Mehr Homeoffice! Mehr Kontrolle?

wenn Vorgesetzte mitlesen wollen

dieses Interview erschien zuerst auf der Website des ÖGB

dieses Interview wurde von der Presseabteilung des ÖGB mit mir, also der Autorin dieses Blogs geführt, also das ist ein wenig seltsam hier, sich selbst als interviewtes Gegenüber zu bezeichnen, aber zwischen den Jahren ist das irgendwie auch okay

Mehr Homeoffice bedeutet auch mehr Möglichkeiten der digitalen Kontrolle – der ÖGB klärt, was erlaubt ist und wie sich Arbeitnehmer*innen schützen können.

Eine Entspannung der Pandemie ist noch nicht in Sicht, auch 2022 werden viele Arbeitnehmer*innen im Homeoffice arbeiten. Das bedeutet auch, dass immer mehr online gearbeitet wird und dadurch wiederum immer mehr Daten miteinander verknüpft werden: Kalendereinträge, Chat-Protokolle, Videokonferenzaufnahmen, gemeinsam genutzte Ablagesysteme und mehr. Wir gehen mit Datenschutz-Expertin Clara Fritsch von der Gewerkschaft GPA der Frage nach, was Vorgesetzte mitlesen und kontrollieren dürfen, wie die Privatsphäre geschützt werden kann und welche Rechtsgrundlagen es dafür gibt.

Welche Herausforderungen entstehen durch die Digitalisierung bei Arbeitsprozessen?

Bei jeder Tätigkeit, die digital und/oder online erledigt wird, wird mitprotokolliert. Es ist also – zumindest technisch – jede Arbeitsleistung nachvollziehbar. Diese digitalen Datenspuren, die jede*r Beschäftigte automatisch hinterlässt, könnten auch ausgewertet werden. Wer hat wann wie lange mit wem gemeinsam an einem Dokument gearbeitet? Wer hat von welchem Gerät aus welche Seiten im Internet besucht? Welches Team veranstaltet die längsten Video-Calls? Wer wusste letzten Sommer beim Online-Quiz zur neuen Compliance-Richtlinie die meisten Antworten? Der Fantasie sind diesbezüglich kaum Grenzen gesetzt. Grenzen setzt allerdings der Gesetzgeber.

Sind alle Arbeitsbereiche gleich stark betroffen? Was bedeutet das für die Arbeit im Homeoffice?

Unterschiedliche Branchen und unterschiedliche Arbeitsbereiche sind selbstverständlich unterschiedlich betroffen. In der Finanzbranche sind wir es längst gewohnt, dass die Kontoführung über den Geldzählautomaten bis zur Überweisung digitalisiert abläuft. In der Reinigung oder Pflege ist Digitalisierung wiederum nur begrenzt machbar, etwa bei der Bestellung oder der Dokumentation. Bei Reinigungs- oder Pflegearbeiten, die eben vor Ort, bei den Menschen, erledigt werden müssen, können die Beschäftigten auch nicht im Homeoffice arbeiten. Homeoffice funktioniert bei ortsungebundenen Tätigkeiten und die werden dann in der Regel online abgewickelt. Und am Laptop beziehungsweise online zu arbeiten, bedeutet eben auch eine – zumindest technisch – lückenlose Kontrollmöglichkeit.

Der Europäische Gesetzgeber hat mit der Datenschutzgrundverordnung (DSGVO) allen Unternehmen Rechte und Pflichten auferlegt, damit Datenverarbeitungen sich nicht zu Lasten der Betroffenen auswirken. In den letzten fünf Jahren, seit Inkrafttreten der DSGVO, hat sich aber im Bereich der Datensicherheit einiges weiterentwickelt – nicht nur zum Vorteil der Beschäftigten.

Was bedeutet das in der betrieblichen Praxis?

Um sich vor Datenverlust, Hackerangriffen, Erpressung, Spionage und Ähnlichem zu schützen, möchten Arbeitgeber*innen schon möglichst frühzeitig vorhersagen können, dass „sich etwas anbahnt“. Dazu setzen sie spezielle „mitlernende“ Programme ein, die jede Tätigkeit – angeblich – daraufhin analysieren kann, ob Daten missbräuchlich verwendet werden. Werden bestimmte Stichwörter bei E-Mails verwendet? Wird zu außergewöhnlichen Zeiten eine außergewöhnliche Transaktion vorgenommen? Werden bestimmte KundInnen außergewöhnlich häufig besucht und „beschenkt“?

Was ist erlaubt, was nicht?

Das hängt von vielen Fakten ab. Mitunter gibt es Vorgaben für eine Branche, bestimmte Daten zu erfassen. Im Finanzbereich erstreckt sich beispielsweise die Verpflichtung, Daten zur finanziellen Lage zu liefern, auch auf Familienmitglieder. Auf internationalen Flughäfen werden Kolleg*innen großflächig getrackt, was Terrorattacken hintanhalten soll. Mitunter verlangen Kund*innen bei Vertragsabschluss bestimmte Sicherheitsvorkehrungen. So wird etwa ein Autokonzern nur bei dem Zulieferer Teile bestellen, der höchste Sicherheitsstufen garantiert.

