Was an Überwachung am Arbeitsplatz erlaubt ist und was nicht
Dieser Artikel ist älter als ein Jahr!
Der Einsatz digitaler Werkzeuge führt immer öfter zur Überwachung und Kontrolle von Mitarbeiter*innen, wie eine aktuelle Studie von Wolfie Christl zeigt. Protokolle, Ereignis-Logs und zahlreiche weitere Daten werden miteinander verknüpft, vieles wird auch in die Cloud ausgelagert. Die futurezone sprach mit Thomas Riesenecker-Caba von der Forschungs- und Beratungsstelle Arbeitswelt (FORBA) darüber, was an Kontrolle am Arbeitsplatz erlaubt ist, und was nicht.
futurezone: Was hat sich durch die Digitalisierung bei den Arbeitsprozessen geändert?
Thomas Riesenecker-Caba: Früher waren die Systeme relativ autonom und haben in ihrem eigenen Kontext Daten verarbeitet. Jetzt gibt es einen massiven Austausch aus den unterschiedlichen Systemen. Das führt zu deutlich mehr Komplexität bei der datenschutzrechtlichen Einschätzung auf einer betrieblichen Ebene. Das Zusammenspiel der technischen Systeme ist komplex.
Hat sich das in allen Bereichen gleich stark verändert?
Die Datenschutzgrundverordnung (DSGVO) hat Unternehmen eine Reihe von Pflichten auferlegt, aber gerade im Bereich der Data Security hat es weitreichende systemtechnische Entwicklungen gegeben. Es wird genau protokolliert, wie sich betriebliche Endgeräte (Laptop, Smartphone) verhalten, das Systemverhalten dieser Geräte wird sehr genau überwacht, um mögliche Probleme sehr schnell zu erkennen. Das ist sehr sinnvoll, wenn es darum geht, Cyberkriminalität rasch zu erkennen. Aber auf der anderen Seite muss die mögliche Verarbeitung von personenbezogenen Daten auch arbeitsrechtlich behandelt werden.
Wolfie Christl beschreibt in seiner Studie 2 Beispiele näher: Forcepoint und Securonix. Beide Software-Dienste ermöglichen massiv die Kontrolle der Mitarbeiter*innen und werden auch in Österreich in Betrieben eingesetzt. Ist das erlaubt?
Wenn eine solche Software eingesetzt wird, die Rückschlüsse auf das Nutzer*innenverhalten zulässt, braucht es klare Spielregeln und Regeln wie mit diesen Protokolldaten zu verfahren ist. Daten, die aus Datensicherheitsgründen gespeichert werden, dürfen nicht automatisch gleichzeitig dazu verwendet werden, um Mitarbeiter*innen zu überwachen und in einem Übermaß zu kontrollieren.
Wieviel Mitarbeiter*innen-Kontrolle ist in Österreich erlaubt?
Das Arbeitsrecht ermöglicht Kontrolle, aber es ist immer eine Frage der Kontrollintensität und wie intensiv in die Persönlichkeitsrechte eingegriffen wird. Es gibt notwendige aber auch überschießende Kontrolle und das sollten Betriebsrät*innen durch Betriebsvereinbarungen festlegen. Weil die Systeme immer komplexer werden, fühlen sie sich aber sehr oft überfordert.
Wie sieht das in der betrieblichen Praxis aus?
Der Transfer der datenschutz- und arbeitsrechtlichen Aspekte kann oft nicht zwischen den Fachabteilungen korrekt transferiert werden. Die IT-Abteilung kann Systeme betreiben, aber es fehlt oft an grundlegendem Wissen über Datenschutz. Der HR-Abteilung fehlt im Gegenzug das technische Know-How. Es ist oft eine große Schwierigkeit, hier zu „übersetzen“. Dabei ist ein gemeinsames Verständnis notwendig, um ein gemeinsames Lagebild zu erstellen. Ein weiteres Problem ist, dass viele Lösungen ausgelagert werden und Betriebe auf externe Anbieter*innen vertrauen. Das war früher einfacher.
Inwiefern?
Wir haben eine Online-Befragung unter Betriebsrät*innen durchgeführt und festgestellt, dass vor allem überschaubare Systeme mit dem Betriebsrat geregelt werden. Da geht es um Zutrittskontrollsysteme oder Zeiterfassung. Doch je komplexer ein System ist, desto schwieriger ist es, dieses zu regeln. Es gibt aber nur wenige Systeme, die man ohne Betriebsvereinbarung einsetzen dürfte. So eine Vereinbarung ist notwendig, wenn personenbezogene Daten verarbeitet werden.
