1:
Datenschutz im Konzern
Schwerpunkt
Lohnverrechnung nach Indien outgesourct, Leistungsbeurteilung in der holländischen Zentrale, der Datenserver für das Business Intelligence Centre steht in der US-amerikanischen Tochtergesellschaft und das Kundenservice wird über das mehrsprachige Call-Center in der Schweiz abgewickelt. Das ist nicht Fiktion, sondern in manchen Betrieben bereits Realität. Zugleich sollen - geht es nach den Wünschen des Managements - die Daten der einzelnen MitarbeiterInnen bis hinauf in die höchsten Ebenen der Konzernleitung einsehbar und von dort auch steuerbar sein. Angesichts der wachsenden Unübersichtlichkeit in der Organisationsstruktur von Konzernen und dem zunehmenden Datentransfer ergeben sich neue Herausforderungen in der Betriebsratsarbeit.
Datenzentralisierung
ManagerInnen wollen ihre internationalen Gesellschaften einheitlich steuern und dazu benötigen sie die Daten zentralisiert und vergleichbar an einem Standort gesammelt, an allen Standorten einsichtig. Leistungsvergleiche sollen Produktivität steigern. Zentralisierte Lohnverrechnung soll Synergieeffekte schaffen. Soweit die Management-Theorie. Von Seiten der ArbeitnehmerInnen betrachtet bedeutet das einen verschärften Wettbewerb bis in die kleinsten Abteilungen. Es bedeutet, dass die persönlichen Daten einzelner MitarbeiterInnen von Personen eingesehen werden, die sie kaum oder gar nicht kennen. Fünf Ebenen über der nationalen Abteilungsleitung wird entschieden, wer versetzt wird, wer eine Leistungsprämie bekommt, wer interne Weiterbildung erhält oder auch wer gekündigt wird.
Was darf verwendet werden?
Nicht alles, was der/die ArbeitgeberIn an MitarbeiterInnen-Daten um den Globus schickt, ist gleich verboten. Es gibt zwei wesentliche Kriterien, die den Datentransfer unbedenklich machen.
1. Sind die Daten öffentlich zugänglich (z. B. im Telefonbuch) oder anonymisiert (z. B. in einer Statistik) darf sie jede/r verwenden.
2. Manche Daten müssen laut Gesetz erfasst und weitergeleitet werden (z. B. Krankenstände an die Sozialversicherung). Der Bundeskanzler hat in einer sogenannten Standardverordnung1 genau festgelegt, welche personenbezogenen Daten von dem/der ArbeitgeberIn festgehalten werden dürfen, und an wen diese Daten weitergeleitet werden dürfen. Zum Beispiel dürfen die Arbeitszeitdaten nur an das Arbeitsinspektorat, den Betriebsrat (BR), Sicherheitsvertrauenspersonen, RechtsvertreterInnen oder Gerichte weitergegeben werden. Das Geburtsdatum geht wiederum die Bank nichts an. Die Höhe des Gewerkschaftsbeitrages darf - nach Bekanntgabe durch die Betroffenen - nur der zuständigen Bank, der angegebenen Gewerkschaft, RechtsvertreterInnen und Gerichten zugänglich sein. Die Liste in der Standardverordnung ist sehr ausführlich und umfasst alle gängigen Daten der Personalverwaltung.
Es ist darin eindeutig festgelegt, wer welche Daten erhalten darf. Üblicherweise kommt man damit aus. Es empfiehlt sich, regelmäßig zu überprüfen, ob die Daten auch ausschließlich für den ihnen zugedachten Zweck - nämlich ausschließlich die Personalverwaltung - verwendet werden.
Nicht vorgesehen in der Standardanwendung ist z. B. eine Datenbank zur Aus- und Weiterbildungsverwaltung. Für solche Anwendungen braucht es die Zustimmung der Betroffenen. Das Datenschutzgesetz (DSG) beschreibt zwar nicht, ob diese Zustimmung schriftlich, mündlich oder durch betriebliche Übung zustande kommt, aber ein paar Kriterien sind doch festgelegt.
