das war 2023 für Datenschutz und Tech-Konzerne
ein Jahresrückblick Ende Jänner? Warum nicht!
Verantwortliche müssen informieren wer die Empfänger sind
Der Europäische Gerichtshof (EuGH) stellt im Jänner 2023 klar, dass in einem Auskunftsbegehren auch die Empfänger von personenbezogenen Daten angegeben werden müssen. Der EuGh wurde ersucht, zu prüfen, was denn nun in einer Auskunft an die Betroffenen unter dem “Empfänger” beziehungsweise den “Kategorien der Empfänger” genau zu verstehen sei. Es wurde klargestellt, dass – wenn die auskunftsbegehrende Person diese Angaben braucht um ihre Rechte, wie beispielsweise das Recht auf Löschung, geltend zu machen – die Empfänger mit Namen und Adresse bekannt gegeben werden müssen.
Es handelt sich bei diesem Fall um das Verfahren gegen die Österreichischen Post, die für den Wahlkampf 2018 personenbezogene Daten “maßgeschneidert” unter anderem an politische Parteien verkaufte. In der Auskunft der Post waren bloß “politische Parteien” als Empfängerkreise (trotz Hinzuziehen der Datenschutzbehörde) angegeben und die klagende Person erfuhr (trotz nachfragen) nicht, welchen Parteien ihre personenbezogenen Daten weitergegeben wurden.
Falls also ein:e Arbeitnehmer:in oder ein:e Betriebsrät:in ein Auskunftsbegehren gegenüber dem/ der Arbeitgeber:in stellt, das er oder sie braucht um damit weitere Rechte (z.B. auf Löschen der Daten) einzufordern, sind in diesem auch Namen und Adressen von Empfänger:innen anzugeben.
derzeitiges Geschäftsmodell “Kreditwürdigkeit” vom Europäischen Gerichtshof gekippt
Dass in der Europäischen Datenschutzgrundverordnung (DSGVO) ein Profilingverbot besteht, ist nicht neu. Neu ist, dass es höchstgerichtlich durchgesetzt ist. Die Auskunft über die “Kreditwürdigkeit” einer Person ist laut Gerichtshof eine schwerwiegende Entscheidung und darf daher nicht völlig automatisiert, berechnet von undurchsichtigen Programmen erfolgen, die Angeben wie Wohnort, Geburtsdatum, Handyverträge, Bankkonten, bisherige Gewohnheiten beim Bezahlen von Rechnungen, und ähnliches in ihr Ranking mit einbeziehen. Außerdem müssen Register-Daten, die in das Scoring einfließen, dann gelöscht werden, wenn auch das öffentliche Register sie löscht aus dem die Daten stammen – im Fall der deutschen SCHUFA sind das Daten zu Insolvenzen. Löschfristen öffentlicher Daten gelten also auch für das Löschen bei privaten Anbieter:innen.
Im Zusammenhang mit der Arbeitswelt hat dieses Urteil wichtige Auswirkungen, denn es werden immer häufiger Profile über Arbeitnehmer:innen erstellt. Sogenannte “Künstliche Intelligenz” erstellt beispielsweise Profile über die Leistung von Beschäftigen im Außendienst aufgrund denen Boni berechnet werden. Anbieter:innen stellen Profile aufgrund der Bildschirm-Aktivitäten zusammen und versprechen so herauszufinden, wie loyal Beschäftigte gegenüber dem oder der Arbeitgeber:in sind. Sollten Entscheidungen über Prämien oder gar über das Behalten des Arbeitsplatzes auf Basis von Profilen bestimmt werden, wäre das – dem Urteil des EuGH vom Dezember folgend – verboten.
Microsoft wird etwas vorsichtiger
2023 war ein bewegtes Jahr für Microsoft; eingeleitetes Kartellverfahren, geänderte Standardvertragsklauseln bzw. Auftragsverarbeiterverträge und ein Jobangebot für einen KI-Experten, der dann doch seinen alten Job bei OpenAI behalten konnte.
