betrieblichen Datenschutzbeauftragten. Ein weitergehender Gesetzesentwurf zum ArbeitnehmerInnen-Datenschutz war schon in Begutachtung, wurde im Hinblick auf die EU-Grundverordnung aber auf Eis gelegt.
Schließlich könnten Beschäftigte und ihre Interessenvertretungen neben einer EU-Grundverordnung auch andere Instrumente aufgreifen, z.B. Rechtsfortbildung durch Inanspruchnahme des Europäischen Gerichtshofs für Menschenrechte auf Basis des Art. 8 EMRK (Recht auf Achtung des Privat- und Familienlebens und Schutz der Korrespondenz) und des Europäischen Gerichtshofes auf Basis der Art. 7 (Achtung des Privat- und Familienlebens) und Art. 8 (Schutz personenbezogener Daten) der Grundrechtscharta.30
Datenschutz ist komplex, es spielen dynamische technische, ökonomische und juristische Faktoren auf verschiedenen Ebenen ineinander. Umso wichtiger sind klare Ziele. Der Hamburger Datenschutzbeauftragte Johannes Caspar auf die Frage, wie man der totalen Überwachung am Arbeitsplatz begegnen könne: «Möglichst keine Daten auf Vorrat zu erheben, möglichst keine heimlichen Daten zu erheben und da, wo Daten erhoben werden, dies transparent werden zu lassen.»31
8.
Literatur ^
ARGE DATEN. (9 June 2012). DSG-Novelle 2012 – Datenschutzbeauftragter soll Unternehmen entlasten. ARGE DATEN. Retrieved from http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=38815ngi
Beuth, P., Zukunftsvision Die analoge Welt ist nur die halbe Realität. Die Zeit. Hamburg. Retrieved from http://www.zeit.de/digital/internet/2012-10/augmented-reality-der-neue-digitale-graben, 19 October 2012
Beuth, P., Google Glass: Die Anti-Cyborgs. Die Zeit. Hamburg. Retrieved from http://www.zeit.de/digital/datenschutz/2013-03/stop-the-cyborgs-google-glass, 21 march 2013
Brodil, W., Internetnutzung am Arbeitsplatz. Beschränkungen und Kontrollmaßnahmen aus arbeits – und datenschutzrechtlicher Sicht. In Datenschutzgespräche 2011 – Datenschutz im Unternehmen. (pp. 61–72), Jan Sramek Verlag: Wien 2011
Caspar, J., Privacy at workplace – Kontrolle und Überwachung der Arbeitnehmer. Retrieved from http://pawproject.eu/de/sites/default/files/page/interview_caspar_de.pdf, 18 May 2011
Däubler, W., Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz (5., umfassend bearb. und aktualisierte Aufl.), Bund-Verlag: Frankfurt am Main 2010
Der Standard, Kellnerin wegen Facebook-Eintrag entlassen. Der Standard. Wien. Retrieved from http://derstandard.at/1333528619320/Nichts-selbst-geschrieben-Kellnerin-wegen-Facebook-Eintrag-entlassen, 4 June 2012
Europäische Kommission, G. J. Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). , Pub. L. No. KOM(2012) 11 endgültig (2012). Retrieved from http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf
Fritsch, C., Sozialversicherungsauszug als Bewerbungsschein ? | Arbeit & Technik. Retrieved from http://arbeitundtechnik.gpa-djp.at/2012/07/25/sozialversicherungsauszug-als-bewerbungsschein, 25 July 2012
futurezone/dpa, Datenschutz: Erneut Kritik an Lobbying bei EU | Netzpolitik. futurezone.at: Technology-News. Retrieved from http://futurezone.at/netzpolitik/14556-datenschutz-erneut-kritik-an-lobbying-bei-eu.php, 3 September 2013