Sollen personenbezogene Daten verarbeitet werden, so muss dies frei und ohne Zwang passieren, in Kenntnis der Sachlage und für den konkreten Fall.2 Blanko-Unterschriften unter Formulierungen wie »Ich stimme zu, dass meine personenbezogenen Daten verarbeitet werden« sind also nicht rechtsgültig. Die Betroffenen müssen informiert werden, welche Daten, zu welchem Zweck, aus welchen Quellen verwendet werden.3 Sie müssen wissen, an wen ihre Daten übermittelt werden, wer Zugriff darauf hat und wie sie selbst Einsicht nehmen können. Das Ganze hat ohne unzumutbare Verzögerungen oder Kosten und auf verständliche Art und Weise zu erfolgen. Was genau zumutbar und verständlich ist, sei dahingestellt.
Datenverarbeitung
»Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt werden«, lautet der Gesetzestext.4 Datensammlungen auf »gut Glück«
(z. B. in Data Warehouses), oder um technische Möglichkeiten auszuloten, fallen nicht unter diese Beschreibung. Eine beliebige Suche nach irgendwelchen Verhaltensmustern entspricht auch nicht dem, was der Gesetzgeber sich hier vorstellt. Die Daten müssen richtig und aktuell sein - andernfalls kann der/die Betroffene verlangen, dass die Daten richtiggestellt oder gelöscht werden.5
Die Daten dürfen nur so lange gespeichert bleiben, so lange sie ihren Zweck erfüllen.6 Endlos lange Aufbewahrung von MitarbeiterInnen-Daten, die z. B. den Betrieb längst verlassen haben, sind also zu unterlassen.
Personenbezogene Daten
Im Grunde hinterlassen MitarbeiterInnen bei den meisten Tätigkeiten Daten. Sei es die Produktionsmaschine, die aufzeichnet von wann bis wann welche Tätigkeit ausgeführt wurde, sei es der Computer, auf dem jeder Mausklick und jeder Tastenanschlag nachverfolgbar sind, sei es das Diensthandy, das GPS im Dienstauto oder die Kontrolle der besuchten Internetseiten. Aber nicht nur bei der Arbeitstätigkeit selbst entstehen Daten, die auf einzelne Personen zurückführbar sind. Auch in der Verwaltung werden zahlreiche personenbezogene Daten gespeichert. Personalinformationssysteme (die gebräuchlichsten sind derzeit SAP oder ORACLE), Zeiterfassungssysteme, Workflowsysteme, Zutrittskontrollsysteme oder Videokontrolle zeichnen die persönlichen Daten der MitarbeiterInnen auf. Diese einzelnen Systeme werden in letzter Zeit zunehmend miteinander kombiniert. Mit der Zeiterfassung läuft gleichzeitig eine Kontrolle der Arbeitsauslastung, mit dem SAP wird automatisch auch der Workflow aufgezeichnet und das Telefonsystem im Call-Center liefert Leistungsdaten, aus denen allfällige Prämien errechnet werden.
Damit sind Gefahren verbunden
Daten werden oft nicht dafür verwendet, wofür sie erhoben werden.
Daten werden zwecklos gespeichert und verknüpft - einfach weil es möglich ist.
Aus Daten werden falsche Schlüsse gezogen, weil mit ihnen die direkte Kommunikation ersetzt statt unterstützt wird.
MÖGLICHKEITEN DES/DER BETRIEBSRATES/-RÄTIN
Im Datenschutzgesetz sind es vor allem die Betroffenen selbst, die ihre Rechte geltend machen können. Der/die Betriebsrat/-rätin kann nicht für die Belegschaft oder einzelne MitarbeiterInnen intervenieren. Er/sie kann aber dazu anregen, dass die Betroffenen ihre Rechte in Anspruch nehmen, er/sie kann den Informationsaustausch zwischen den Einzelpersonen koordinieren, sie zur Solidarität anregen und sie mit Argumentationshilfen unterstützen.
