Umfragen auf europäischer und nationaler Ebene zeigen die ÖsterreichInnen sehr vertrauensselig was den Umgang mit persönlichen Daten betrifft. Insbesondere im beruflichen Umfeld vertrauen Herr und Frau Österreicher ihren ArbeitgeberInnen, ohne zu wissen, was diese überhaupt mit den Daten machen dürfen. In den Unternehmen werden aber die Daten der MitarbeiterInnen zunehmend über alle Grenzen hinweg weitergeleitet, gespeichert und ausgewertet.
Das Eurobarometer der Europäischen Kommission 2003 mit Schwerpunkt Datenschutz zeigt deutlich, dass in Österreich das Gesetz bezüglich des Datenschutzes als ausreichend empfunden wird. Bei näherer Betrachtung stellt sich heraus, dass das Gesetz allerdings wenig bekannt ist. Informationspflicht wird bei uns als weniger wesentlich gesehen als in anderen EU-Ländern, obwohl es ein Eckpfeiler des Datenschutzes ist. Auch über persönliche Rechte weiß man weniger gut Bescheid (z. B. Information über Zweck und Gegenstand der Datenanwendung sowie Quelle und Empfänger der Daten, Berichtigungs- und Löschungsrechte). Am wenigsten bekannt sind diese Rechte bei den BürgerInnen Portugals, am besten bei den ItalienerInnen. Auch vertrauen die ÖsterreicherInnen darauf, dass ihre ArbeitgeberInnen mit ihren persönlichen Daten verantwortungsvoll umgehen, übertroffen nur von Dänemark.
Dementsprechend gibt es in den österreichischen Unternehmen kaum Beschwerden, wie aus einem zweiten Eurobarometer 2003 hervorgeht. Bei dieser Befragung wurden 3.013 nationale und betriebliche Datenschutzbeauftragte in Firmen mit 20 und mehr MitarbeiterInnen befragt. Ein knappes Viertel der Unternehmen in der EU (23 Prozent) registrierte keine Anfragen zum Datenschutz, in Österreich fast die Hälfte
(47 Prozent). Über 100 Anfragen erhielten 62 Prozent der schwedischen und 61 Prozent der britischen Betriebe, dort ist die Sensibilität der Betroffenen besonders hoch. Der EU-Durchschnitt liegt bei 49 Prozent, aber nur 30 Prozent der österreichischen Betriebe erhielten 100 und mehr Anfragen zum Datenschutz.

Wenig Datenschutzbewusstsein

Es ist deutlich zu erkennen, dass die Verantwortlichen dem österreichischen Datenschutz wesentlich kritischer gegenüberstehen als die Betroffenen. So wurde z. B. stärker als im europäischen Durchschnitt bemängelt, dass Kontrolle und Sanktionsmöglichkeiten des bestehenden Datenschutzgesetzes sehr gering sind (28 Prozent im EU-Durchschnitt, 43 Prozent in Österreich). Auch wurde kritisiert, dass Sicherheitsmaßnahmen international kaum harmonisiert sind (33 Prozent im EU-Schnitt, 52 Prozent in Österreich).Die ARGE-Daten stellte bei einer Auswertung der bei ihr eingegangenen Anfragen im Zeitraum 2000 bis 2007 fest, dass der berufliche Datenschutz nur acht Prozent der Nachfrage ausmacht. Vorrangig hat die Organisation zum KonsumentInnenschutz beraten (30 Prozent).

Studie der GPA-DJP

Im Dezember 2007 gab die GPA-DJP, eine Studie über den Wissensstand zu Datenschutz und betrieblicher Praxis in Österreich in Auftrag. Die Fragen wurden vom Meinungsforschungsinstitut IFES zusammen mit dem Arbeitsklimaindex 1.003 unselbstständig Beschäftigten gestellt. Die Ergebnisse zeigen, dass geringer Wissensstand und großes Vertrauen Hand in Hand gehen: 70 Prozent der Befragten haben vollstes bzw. weitgehendes Vertrauen in die innerbetriebliche Datenverwendung. 67 Prozent fühlen sich nicht kontrolliert. Interessant ist, dass nur 53 Prozent der Befragten angeben, voll bzw. teilweise informiert zu sein, was mit ihren Daten im Betrieb passiert. 20 Prozent wissen Bescheid über die Aufbewahrungsdauer. 34 Prozent wissen, wer Zugangsberechtigungen hat. Geht man von der Idealvorstellung des Gesetzgebers aus, müssten alle MitarbeiterInnen, deren personenbezogene Daten verarbeitet werden, informiert werden, zu welchem Zweck die Daten benötigt werden, wer Einsicht hat, wie sie weiterverarbeitet und wie lange sie gespeichert werden. Unter personenbezogene Daten fallen viele persönliche Angaben, von Name, Adresse, Kinderanzahl und Sozialversicherungsnummer über Funktionsbeschreibung, Gehaltsbestandteile, Aus- und Weiterbildung bis hin zu Zeitaufzeichnung und Leistungsbeurteilung. MitarbeiterInnen sollten wissen, was mit diesen Daten passiert!

