Informationsethik: Datenschutzseminar für Betriebsrätinnen und Betriebsräte

03 Juni 2011

Datenschutzseminar für Betriebsrätinnen und Betriebsräte

12. und 13. Jänner 2011, Wien (Veranstalter: GÖD)
Referent: Thomas Riesenecker-Caba
mailto:riesenecker@forba.at
Forschungs- und Beratungsstelle Arbeitswelt (FORBA)
http://www.forba.at

Im täglichen Leben fallen bei nahezu jedem Schritt, den man tut, sei es privat oder an der Arbeitsstelle, Daten an, die mit der Person verbunden sind und ihrem Inhalt nach Auskunft über Bewegungsmodi, Arbeitstempo, Kommunikation, äußere Erscheinung, Fehler usw. Auskunft geben und da sie gespeichert werden, auch im nachhinein abrufbar sind, bzw. mit anderen Daten abgeglichen werden können.

Zu erkennende Trends aus der Betriebsräte-Beratung:

Alle betrieblichen Bereiche werden von Informationstechnologien durchdrungen und dadurch kommt es zu vermehrter Speicherung personenbezogener MitarbeiterInnendaten.

Eine globale und lokale Zusammenführung von personenbezogenen MitarbeiterInnendaten aus unterschiedlichen IT-Systemen ist möglich.

Daten mobiler Services werden in betriebliche Systeme und Prozesse integriert.

Bei der Auslagerung von Daten – z.B. an ein Rechenzentrum oder an Personalverwaltungsagenturen ist es für Betriebsräte schwierig zu überprüfen, was genau damit gemacht wird.

Nach dem DSG gelten auch die Daten von juristischen Personen (also Vereinen, Körperschaften) als personenbezogene Daten und sind damit schützenswert.

Welche Daten dürfen verwendet werden?

"Verwendung" heißt: in Bezug auf Daten verarbeiten und übermitteln.
Es kommen das ArbVG und das DSG 2000 zur Anwendung.
§6 DSG 2000 regelt Grundsätze der Verwendung von Daten – die gelindesten Mittel sind anzuwenden und / oder die Zustimmung des Betriebsrats ist erforderlich
§7 betrifft die Zulässigkeit der Verwendung von Daten
http://www.dsk.gv.at/
Die Wahrung der Menschenwürde ist der Kontrolldichte gegenüber zu stellen. Je intensiver die Kontrolle ist, desto mehr leidet die Menschenwürde.
§96 ArbVG.

Eine Zustimmung des Betriebsrats zur Verwendung personenbezogener Daten ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, oder Arbeitsvertrag ergeben.

Für die Frage der „vorgesehenen Verwendung“ ist der Leistungsumfang des konkret eingesetzten Programmpakets entscheidend.

Die Beurteilung hat daher anhand des gesamten installierten Systems zu erfolgen, dessen Grundlagen dem Betriebsrat offen zu legen sind.

Wie erfahre ich, was verwendet wird

DSG §26

Vor Aufnahme einer Datenanwendung hat der Auftraggeber eine Meldung an die Datenschutzkommission (1010 Wien, Hohenstaufengasse) zu machen.

Ausnahmen: Standardanwendungen (DSG §17 (2))

Welche Systeme verwenden personenbezogene Daten?

3 Bereiche:

  • Personenverwaltung
  • Leistungserfassung- und Kontrolle
  • Kommunikationssysteme
Wie soll der Betriebsrat mit der Datenvielfalt umgehen – vor allem wenn es um SAP geht – eine Anwendungssoftware, die quer durch alle betrieblichen Erfordernisse in einer Vielzahl von Anwendungsgebieten personenbezogene Daten verwaltet und unbegrenzte Möglichkeiten der Auswertung verfügt.
Zitat Wikipedia:
„SAP ERP ist das Hauptprodukt des deutschen Software-Unternehmens SAP AG, das es seit 1993 vertreibt. ERP steht für Enterprise-Resource-Planning oder Unternehmens-Informationssystem, womit alle geschäftsrelevanten Bereiche eines Unternehmens im Zusammenhang betrachtet werden können.“

Einer der größten Vorteile von SAP liegt in der zentralen Datenbank, die den Zugriff und Austausch von Informationen zwischen verschiedenen betrieblichen Bereichen massiv erleichtert. Aber durch die Vielzahl der in diesem System vorhandenen Anwendungsgebiete ist es schwierig, eine umfassende Übersicht über alle personenbezogenen Daten zu erhalten.

Wie soll der Betriebsrat mit der Datenvielfalt umgehen?