Der/die Betriebsrat/-rätin kann vor allem auf Grundlage des Arbeitsverfassungsgesetzes (ArbVG) aktiv werden.
Er/sie hat das Recht auf Information darüber, was an personenbezogenen Daten gespeichert, verarbeitet und weitergegeben wird.9
Und er/sie muss diese Angaben auch überprüfen können.
Er/ sie hat das Recht auf Mitbestimmung, wenn Kontrollmaßnahmen eingeführt werden sollen, die die Menschenwürde berühren.10
Ob die Menschenwürde berührt ist oder nicht, hängt laut verschiedenen OGH-Entscheidungen vor allem von der Intensität der Überwachung und vom subjektiven Empfinden der Überwachten ab.
Mitbestimmung ist auch erforderlich, wenn Daten erfasst werden, die über allgemeine Angaben zur Person und fachliche Voraussetzungen hinausgehen.11
Bewährt hat sich in vielen Betrieben auch der Abschluss von Vereinbarungen zum Datenschutz. Eine solche Vereinbarung sollte jedenfalls folgende Punkte beinhalten:
Einhaltung sicherstellen; diese kann z. B. erreicht werden durch Schulungen, Audits, Sanktionen, Schadenersatzansprüche, die über das gesetzlich vorgesehene Maß hinausgehen; keine rein freiwilligen und sanktionsfreien Vereinbarungen!
Die Materie ist äußerst komplex. Daher ist von Einzelkämpfertum abzuraten. KooperationspartnerInnen für den/die Betriebsrat/-rätin können die Belegschaft und die BR-Körperschaft und/oder Europäischer BR sein. In technischer Hinsicht sind Datenschutzbeauftragte, soweit sie im Betrieb existieren, und/oder SystemadministratorInnen wichtige PartnerInnen, da diese im Grunde in alle datenschutzrelevanten Vorgänge im Betrieb Einsicht haben. Auch die Geschäftsführung sollte ein Interesse an guten Datenschutzvereinbarungen haben, weil auch sie zunehmend überwacht wird und ihre Kompetenzen an internationale Vorgesetzte abgeben muss (z. B. beim MitarbeiterInnengespräch). Außerdem ist die Datenschutzkommission personell unterbesetzt und daher an Unterstützung interessiert.
INFO&NEWS
Mehr Informationen zum innerbetrieblichen Datenschutz bietet die aktuelle Broschüre der GPA-DJP: »Fahren sie nach Indien! Ihre Daten sind schon dort. Informationen und Handlungshilfen zum grenzüberschreitenden Datenverkehr«
WEBLINKS
Mitglieder können die gedruckte
Broschüre bestellen unter
martina.tossenberger@gpa-djp.at
oder von der Homepage
www.gpa-djp.at
downloaden unter
Arbeitsgestaltung Arbeitsorganisation
KONTAKT
Schreiben Sie uns Ihre Meinung
an die Autorin
clara.fritsch@gpa-djp.at
oder die Redaktion
aw@oegb.at
1 BGBl. II Nr. 201/2000 und Novelle BGBl. II Nr. 232/2003
2 § 4 Z 14 DSG
3 § 1 Abs. 3 DSG
4 § 6 Abs 1 Z 2 DSG
5 § 1 Abs 3 DSG
6 § 6 Abs 1 Z 5 DSG
7 § 4 Z 2 und §18 Abs 2 DSG
8 Ausnahmen sind US-amerikanische Unternehmen, die sich den sogenannten Safe-Harbor-Richtlinien unterworfen haben, oder wenn die fix von der EU vorgegebenen »Standardvertragsklauseln« verwendet werden.
9 § 91 Abs. 1 Z 3 ArbVG
10 § 96 Abs. 1 Z 3 ArbVG
11 § 96a Z 1 ArbVG