In Österreich wollte etwa ein Bankinstitut ein System einsetzen, das die Raumbelegung auf Basis von Sensoren an der Unterseite von Tischen überwachen wollte. Ist das erlaubt?
Das hängt davon ab, ob sich die Tische in Meetingräumen befinden, die frei von allen genutzt werden können und bei denen es kein Tracking gibt, wer den Raum bucht, oder ob die Sensoren an Tischen angebracht werden, die fixen Mitarbeiter*innen zugewiesen wurden. Im zweiten Fall handelt es sich um personenbezogene Daten. Bei der besagten Bank wurde das System meines Wissens nicht weiter betrieben, weil eine Betriebsvereinbarung notwendig geworden wäre.
Eine weitere Gefahr, die droht, ist die automatisierte Kündigung auf Basis einer Computerentscheidung. Das war zuletzt etwa bei Amazon-Mitarbeiter*innen in den USA der Fall. Kann das in Österreich passieren?
Die Entscheidung die ausschließlich auf einer automatisierten Verarbeitung von Daten beruht, ist im europäischen Datenschutzrecht verboten. Wenn die Entscheidung aber am Ende von einem Menschen auf Basis von gesammelten Daten getroffen wird, wäre es erlaubt. Grundsätzlich muss in Österreich kein Grund für eine Kündigung einer Mitarbeiter*in angeben werden. Unter der Einhaltung der Kündigungsfrist kann jeder gekündigt werden. Jedoch fordert das Datenschutzrecht bei Datenauswertungen, dass alle im Vorfeld darüber informiert werden, dass eine derartige Datenverarbeitung durchgeführt wird. Hier herrscht in der alltäglichen Praxis aber noch Nachholbedarf. Viele Dienstgeber*innen wissen gar nicht, dass sie das tun müssen.
"Diese Freiwilligkeit basiert aber auf einem Machtungleichgewicht zwischen Arbeitgeber*in und Arbeitnehmer*in und ist daher generell kritisch zu sehen."
Wie sieht es aus, wenn Mitarbeiter*innen, die sich etwa auf Montage oder auf Außeneinsätzen befinden, ihren Standort freiwillig in ein Firmensystem eintragen, aber nicht per GPS getrackt werden? Dazu gab es ebenfalls einen Fall aus Österreich, der in der Studie von Wolfie Christl beleuchtet wurde.
Das kommt in vielen Betrieben vor und ist nichts Ungewöhnliches. Diese Freiwilligkeit basiert aber auf einem Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer*in und ist daher generell kritisch zu sehen. In der Praxis macht es aber auch hier einen Unterschied, ob man sich alle 5 oder 10 Minuten meldet, oder nur ein paar Mal pro Tag. Außerdem muss klar geregelt sein, wie lange diese Daten aufgehoben werden, und wofür sie verwendet werden. Hier braucht man als Dienstgeber außerdem eine Rechtsgrundlage, um diese Daten verarbeiten zu dürfen und dazu braucht es zusätzlich eine Betriebsvereinbarung.
Was passiert eigentlich, wenn es in einer Firma keinen Betriebsrat gibt?
Dann braucht ein Unternehmen bei kontrollintensiven Systemen die Einwilligung jeder einzelnen Mitarbeiter*in und die Zustimmung aller von Maßnahmen Betroffenen. Die Zustimmung wird in einem aufrechten Arbeitsverhältnis aber wohl immer gegeben, denn auch hier gibt es ein Machtungleichgewicht. Das ist schlecht geregelt.
Was kann man dagegen tun, dass die Komplexität solcher Systeme und damit die Kontrollmöglichkeiten weiter steigen?
Für die datenverarbeitenden Stellen ist es das Um und Auf, sich mit dem Datenschutzrecht auseinanderzusetzen. Der Betriebsrat hat parallel das Recht, auf den Abschluss einer Betriebsvereinbarung zu bestehen. Im „Worst Case“ kann man sich als Betroffene*r über die unrechtmäßige Datenverarbeitung beschweren. Im Arbeitsverhältnis wird das allerdings nie passieren, weil die Angst zu groß ist, den Job zu verlieren.
Weiterführende futurezone-Berichte zum Thema:
Firmen nutzen IT-Sicherheit als Vorwand, um Mitarbeiter*innen zu überwachen
Studie: Wie Mitarbeiter*innen am Arbeitsplatz überwacht und kontrolliert werden
Kommentare