Wenn der Chef deine E-Mails mitlesen will

Eine Entspannung der Pandemie ist noch nicht in Sicht, auch 2022 werden viele ArbeitnehmerInnen im Homeoffice arbeiten. Das bedeutet auch, dass immer mehr online gearbeitet wird und dadurch wiederum immer mehr Daten miteinander verknüpft werden: Kalendereinträge, Chat-Protokolle, Videokonferenzaufnahmen, gemeinsam genutzte Ablagesysteme und mehr.

Wir gehen mit Datenschutz-Expertin Clara Fritsch von der Gewerkschaft GPA der Frage nach, was Vorgesetzte mitlesen und kontrollieren dürfen, wie die Privatsphäre geschützt werden kann und welche Rechtsgrundlagen es dafür gibt.

oegb.at: Welche Herausforderungen entstehen durch die Digitalisierung bei Arbeitsprozessen?

Clara Fritsch: Bei jeder Tätigkeit, die digital und/oder online erledigt wird, wird mitprotokolliert. Es ist also – zumindest technisch – jede Arbeitsleistung nachvollziehbar. Diese digitalen Datenspuren, die jede/r Beschäftigte automatisch hinterlässt, könnten auch ausgewertet werden.

Wer hat wann wie lange mit wem gemeinsam an einem Dokument gearbeitet? Wer hat von welchem Gerät aus welche Seiten im Internet besucht? Welches Team veranstaltet die längsten Video-Calls? Wer wusste letzten Sommer beim Online-Quiz zur neuen Compliance-Richtlinie die meisten Antworten? Der Fantasie sind diesbezüglich kaum Grenzen gesetzt. Grenzen setzt allerdings der Gesetzgeber.

Sind alle Arbeitsbereiche gleich stark betroffen? Was bedeutet das für die Arbeit im Homeoffice?

Unterschiedliche Branchen und unterschiedliche Arbeitsbereiche sind selbstverständlich unterschiedlich betroffen. In der Finanzbranche sind wir es längst gewohnt, dass die Kontoführung über den Geldzählautomaten bis zur Überweisung digitalisiert abläuft.

In der Reinigung oder Pflege ist Digitalisierung wiederum nur begrenzt machbar, etwa bei der Bestellung oder der Dokumentation. Bei Reinigungs- oder Pflegearbeiten, die eben vor Ort, bei den Menschen, erledigt werden müssen, können die Beschäftigten auch nicht im Homeoffice arbeiten.

Homeoffice funktioniert bei ortsungebundenen Tätigkeiten und die werden dann in der Regel online abgewickelt. Und am Laptop beziehungsweise online zu arbeiten, bedeutet eben auch eine – zumindest technisch – lückenlose Kontrollmöglichkeit.

Der Europäische Gesetzgeber hat mit der Datenschutzgrundverordnung (DSGVO) allen Unternehmen Rechte und Pflichten auferlegt, damit Datenverarbeitungen sich nicht zu Lasten der Betroffenen auswirken. In den letzten fünf Jahren, seit Inkrafttreten der DSGVO, hat sich aber im Bereich der Datensicherheit einiges weiterentwickelt – nicht nur zum Vorteil der Beschäftigten.

Was bedeutet das in der betrieblichen Praxis?

Um sich vor Datenverlust, Hackerangriffen, Erpressung, Spionage und Ähnlichem zu schützen, möchten Arbeitgeber schon möglichst frühzeitig vorhersagen können, dass „sich etwas anbahnt“. Dazu setzen sie spezielle „mitlernende“ Programme ein, die jede Tätigkeit – angeblich – daraufhin analysieren kann, ob Daten missbräuchlich verwendet werden.

Werden bestimmte Stichwörter bei E-Mails verwendet? Wird zu außergewöhnlichen Zeiten eine außergewöhnliche Transaktion vorgenommen? Werden bestimmte KundInnen außergewöhnlich häufig besucht und „beschenkt“?

Was ist erlaubt, was nicht?

Das hängt von vielen Fakten ab. Mitunter gibt es Vorgaben für eine Branche, bestimmte Daten zu erfassen. Im Finanzbereich erstreckt sich beispielsweise die Verpflichtung, Daten zur finanziellen Lage zu liefern, auch auf Familienmitglieder.

Auf internationalen Flughäfen werden KollegInnen großflächig getrackt, was Terrorattacken hintanhalten soll. Mitunter verlangen KundInnen bei Vertragsabschluss bestimmte Sicherheitsvorkehrungen. So wird etwa ein Autokonzern nur bei dem Zulieferer seine Teile bestellen, der höchste Sicherheitsstufen garantiert.