Grünanger, J., Grundrechtsaspekte des Datenschutzes von Arbeitnehmern. In Nothing to hide – nothing to fear? : Datenschutz, Transparenz, Solidarität (pp. 258–266), Böhlau: Wien 2013
Günther, O. / Hornung, G. / Rannenberg, K. / Roßnagel, A. / Spiekermann, S. / Waidner, M., Datenschutz-Verordnung: Auch anonyme Daten brauchen Schutz. Die Zeit Hamburg. Retrieved from http://www.zeit.de/digital/datenschutz/2013-02/stellungnahme-datenschutz-professoren/, 14 February 2013 14
Leitner, M., Postler können sich via GPS überwachen lassen | Digital Life | futurezone.at: Technology-News. futurezone.at. Retrieved 20 March 2013, from http://futurezone.at/digitallife/14641-postler-koennen-sich-via-gps-ueberwachen-lassen.php, 14 March 2013
Löschnigg, G., Datenermittlung im Arbeitsverhältnis, ÖGB-Verlag: Wien 2009. Retrieved from http://www.oegbverlag.at/servlet/ContentServer?pagename=V01/Page/Index&n=V01_4.2.7.a&cid=1241788939717
Löschnigg, G., Datenermittlung im Arbeitsverhältnis, 2009
Mashable, The History of Social Media. Mashable. Retrieved from http://mashable.com/2011/01/24/the-history-of-social-media-infographic/, 25 January 2011
Musger, G. (Ed.), Gesund, sozial und nachhaltig managen, ÖGB-Verlag: Wien 2013. Retrieved from http://www.oegbverlag.at/servlet/ContentServer?pagename=V01/Page/Index&n=V01_0.a&cid=1361287958189
Riesenecker-Caba, T. / Bauernfeind, A., Verwendung personenbezogener Daten und Grenzen betrieblicher Mitbestimmung: Datenschutz in der Arbeitswelt, AK Wien: Wien 2011, Abt. Sozialpolitik. Retrieved from http://wien.arbeiterkammer.at/online/page.php?P=68&IP=63103&AD=0&REFP=2843
Schnepfleitner, S., Überwachung der Mitarbeiter am Arbeitsplatz. Karl-Franzens-Universität, Graz. Retrieved from http://www.forschungsnetzwerk.at/downloadpub/Schnepfleitner_Graz_Mitarbeiter_am_ Arbeitsplatz.pdf, November 2008
Verlag Dr. Otto Schmidt. (n.d.). Entwurf eines Beschäftigtendatenschutzgesetzes. Der Arbeits-Rechts-Berater. Retrieved from http://www.arbrb.de/gesetzgebung/16992.htm
Christian Wachter, Verlag des ÖGB, Wien.
- 1 (Riesenecker-Caba & Bauernfeind, 2011, pp. 65, 73)
- 2 Speziellgeschützt werden abhängig Beschäftigte eigentlich nur im § 50a DSG 2000 zur Videoüberwachung.
- 3 §§89 ff, § 96 Z 2 und 3, § 69a ArbVG.
- 4 (Musger, 2013, p. 168)
- 5 (Verlag Dr. Otto Schmidt, n.d.)
- 6 (ARGEDATEN, 2012)
- 7 (Europäische Kommission, 2012)
- 8 (futurezone/dpa,2013)
- 9 (Caspar, 2011, p. 7)
- 10 (Fritsch, 2012)
- 11 (Leitner, 2013)
- 12 (Der Standard, 2012)
- 13 (Däubler, 2010, p. 45; Riesenecker-Caba & Bauernfeind, 2011, p. 15, 63 ff; Schnepfleitner, 2008)
- 14 (Löschnigg, 2009, pp. 24–26)
- 15 (Löschnigg, 2009, pp. 26–37)
- 16 (Löschnigg, 2009, p. 36)
- 17 (Riesenecker-Caba & Bauernfeind, 2011, p. 75)
- 18 (Brodil, 2011, p. 61 f)
- 19 (Brodil, 2011, p. 62)
- 20 (futurezone/dpa,2013)
- 21 (Beuth, 2012)
- 22 (Musger, 2013, p. 159)
- 23 (Brodil, 2011, p. 62)
- 24 (Beuth, 2013)
- 25 (Caspar, 2011, p. 7)
- 26 (Mashable, 2011)
- 27 (Günther et al., 2013)
- 28 (Däubler, 2010, p. 39)
- 29 (Musger, 2013, p. 165 f)
- 30 (Grünanger, 2013, p. 258)
- 31 (Caspar, 2011, p. 8)