Mitunter wird das aber auch nur behauptet und in Wahrheit werden die Kolleg*innen unzulässig überwacht. Ein Regelwerk zur Datenverarbeitung muss daher sehr genau auf den Betrieb abgestimmt sein.

Ganz klar für alle gilt jedenfalls: heimliche Überwachung privater Kommunikation ist verboten.

Außerdem muss der Arbeitgeber bzw. die Arbeitgeberin einen Zweck angeben, wenn personenbezogene Daten von Beschäftigten verarbeitet werden. Sich Charaktereigenschaften aus Social Media herzuleiten und danach zu beurteilen, wer etwa eine Prämie erhält (sogenanntes „Profiling“), ist ebenfalls verboten.

Wir empfehlen allen Betriebsrät*innen, die Verwendung personenbezogener Daten in einer Betriebsvereinbarung zu regeln. Dazu beraten unsere Regionalsekretär*innen. Wir stellen Muster-Vereinbarungen zur Verfügung. Es gibt einschlägige Broschüren rund um das Thema Digitalisierung und Datenschutz und die GPA bietet auch Schulungen zu dem Thema an.

Wer kontrolliert, dass diese Überwachung nicht passiert?

Idealerweise sehen nur Kolleg*innen in den IT-Abteilungen die Protokolldaten und halten ihr Wissen geheim. Außerdem werden die Protokolldaten bestenfalls nur im konkreten Anlassfall und nur in Zusammenarbeit mit dem Betriebsrat angesehen. Ebenfalls idealerweise sind diese Modalitäten in einer Betriebsvereinbarung festgehalten, sodass eindeutig klar ist, was erlaubt ist und was nicht.

Wir wissen natürlich aus der Beratung, dass es so nicht immer läuft, aber es ist durchaus ratsam, wenn die Betriebsrät*innen immer wieder „nachstochern“, sich Dinge zeigen und erklären lassen, nachfragen, ob bestimmte Auswertungen tatsächlich erforderlich sind, ob bestimmte Daten tatsächlich gelöscht wurden etc. So zeigen sie, dass sie über ihre Rechte Bescheid wissen und sich um den Schutz der personenbezogenen Daten ihrer Beschäftigten kümmern.

Welche Strafen gibt es bei Verstößen?

Das kann tatsächlich teuer werden. Der H&M-Online Shop musste beispielsweise im Oktober 2020 satte 35 Millionen Euro zahlen, weil KollegInnen des Centers in Nürnberg bespitzelt wurden. Auch IKEA Frankreich wurde für Mitarbeiterbespitzelung im Juni 2021 mit einer Strafzahlung in Millionenhöhe zur Kasse gebeten. Ein deutscher Online-Shop für Notebooks musste im Jänner über 10 Millionen Euro Bußgeld auf den Tisch legen, weil Mitarbeiter*innen und Kund*innen unrechtmäßig mit Videokameras überwacht wurden.

Die Österreichische Datenschutzbehörde ist im europäischen Vergleich milde beim Verhängen von Bußgeldern. Mir sind im Zusammenhang mit unrechtmäßiger Kontrolle von Arbeitnehmer*innen noch keine Urteile bekannt. Ich würde dennoch sagen: Die DSGVO zeigt Wirkung.

Wie können sich ArbeitnehmerInnen schützen?

Die schlechte Nachricht ist: Eine*r alleine kann tatsächlich wenig ausrichten. Zwar gibt es den einen oder anderen Tipp, das eine oder andere Tool, dass die Daten der einzelnen Arbeitnehmer*innen besser vor Einsichtnahmen schützt (dazu empfehle ich die Schulung „Datenschutz praktisch am PC“ der Gewerkschaft GPA), doch insgesamt ist es schwierig. Weder kann er oder sie die komplexen Systeme in ihrer Wechselwirkung durchschauen noch hat er oder sie die Zeit, sich in der Freizeit mit dem Thema auseinanderzusetzen. Zwar bietet die DSGVO einige gute Rechte für Betroffene, doch das Durchzusetzen kann langwierig und schwierig werden. Nicht jeder ist ein Max Schrems.*)

Die gute Nachricht lautet: Zusammen mit den arbeitsrechtlichen Möglichkeiten, die der Betriebsrat hat, wird die Suppe sozusagen schon dicker. Der Betriebsrat kann umfassende Informationen verlangen. Der Betriebsrat kann Verbesserungsvorschläge einbringen. Der Betriebsrat hat – bei beinahe allen Datenverarbeitungssystemen – das Recht, über eine Betriebsvereinbarung mitzubestimmen. Jedenfalls kann man bei dem Einsatz nur gewinnen: nämlich eine geschützte Privatsphäre.

ENDE DES INTERVIEWS.

Wer einen Blick in die Vergangenheit riskieren möchte, kann sich auf diesem Blog ansehen, was Betriebsrät*innen 2020 zum Arbeiten im Homeoffice meinten.

*) Um den Datenschutz für den und die Einzelne*n durchzusetzen hat der Jurist Max Schrems, nachdem er jahrelang und öffentlichkeitswirksam gegen facebook bzw. in Folge das mittlerweile gekippte „Save-Harbour-Abkommen“ und das „Privacy-Shield“ mit den USA prozessiert hatte, die NGO „non of your business – noyb“ gegründet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

17 − 14 =