Personenbezogene Daten können vorerst in Kategorien geordnet werden
Kategorie A – allgemeine Daten zur Person
Kategorie B – Daten zur Person, die aus Gesetz […] oder Arbeitsvertrag für einen eindeutigen Zweck verwendet werden müssen
Kategorie C- schutzwürdige Daten sowie Daten für die keine gesetzliche Grundlage zur Verwendung besteht
Kategorie D – sensible Daten

Der Betriebsrat kann eine Regelung der Verwendung durch eine Betriebsvereinbarung anstreben.
Daten der Kategorien A und B – der Betriebsrat muss informiert werden
Daten der Kategorien C und D – vor der Verwendung muss der Betriebsrat einbezogen werden und zustimmen.

In einer etwaigen Betriebsvereinbarung sollen erfasst und geregelt werden

Verwendungszwecke
Module
Datenarten inkl. Kategorisierung
Auswertungen
Berechtigungskonzept (-> im Hinblick auf Datenschutz und Datensicherheit)
Schnittstellen und mögliche Dienstleister
Personalakten werden heute praktisch nur mehr in digitaler Form oder doppelt, in digitaler und Papier-Form geführt.

Der Vorteil der Digitalisierung ist natürlich, dass alle Inhalte leicht zu speichern, abzurufen, zu ergänzen, zu vervielfältigen und zu übermitteln sind.

Es entstehen allerdings die Fragen:

          Wer hat Zugriff?          Dürfen Dokumente kopiert werden?
         
Im Falle von Zugriff, Kopien, Übermittlung – bekommen Betroffene Auskunft?
         
Wann wird gelöscht?

Biometrische Daten

Deren Ergebung dient der Leistungserfassung und der Kontrolle – Beispiel Call-Center:
Einerseits: das System routet den Kunden, es kann zurückgerufen werden und Daten des Kunden könne erfasst werden, ohne dass der Kunde davon weiß oder sein Einverständnis erklärt – andrerseits: der Mitarbeiter des Callcenters wird kontrolliert hinsichtlich Gesprächsdauer, Kooperation, Kompetenz usw.

Videokontrolle – im DSG §§50a bis 50e

Es gilt Meldepflicht an die Datenschutzkommission – dort – nämlich bei der Geschäftsstelle der Datenschutzkommission in der Hohenstaufengasse 3, 1010 Wien –
kann man sich nach den Überwachungsgeräten im eigenen Betrieb erkundigen und erhält eine Liste der Standorte.

Löschung nach 72 Stunden
Videoüberwachung zur Mitarbeiterinnenkontrolle ist untersagt! (§50a, Abs. 5)

Kommunikationssysteme – eMail, Telefon, Handy, Voice over IP
E-Mail – zu beachten ist

- betriebliche Erwartungen (z.B. schnell zu antworten)
- eine Privatnutzung ist möglich, die Mails sollen aber in einem als „Privat“ gekennzeichneten Ordner abgelegt werden.
- was passiert bei Krankheit, im Urlaub
- welche Kontrollen laufen im Hintergrund

Soziale Netzwerke werden auch von Betrieben oder Betriebsräten genutzt, es fallen aber im Internet sehr viele persönliche Daten an,
VORSICHT – jede Veröffentlichung im Internet stellt ein Datenschutzproblem dar, da auch juristische Personen durch das DSG geschützt sind.
Im Intranet bleiben die Regelungen des Datenschutzgesetzes jedoch gewahrt.

Eine Unternehmensbefragung (BRD 2009) zeigte, dass Unternehmen bei Bewerbungen das Internet als Entscheidungshilfe nutzen.
Zwar beschränkte sich damals noch die Mehrzahl der Unternehmen auf allgemein zugängliche Informationen, aber immerhin ein Drittel bezog auch schon soziale Netzwerke mit ein.

Auch für Telefon und Handy gilt: Privatnutzung ist begrenzt möglich – weitergehend über Abrechnung.
Für Voice over IP (Skype) gilt:
Videokonferenzen, Austausch von Textmeldungen im Chat, gemeinsames Arbeiten an Dokumenten können zu Arbeitsintensivierung und Veränderung der Arbeitsinhalte führen.
Parallel dazu können die Arbeitsvorgänge protokolliert werden und bieten somit Möglichkeiten zur Kontrolle.

Datentransfer ins Ausland

Übermittlung und Überlassung in das Ausland ist ohne Beschränkungen im EU-Raum möglich (gleiches Datenschutz-Niveau)
- für Drittstaaten mit angemessenem Datenschutz ist eine Genehmigung durch die Datenschutzkommission erforderlich
- in die USA über diese Seite http://www.export.gov/safeharbor/ -
sie bietet sichere Rahmenbedingungen

Abschließend gilt, dass die Datenlage im eigenen Betrieb laufend beobachtet werden sollte und bei entstehendem Regelungsbedarf eine Betriebsvereinbarung erarbeitet werden muss. Die Forschungs- und Beratungsstelle Arbeitswelt (FORBA) bietet dabei Unterstützung und Hilfe an.

0 Comments:

Kommentar veröffentlichen

Links to this post:

Link erstellen

<< Home