Entscheidungen und Empfehlungen der österreichischen Datenschutzbehörde (formaly known as “Datenschutzkommission”) zu Arbeitsplatz-relevanten Themen
… und was wir daraus lernen können
Die österreichische Datenschutzbehörde wird immer wieder von Betroffenen kontaktiert, die sich sorgen, ob ihre personenbezogenen Daten auch richtig verwendet werden, ob nicht zu viel von ihrer Privatsphäre kontrolliert wird, ob ihre Daten nicht an zu viele Empfänger weitergegeben werden, etc. In einigen Fällen, trifft die Behörde dann Entscheidungen oder spricht Empfehlungen aus zum Schutz der Betroffenen. Einige Entscheidungen, die für das Arbeitsverhältnis getroffen wurden, sind im Folgenden kurz dargestellt.
Anmerkung: eine “Empfehlung” der Behörde ist nicht direkt rechtswirksam. Sollte aber der Empfehlung innerhalb der vorgegebenen Frist nicht nachgekommen werden, würden weitere Schritte folgen – zum Beispiel in Form von Strafanzeige, einer gerichtlichen Klage oder sollte es sich um eine gefährliche Datenanwendung handeln, kann auch eine Anordnung ausgesprochen werden, selbige zu unterlassen.
der Krankenstand und seine Auswertungen
Einige Gebietskrankenkassen bieten eine Auswertung der Krankenstände der MitarbeiterInnen im Sinne der betrieblichen Gesundheitsförderung an – so auch die Tirolerische. Die Tiroler Ärztekammer war darüber “not amused”. In den Statistiken wurde nämlich neben der Angabe des Geschlechtes auch eine Diagnose der Krankheiten aufgelistet, sodass die Anonymität nicht mehr gewährleistet sei, argumentierte die Tiroler Ärztekammer:
Es könne daher ein direkter Personenbezug hergestellt werden. Auch von der Dauer eines Krankenstandes, etwa im Fall einer Depression, die mit langen Krankenständen verbunden sei, könne auf eine Diagnose und damit auf bestimmte Mitarbeiter geschlossen werden.
Dieser Logik folgte die Datenschutzbehörde und empfahl der Gebietskrankenkasse folgendes
- lediglich jene Krankheitsdaten in die Statistik miteinzubeziehen, die mit der Tätigkeit dieses Betriebes typischerweise verbunden sind (sämtliche Erkrankungen der Belegschaft in der Statistik anzuführen ist nämlich überschießend im Sinne der betrieblichen Gesundheitsvorsorge)
- Gruppen erst dann statistisch auszuweisen, wenn sie mehr als fünf Personen umfassen (nur so ist ein ausreichendes Ausmaß an Anonymität garantiert)
Auch für die Evaluierung psychischer Erkrankungen nach dem ArbeitnehmerInnenschutzgesetz ist es erforderlich, wie eben beschrieben vorzugehen (Empfehlung vom 30.3.2015). Außerdem wird festgehalten, dass auch nicht ersichtlich sein darf, WER an einer anonymen Umfrage teilgenommen hat – und wer nicht.
die illegale Beschäftigung und ihre Kontrolle
Es soll vorkommen, dass ArbeitnehmerInnen nicht rechtmäßig beschäftigt werden – sprich nicht der Sozialversicherung gemeldet werden. Um diesem illegalen Vorgehen entgegenzuwirken hat die Tiroler Wirtschaftskammer eigenständige Personenkontrollen an Baustellen durchgeführt – und hat dadurch selbst die Grenze zur Illegalität nicht ganz eingehalten. Es fällt nämlich nicht in die Befugnis der Wirtschaftskammer, Fotos zu erstellen, Personalien sämtlicher Anwesender aufzunehmen oder Grundstücke zu betreten – das ist eine Kompetenz der Finanzbehörden.
Die Datenschutzbehörde empfahl daher der Tiroler Wirtschaftskammer am 9.Mai 2016 aufgrund der fehlenden gesetzlichen Grundlage (Ermächtigung) für ihr überschießendes Vorgehen:
- derartiges Vorgehen zukünftig zu unterlassen
- die ermittelten Daten zu löschen
- und zwar ohne Fristsetzung
die PatientInnen und ihre Daten
Eine diplomierte Krankenschwester hatte sich in dem Krankenhaus, in dem sie selbst angestellt war, einer Operation unterzogen. Ihre Patientinnendaten waren für über 1.000 KollegInnen einsichtig.
Die Behörde formuliert ihre Empfehlung so; “Das Krankenhaus…
- möge geeignete Maßnahmen ergreifen, damit Nutzerprofile ehemaliger Bediensteter nicht zeitlich unbefristet in Datenverarbeitungssystemen gespeichert bleiben
- möge die Zugriffsberechtigung auf die Patientendokumentation so gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind
- möge durch Zugriffs-Kontrollen sicherstellen, dass besonders schützenswerte Personengruppen (wie eigene Bedienstete oder deren Angehörige bzw. öffentlich bekannte Personen), die sich einer Behandlung unterziehen (müssen), vor unberechtigten Zugriffen geschützt sind
- Die Bediensteten mögen darüber nachweislich in Kenntnis gesetzt werden
- Es ist somit Sache eines Auftraggebers eine Frist vorzusehen, die einerseits das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer aber auch die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten ehemaliger Nutzer gelöscht werden.
die Garderoben der SchülerInnen und deren Videoüberwachung
Immer wieder wird in Schulen versucht, Videokameras als Maßnahme zum “Eigentumsschutz” anzubringen. Während die Behörde diese außerhalb des Schulgebäudes (zB bei Fahrradabstellplätzen) grundsätzlich genehmigt, tut sie dies nicht im Garderoben- und Gangbereich. Dort herrsche nämlich ohnehin Aufsichtspflicht und wenn diese durchgeführt werden, ist ja eine Kamera nicht gerechtfertigt.
- was die Kamera filmt, darf nur den unumgänglich notwendigen Bereich erfassen, aber nicht an das Schulgelände angrenzende Straßen und Gehsteige
- Auswertungen dürfen nur vom Direktor und nur in Beisein eines Lehrervertreters vorgenommen werden
- Auswertungsergebnisse müssen vertraulich behandelt werden
- Zufallsfunde sind zu löschen
- Auswertungen sind zu protokollieren
- nachdem das Beweismaterial sichergestellt wurde, sind die Aufnahmen zu löschen – ohnehin ist die Speicherdauer mit 72 Stunden beschränkt
Zu diesen und noch mehr Angelegenheiten nimmt die Datenschutzbehörde Stellung. Auch zu Whistleblowing (zur Thematik Whistleblowing gibt es in diesem Blog einen ausführlichen Artikel) oder globalen Personalbesetzungssystemen gibt es für die ArbeitnehmerInnen-Vertretung hilfreiche Empfehlungen. Oftmals ist es effektiver in der Argumentation gegenüber ArbeitgeberInnen, wenn eine Behörde eine Empfehlung abgibt, als wenn dies die Gewerkschaft tut – bisweilen sind sich diese beiden aber in der datenschutzrechtlichen Beurteilung gar nicht so uneins.