Mitunter wird das aber auch nur behauptet und in Wahrheit werden die KollegInnen unzulässig überwacht. Ein Regelwerk zur Datenverarbeitung muss daher sehr genau auf den Betrieb abgestimmt sein.

Ganz klar für alle gilt jedenfalls: heimliche Überwachung privater Kommunikation ist verboten.

Außerdem muss der Arbeitgeber bzw. die Arbeitgeberin einen Zweck angeben, wenn personenbezogene Daten von Beschäftigten verarbeitet werden. Sich Charaktereigenschaften aus Social Media herzuleiten und danach zu beurteilen, wer etwa eine Prämie erhält (sogenanntes „Profiling“), ist ebenfalls verboten.

Wir empfehlen allen BetriebsrätInnen, die Verwendung personenbezogener Daten in einer Betriebsvereinbarung zu regeln. Dazu beraten unsere RegionalsekretärInnen. Wir stellen Muster-Vereinbarungen zur Verfügung. Es gibt einschlägige Broschüren dazu und die GPA bietet auch Schulungen zu dem Thema an.

Wer kontrolliert, dass diese Überwachung nicht passiert?

Idealerweise sehen nur KollegInnen in den IT-Abteilungen die Protokolldaten und halten ihr Wissen geheim. Außerdem werden die Protokolldaten bestenfalls nur im konkreten Anlassfall und nur in Zusammenarbeit mit dem Betriebsrat angesehen. Ebenfalls idealerweise sind diese Modalitäten in einer Betriebsvereinbarung festgehalten, sodass eindeutig klar ist, was erlaubt ist und was nicht.

Wir wissen natürlich aus der Beratung, dass es so nicht immer läuft, aber es ist durchaus ratsam, wenn die BetriebsrätInnen immer wieder „nachstochern“, sich Dinge zeigen und erklären lassen, nachfragen, ob bestimmte Auswertungen tatsächlich erforderlich sind, ob bestimmte Daten tatsächlich gelöscht wurden etc. So zeigen sie, dass sie über ihre Rechte Bescheid wissen und sich um den Schutz der personenbezogenen Daten ihrer Beschäftigten kümmern.

Welche Strafen gibt es bei Verstößen?

Das kann tatsächlich teuer werden. Der H&M-Online Shop musste beispielsweise im Oktober 2020 satte 35 Millionen Euro zahlen, weil KollegInnen des Centers in Nürnberg bespitzelt wurden.

Auch IKEA Frankreich wurde für Mitarbeiterbespitzelung im Juni 2021 mit einer Strafzahlung in Millionenhöhe zur Kasse gebeten. Ein deutscher Online-Shop für Notebooks musste im Jänner über 10 Millionen Euro Bußgeld auf den Tisch legen, weil MitarbeiterInnen und KundInnen unrechtmäßig mit Videokameras überwacht wurden.

Die Österreichische Datenschutzbehörde ist im europäischen Vergleich milde beim Verhängen von Bußgeldern. Mir sind im Zusammenhang mit unrechtmäßiger Kontrolle von ArbeitnehmerInnen noch keine Urteile bekannt. Ich würde dennoch sagen: Die DSGVO zeigt Wirkung.

Wie können sich ArbeitnehmerInnen schützen?

Die schlechte Nachricht ist: Eine/r alleine kann tatsächlich wenig ausrichten. Weder kann er oder sie die komplexen Systeme in ihrer Wechselwirkung durchschauen noch hat er oder sie die Zeit, sich in der Freizeit mit dem Thema auseinanderzusetzen. Zwar bietet die DSGVO einige gute Rechte für Betroffene, doch das Durchzusetzen kann langwierig und schwierig werden. Nicht jeder ist ein Max Schrems.

Die gute Nachricht lautet: Zusammen mit den arbeitsrechtlichen Möglichkeiten, die der Betriebsrat hat, wird die Suppe sozusagen schon dicker.

Der Betriebsrat kann umfassende Informationen verlangen. Der Betriebsrat kann Verbesserungsvorschläge einbringen. Der Betriebsrat hat – bei beinahe allen Datenverarbeitungssystemen – das Recht, über eine Betriebsvereinbarung mitzubestimmen.

Jedenfalls kann man bei dem Einsatz nur gewinnen: nämlich eine geschützte Privatsphäre.