Wohlbegründete Skepsis

Kontrolliert fühlen sich v. a. leitende Angestellte (48 Prozent). Das lässt sich leicht erklären. Diese Berufsgruppe ist im Vergleich zu einfachen und qualifizierten Angestellten sowie Hilfs- und FacharbeiterInnen besser informiert über die innerbetrieblichen Datenverwendungen und zwar über alle Branchen hinweg. Leitende Angestellte wissen besser Bescheid über die Dauer der Aufbewahrung von Daten, darüber wer Zugang zu ihren Daten hat, über die Möglichkeiten zur Löschung unrichtiger Daten und über betriebsexterne Datenverarbeitungen/Datentransfers ins Ausland.
Gewerkschaftsmitglieder sind sensibler in punkto Kontrolle. 22 Prozent der Nicht-Mitglieder fühlen sich kontrolliert, wohingegen das auf 42 Prozent der Gewerkschaftsmitglieder zutrifft. Gewerkschaftsmitglieder sind stärker an Zusatzinfos interessiert. 60 Prozent von ihnen bemängeln die Informationspolitik, aber nur 39 Prozent der Nicht-Mitglieder.
Noch stärker sind die Unterschiede bei Betrieben mit und ohne Betriebs-
rat/-rätin (BR). 38 Prozent der MitarbeiterInnen in Unternehmen mit BR haben das Gefühl der Kontrolle. Bei den Unternehmen ohne BR sind es zwölf Prozent. Interessenvertretungen sorgen also für mehr kritisches Bewusstsein.
Ein Viertel der Betriebe mit Betriebsrat haben Datenschutzbeauftragte, die für die innerbetrieblichen Sicherheitsmaßnahmen aller Art zuständig sind. Die auf freiwilliger Basis ins Leben gerufenen Datenschutzbeauftragten (DSB) kümmern sich um Betriebsdaten, Kundendaten und mit etwas Glück auch um die personenbezogenen Daten der MitarbeiterInnen. Nur fünf Prozent der Unternehmen ohne ArbeitnehmerInnenvertretung haben DSB installiert. DSB gibt es vor allem im öffentlichen Dienst und bei Sozialversicherungen (52 Prozent) sowie im Gesundheitswesen (32 Prozent). Am seltensten trifft man sie in den Branchen Verkehr/Transport, Industrie/Gewerbe und Handel (10-11 Prozent). Jene 16 Prozent der österreichischen Betriebe, die DSB eingesetzt haben, haben auch Betriebsversammlungen zum Datenschutz abgehalten.

Was könnte der Gesetzgeber tun?

Betriebliche Datenschutzbeauftragte installieren: Eine Möglichkeit den Missständen im betrieblichen Datenschutz entgegenzuwirken wäre, die rechtliche Verpflichtung zu DSB ab einer bestimmten Unternehmensgröße.¹ Die Aufgabe von betrieblichen DSB ist es, die ordnungsgemäße Verwendung von Daten zu kontrollieren und für einen einheitlichen innerbetrieblichen Informationsstand zu sorgen (z. B. Schulungen für SystemadministratorInnen, Beratung der Arbeitgeberseite, Betriebsversammlungen, Auskünfte, …). DSB müssen vom Arbeitgeber in Abstimmung mit dem/der Betriebsrat/-rätin bestellt werden und weisungsfrei sein. Sie sind gegenüber der Belegschaftsvertretung zur Information verpflichtet und sie müssen über eine fachspezifische Ausbildung verfügen.²

Datenschutzkommission besser ausstatten: Die in Österreich eingerichtete Kontrollbehörde in Sachen Datenschutz ist unterbesetzt. Ihre Aufgaben der Verwaltung, Genehmigung und Kontrolle von Datenanwendungen kann sie nur eingeschränkt wahrnehmen. Immer wieder berichten BetriebsrätInnen von langen Wartezeiten. Im europäischen Vergleich rangiert die österreichische Datenschutzkommission in punkto personelle Ausstattung in Relation zur EinwohnerInnenzahl auf Platz 23. Der EU-Durchschnitt sind 45 Vollzeit-Personen, in Österreich hat die Kommission 20 MitarbeiterInnen. Mehr Kontrollbefugnisse würden der Datenschutzkommission zu mehr Durchsetzungskraft verhelfen. So hat die österreichische Kommission beispielsweise zwar das Recht, einen Betrieb vor Ort zu kontrollieren, wenn aber der Zugang verwehrt wird, gibt es keine Sanktionsmöglichkeiten seitens der Kommission. Die Datenschutzkommission hat derzeit auch nicht das Recht, illegale Datenanwendungen sofort zu entfernen. Hier besteht noch Handlungsbedarf.

WEBLINKS
IFES-Umfrage zum Thema Datenschutz
www.ifes.at/index.php?aNUM=1&newsId=134

KONTAKT
Schreiben Sie Ihre Meinung an
clara.fritsch@gpa-djp.at
oder die Redaktion
aw@oegb.at

¹ In Deutschland ist das bereits geschehen.
² Die GPA hat beim Bundesforum 2006 einen umfangreichen Forderungskatalog beschlossen, welche Kriterien betriebliche Datenschutzbeauftragte erfüllen sollen.