Im Jänner sowie im September 2023 hat Microsoft 365 seine Standardvertragsklauseln geändert – nachdem die deutschen Aufsichtsbehörden die Datentransfers in die USA in den letzten Jahren immer wieder heftig kritisierten. Für Kund:innen von Microsoft bedeutet das, dass sie betont versichert bekommen, dass ihre Daten sicher seien – auch falls sie in die USA abfließen sollten,.
Im September 2023 hat Microsoft ein neues Lizenz-Modell auf den Markt gebracht, bei dem Teams und MS365 nicht mehr zwangsläufig miteinander gekoppelt sind. Das lag möglicher Weise daran, dass die Wettbewerbsbehörde der EU zuvor ein Verfahren eingeleitet hat, um zu prüfen ob Teams und MS365 nicht doch zu hohe Marktanteile durch unlauteren Wettbewerb erzielen. Der US-amerikanische Konkurrent von Microsoft, Salesforce, hat seine Kollaborations-Software slack gefährdet gesehen und die Hüter des Europäischen Wettbewerbs darauf aufmerksam gemacht, dass Microsoft eventuell unlauteren Wettbewerb betreibe. Google wirft Microsoft ähnliches vor, nur bezogen auf sein größtes Konkurrenzprodukt: die Suchmaschine Bing, die an die Azure-Cloud von Microsoft gekoppelt ist und so mehr Kund:innen zu sich ziehe, als sie es in einem fairen Wettbewerb tun würde. Außerdem prüft die EU-Kommission das von Microsoft aufgekaufte Unternehmen LinkedIn. Dies dürfte insgesamt den Konzern zu einer Rückstellung veranlasst haben.
Auch 2024 begann mit einem neuen “Data Protection Adendum“, einem eigenen Datenschutz-Standardvertrag für Europäische Nutzer:innen.
Tech-Konzerne werden zur Kassa gebeten
Über Strafen, die gegen Tech-Konzerne wie Apple oder Meta 2023 verhängt wurden, gibt es hier nähere Informationen.
immer mehr Betriebsräte schließen Betriebsvereinbarungen zu Microsoft 365 ab
…und das ist “kein Spaziergang” wie ein Betriebsrat meint. Nachdem MS 365 sehr umfangreiche Funktionen und Apps anbietet, die in keinem Unternehmen mehr fehlen, setzen sich immer mehr Betriebsrät:innen damit auseinander, diese Anwendungen in Betriebsvereinbarungen mit dem oder der Arbeitgeber:in zu regeln. Nachdem die meisten Apps miteinander verknüpft sind, gemeinsamen Security-Richtlinien unterliegen, auf gemeinsamen Plattformen gehostet werden, übergreifende Auswertungen und deren Darstellungen ermöglichen, ist eine Betriebsvereinbarung zu erstellen ein komplexes Unterfangen. Mit einer an den Betrieb angepassten Rahmenvereinbarung sowie Einzelvereinbarungen zu den verschiedenen Apps gelingt es den Betriebsrät:innen immer besser, die Beschäftigten vor übermäßiger Überwachung zu schützen.
AI-Act schafft es doch noch auf die Zielgerade
Eine vorläufige Zustimmung erhielt die Europäische Verordnung über Künstliche Intelligenz (AI-Act) im Dezember 2023 und es fehlt somit nur mehr die endgültige Textierung, der “Feinschliff”. Diskussionsstoff im Trilog zwischen EU-Parlament, EU-Kommission und Rat lieferte vor allem die Gesichtserkennung. Der AI-Act in seiner derzeitigen Version kennt drei verschiedene Risikostufen, die von KI ausgehen, wobei Anwendungen im Arbeitsverhältnis generell auf Stufe drei, der höchsten Risikostufe, angesiedelt sind.
Was bringt 2024?
2024 wird für den Beschäftigtendatenschutz ein weiteres spannendes Jahr. Wie werden der Europäische Gerichtshof und die nationalen Datenschutzbehörden die DSGVO auslegen? Wird es eine eigene Europäisches Regelung zu “Künstlicher Intelligenz” im Arbeitsverhältnis geben, wie von ETUI, dem Europäischen Gewerkschaftsinstitut, gefordert? Und welche Überraschungen hält Microsoft für Arbeitnehmer:innen bereit?